Alojamientos turísticos: registro de datos de ciudadanos

El pasado 23 de marzo, la Agencia Española de Protección de Datos (en adelante, AEPD) se pronunció sobre el registro de ciudadanos por parte de alojamientos turísticos, cuestión que ya había sido objeto de debate a raíz de la sanción económica impuesta a una empresa hotelera que solicitaba y escaneaba digitalmente, en el proceso de registro, los pasaportes de sus clientes, inclusive las fotografías de estos.

El supuesto de hecho descrito constituye un tratamiento de datos personales que requiere obligatoriamente, en virtud del principio de licitud que establece la normativa europea vigente (artículo 5.1 a del RGPD), de una base jurídica que lo legitime, no pudiendo el responsable del tratamiento (en este caso, el Hotel), realizar ninguna actividad de tratamiento sin estar habilitado a ello.

Entonces, ¿contaba la empresa reclamada con una base legitimadora que amparase la recogida de todos los datos personales que aparecen en el pasaporte del interesado? Pues bien, según las alegaciones planteadas, el Hotel defendía la licitud del tratamiento en el cumplimiento de lo dispuesto en la Ley de Protección de la Seguridad Ciudadana (LO 4/2015) que establece la obligación de contar con un registro documental en los establecimientos hoteleros, así como la comunicación de estos registros a las dependencias policiales – Fuerzas y Cuerpos de Seguridad del Estado (artículo 6.1 c del RGPD)-.

Si bien la obligación legal como base jurídica que legitima la recogida de los datos no parece plantear problema alguno, no parece ser así con el registro de las fotografías de los clientes. ¿Es el registro de estas imágenes estrictamente necesario para la correcta gestión hotelera y el cumplimiento de la obligación legal aplicable al responsable? Parece cuestionable.

En este punto, la empresa amparó el registro de dichas fotografías en la existencia de un interés legítimo para verificar la identidad de sus clientes en los consumos realizados durante su estancia, evitando así un uso fraudulento de la tarjeta por parte de terceros (artículo 6.1 f).

Recordemos que, en virtud de lo establecido en la normativa europea, solo cabrá valorar la aplicabilidad esta base de licitud del tratamiento cuando este se considere necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.

Así, para invocar el interés legítimo como fundamento jurídico para el tratamiento de los datos personales, se necesitará realizar previamente, un triple juicio de ponderación que estudie la idoneidad, necesidad y proporcionalidad, en sentido estricto, del tratamiento analizado, así como interpretarlo de conformidad con el principio de minimización de los datos (artículo 5.1 c del RGPD). Dicho Juicio o prueba de ponderación entre el interés del responsable y los derechos del interesado no se llegó a justificar nunca por la empresa reclamada.

Sumado a esta falta de justificación de los intereses legítimos, que conlleva la desinformación del reclamante sobre la base legitimadora del tratamiento de sus datos, se constata que la cláusula informativa en materia de protección de datos facilitada a los clientes no incluía detalle alguno sobre la recogida y utilización de sus fotografías, ni figuraba dicho tratamiento en el Registro de Actividades de Tratamiento de la Entidad. Y, así mismo, no se llegó a aportar por parte de la empresa sancionada la información requerida en el procedimiento de instrucción: copia de la política de privacidad en todas sus versiones vigentes a partir de la entrada en vigor del Reglamento, así como cualquier aviso de privacidad y canal habilitado por la compañía para dar a conocer esta información a los interesados.

Por todo ello, y existiendo además medios menos invasivos para la consecución del fin alegado (verificar la identidad del usuario para evitar pagos fraudulentos) como, por ejemplo, solicitar al cliente su número de habitación, la recogida y utilización de la fotografía de los clientes por parte de la Entidad supone un tratamiento de datos personales excesivo que impide invocar el interés legítimo como base jurídica que lo legitime y que requiere, en consecuencia, de otra base legitimadora como es el consentimiento válido del interesado.

En definitiva, como futuros clientes de un alojamiento turístico, el Hotel solo podrá tratar aquella información personal contenida en su pasaporte amparándose en el cumplimiento de la obligación legal que le es aplicable, a excepción de su fotografía que no podrá ser registrada en los sistemas de información de la Entidad salvo que disponga de su consentimiento expreso.

Lucía Simón Marcos

Equipo Govertis

El Rol de la UTES en materia de Protección de Datos

Las empresas pueden constituirse a través de distintas formas jurídicas. Una de ellas es formalizando un acuerdo de constitución de Unión Temporal de Empresas (UTE), regulada en la Ley 18/1982, de 26 de mayo, sobre Régimen Fiscal de Agrupaciones y Uniones Temporales de Empresas y sociedades de Desarrollo Industrial Regional. Se trata de una modalidad contractual de colaboración empresarial en el que las sociedades que la componen se unen para conseguir beneficios fiscales, y sobre todo, concurrir a los procedimientos de adjudicación de contratos públicos de mayor relevancia.

¿Qué características reúnen las UTEs?

• Carecen de personalidad jurídica propia.
• No tienen capacidad para ser titulares de derechos y contraer obligaciones
• No tienen patrimonio propio sino bienes afectos a una finalidad concreta.
• Tienen una duración limitada que, normalmente, será la misma que la obra, servicio o proyecto para el que fueron constituidas, y con el límite máximo de 25 años.

Bajo estas premisas, vamos a ir respondiendo alguna de las preguntas que se nos plantean:

1. ¿Puede un ente sin personalidad jurídica ser responsable del tratamiento de datos de carácter personal?

La propia Agencia de Protección de Datos Catalana, comentaba en uno de sus dictámenes (dictamen 4/2018), lo siguiente relativo a una Consulta de un Ayuntamiento, respecto a la figura del “Pacto territorial”:

“Hemos dicho que el Pacto es un ente sin personalidad jurídica. Por lo tanto, de acuerdo con la LOPD, en la medida en que el Pacto decide sobre la finalidad, el contenido y el uso del tratamiento de los datos de carácter personal, parece que debe ser considerado responsable del fichero o tratamiento, aunque por carecer del requisito de tratarse de una persona física o jurídica, podrían plantearse algunas dudas”. 

Dudas, que se esfumaban tras acudir al art 5.1.q. del RLOPD, que recogía expresamente la mención a entes sin personalidad jurídica: “Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.”

¿Qué ocurre ahora?

No se menciona de forma expresa. Si echamos mano de jurisprudencia posterior a la entrada en vigor del RGPD, encontramos la sentencia de la Sala Tercera del TJUE de 9 de julio de 2020 (“VQ contra Land Hessen”), que considera que debe calificarse como responsable del tratamiento a la “Comisión de Peticiones del Parlamento”  a quien considera “Autoridad Pública”, pese a que la Comisión de Peticiones no goza de personalidad jurídica.

Por tanto, en línea con esta interpretación del TJUE y por seguir una línea continuista con la legislación anterior, podríamos entender que los entes sin personalidad jurídica sí que podrían ser considerados como responsables del tratamiento, o, al menos, sí, en algunos casos.

2. Entonces, ¿Podría una UTE ser directamente responsable de tratamiento?

Estudiemos las relaciones que tiene la UTE desde dos ópticas distintas:

• De cara a sus relaciones externas, y con el fin de identificarse en el tráfico como sujeto diferenciado, una UTE puede tener su propia web para promocionar sus servicios. En estos casos, será la propia UTE la que aparezca en la Política de Privacidad como Responsable de Tratamiento. De esta forma, los terceros pueden identificar a ese grupo de empresas que se han dado a conocer bajo el nombre de una UTE concreta.

En otras ocasiones, las sociedades integrantes de la UTE no tendrán una web específica como grupo (como ocurre con la UTE AEC-Govertis, por poner un ejemplo de esta casa), pero probablemente si acudimos a las webs de las sociedades que la integran, veremos que, con carácter general, cada una de ellas aparecerá como Responsable del Tratamiento en la Política de Privacidad.

De tal forma, que, para la UTE, entendida como un “ente en sí mismo”, no será necesario que exista un Registro de Actividad del Tratamiento, sino que serán las sociedades que integren la misma, las que, en su Registro de Actividades del Tratamiento, deban incluir los tratamientos que esa sociedad esté llevando a cabo, entre los cuales por supuesto se habrán de incluir los tratamientos con implicaciones en protección de datos en los que participe a través de esa UTE.

• De cara a sus relaciones internas, cada sociedad integrante de la UTE es responsable de los tratamientos de datos de carácter personal que realiza. En este sentido (y, aunque habla de “ficheros”, por ser anterior a la nueva normativa), la Agencia Española de Protección de Datos vino a decir lo siguiente en el documento “Memoria 2000”:

“En los casos de Grupo de Empresas y de Unión Temporal de Empresas, habrá que tener en cuenta que el grupo como tal carece de personalidad jurídica y que las sociedades integradas en el Grupo conservan su personalidad jurídica propia, por lo que cada una de éstas seguirá siendo responsable de sus ficheros. Las Agrupaciones de Interés Económico al tener personalidad jurídica podrán ser responsables de ficheros.”

3. ¿Qué roles puede tener la UTE?

En cuanto a sus relaciones externas, lo habitual es que varias empresas decidan unirse para poder resultar adjudicatarias de licitaciones públicas, y prestar un servicio concreto. Por tanto, si prestan un servicio en el que hay un tratamiento de datos de carácter personal sobre el que la empresa licitante haya decidido sobre los fines y medios del tratamiento, la UTE tendrá el rol de encargada del tratamiento, para ese tratamiento en concreto.

También podríamos plantearnos que la UTE actuase como subencargado de tratamiento, si el encargado inicial decide recurrir a la UTE para la prestación del servicio.

En cuanto a sus relaciones internas, ya vimos que cada sociedad integrante de la UTE es responsable de los tratamientos de datos de carácter personal que lleva a cabo.

El punto de partida es determinar quien toma las decisiones sobre los fines y los medios empleados, que, en definitiva, es la definición del art.2 del RGPD del concepto Responsable de tratamiento:

Persona física o jurídica, autoridad pública, servicio u otro organismo, que solo junto con otros, determine los fines y medios del tratamiento.

Por tanto, tenemos dos opciones en relación al rol de las sociedades que integran la UTE:

• Responsables del tratamiento: si cada sociedad que integra la UTE determina los fines y los medios del tratamiento, se considerará responsable.
• Corresponsables del tratamiento: Si todas las sociedades que componen la UTE han determinado conjuntamente los fines y los medios del tratamiento, podemos estar ante corresponsables del tratamiento. Por tanto, las sociedades tendrán que haber suscrito un contrato de corresponsabilidad en el que hayan delimitado el alcance y la responsabilidad de cada sociedad, así como determinar qué sociedades se va a encargar de dar información y atender los ejercicios de derechos del interesado, establecer qué sociedad va a actuar como punto de contacto con la AEPD, cuál de ellas va a comunicar las posibles brechas de seguridad, quien va a gestionar el registro de actividades del tratamiento, etc.

4. ¿Puede la UTE ser parte demandada en un procedimiento judicial y, por tanto, ser sancionada por la AEPD?

Sí. Precisamente, debido a la falta de personalidad jurídica que hemos comentado a lo largo del artículo, es muy común alegar esta falta de capacidad en los procesos judiciales. No obstante, la jurisprudencia ha venido asimilando las UTEs a las uniones sin personalidad, a las que se le reconoce esta capacidad en la LEC. La AEPD podría sancionar a una UTE en caso de vulnerar la normativa. Los miembros de la UTE responden solidaria e ilimitadamente frente a terceros.

Laura Domínguez Vega

Equipo Govertis

Gestión de la privacidad: conociendo la norma UNE-EN ISO/IEC 27701:2021

El pasado 3 de diciembre de 2021, la Asociación Española de Normalización (UNE) publicó la Norma UNE-EN ISO/IEC 27701:2021 Técnicas de seguridad. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices. (ISO/IEC 27701:2019).  Esta Norma es la versión oficial de la norma ISO/IEC 27701:2019 en español. Es una traducción muy esperada a nivel nacional y por los especialistas en privacidad de Hispanoamérica.

La Norma surge de la necesidad de las empresas de poder certificar la gestión de las obligaciones de protección de datos. Debemos de hacer referencia a las principales características de la misma:

• El Estándar incorpora los requisitos para garantizar la adecuada gestión de los datos de carácter personal a través de la implantación de un sistema de gestión. El Sistema de Gestión de Privacidad de la Información (SGPI) se configura bajo los criterios de mejora continua. La Norma alude en todo momento a Información Personal Identificable (IIP) como fundamental a proteger.
• Es una norma certificable.
• Es una extensión de las normas ISO/EC 27001 e ISO/IEC 27002. Ello implica que para su interpretación debe partirse de estos dos estándares de seguridad de la información. Además, para obtener la certificación es necesario contar con la certificación ISO/IEC 27001. De hecho, el alcance certificable en ISO/IEC 27701 estará delimitado por el obtenido bajo la norma ISO/IEC 27001. No obstante, para aquellas entidades que no hayan obtenido la norma ISO/IEC 27001 todavía, resultaría recomendable implementar las dos normas de forma conjunta, estableciendo así tanto el Sistema de Gestión de Seguridad de la Información (SGSI) bajo la norma ISO/IEC 27001 y el Sistema de Gestión de Privacidad de la Información bajo la norma ISO/IEC 27701.
• La norma se estructura en ocho apartados y seis anexos. Los cuatro primeros apartados del estándar son de carácter general. Son de máxima importancia los apartados del quinto al octavo y los anexos A y B.
  • En el apartado 5, se detallan los Requisitos específicos del SGPI relacionados con la Norma ISO/IEC 27001. En este apartado se detallan las apreciaciones relacionadas con privacidad que deben tenerse en cuenta en los controles del estándar ISO/IEC 27001. Con la misma sistemática que en el apartado 5, en el apartado 6, encontramos la “Guía específica del SGPI relacionadas con la Norma ISO/IEC 27002”.
  • En el apartado 7 se incorpora la Guía adicional de la Norma ISO/IEC 27002 para el responsable del tratamiento de IIP y en el apartado 8 la Guía adicional de la Norma ISO/IEC 27002 para el encargado del tratamiento de IIP. Estas dos normas se complementan con lo dispuesto en los Anexos A y B. En estos dos apartados se especifican los controles específicos que han de tener en cuenta las entidades que actúan como responsables del tratamiento y aquellas que lo hacen como encargadas del tratamiento.

El Reglamento 679/2016 General de Protección de Datos (RGPD) establece la obligación de cualquier entidad que actúe como responsable del tratamiento de cumplir con lo dispuesto en los principios de protección de datos y además ser “capaz de demostrarlo”. La obtención de la certificación de este estándar internacional podrá ser muy útil para demostrar la necesaria diligencia debida que exige la normativa de protección de datos. La principal ventaja de establecer el Sistema de Gestión de Privacidad de la Información conforme a la Norma UNE-EN ISO/IEC 27701 es precisamente, reforzar frente a clientes, proveedores y, en definitiva, cualquier interesado, el compromiso de la organización con la seguridad de la información y el cumplimiento normativo en protección de datos. Para cualquier entidad, su implantación aporta un alto valor diferencial frente a sus competidores.

 Santiago Cruz Roldán

Equipo Govertis

Invocar el interés legítimo para tratar datos personales

El Reglamento Europeo de Protección de Datos. Reglamento 679/2016, RGPD, en su artículo 6 establece que todo tratamiento deberá basase una de las 6 bases legitimadoras que en él se establece, siendo una de ellas el Interés Legítimo.

Pero, ¿qué es el Interés Legítimo?

Según lo que indica el RGPD en su artículo 6.f., el tratamiento de los datos personales podrá basarse en esta base legitimadora cuando “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”

Como en el propio artículo se indica, el tratamiento debe de suponer un beneficio o un interés para el Responsable del tratamiento o un tercero, siempre y cuando este beneficio o interés prevalezca sobre los derechos y libertades fundamentales del interesado.

¿Qué requisitos debe tener el interés legítimo para poder utilizarlo como base legitimadora?

El interés legítimo deberá ser:

• Lícito, es decir, que no se trata de un tratamiento ilegal o ilícito.
• Real y actual, no pudiendo tratarse de un interés hipotético o futuro.
• Necesario, lo que supondrá que, si el interés perseguido no fuera imprescindible o pudiera alcanzarse llevando a cabo un tratamiento menos intrusivo desde el punto de vista de la privacidad (ej. Conseguir el mismo objetivo sin tratar datos personales), se tendría que optar por esa opción.
• Que no prevalezcan los derechos y libertades de los interesados sobre el interés legítimo perseguido.

Por ello, se recomienda llevar a cabo un Análisis del Interés Legítimo de manera muy detallada, que permita analizar todos estos factores y que ayude a determinar si esta base legitimadora es apta para llevar a cabo este tratamiento o se debe de optar por otra base alternativa (como el consentimiento del interesado) o por no llevar a cabo el tratamiento. Este análisis no está tasado por la normativa y, por tanto, puedes utilizar o elaborar aquél que te permita analizar correctamente estos aspectos. Eso sí, trata de ser lo más exhaustivo y riguroso posible, y argumentar mucho las conclusiones obtenidas, ya que esa será la prueba de probar que efectivamente el Interés Legítimo era una base legitimadora adecuada.

Ahora bien, este análisis no está libre de subjetividad, puesto que está realizado por el propio Responsable del Tratamiento o tercero que va a beneficiarse de llevar a cabo el tratamiento, por tanto, y a fin de tratar de mitigar esa subjetividad lo máximo posible, recomendamos que acuda a terceros ajenos para consultar su criterio (como un despacho de abogados o consultores externos), o a asociaciones de consumidores y usuarios, que permitan ofrecer esa visión más objetiva sobre el análisis realizado y el tratamiento a llevar a cabo.

Tras el análisis realizado, y una vez llegada a la conclusión de que el Interés Legítimo es la base legitimadora adecuada, ¿Qué otros aspectos se deben tener en cuenta?

• El deber de información: Cuando se base un tratamiento en el interés legítimo, se deberá informar de ello a los interesados de manera clara y concisa. Utilizando un lenguaje que les permita comprender la información que se les está trasladando. En cuanto a sobre qué informar, se deberá indicar el tratamiento que se basa en esta base legitimadora, los datos que se van a utilizar para realizarlo, y el beneficio o interés perseguido por el Responsable o por el tercero. 

• El derecho de oposición: cuando un tratamiento se base en el interés legítimo, se deberá facilitar a los interesados oponerse a este tratamiento de manera sencilla. Para ello, se recomienda utilizar técnicas de opt -out, o casillas sin pre-marcar para indicar la oposición, o alguna dirección de correo electrónico al que dirigirse para ejercer este derecho.

Para finalizar, recordar que esta base legitimadora es tan válida como el resto de bases legales establecidas en el RGPD, únicamente se deberá de contar con las garantías adecuadas para poder aplicarlo.

Cristina Giménez Vivancos

Equipo Govertis

Las novedades que trae la instrucción de la AEPD 1/2021

Desde su entrada en vigor en 2016, y más adelante, desde el comienzo de su aplicación directa en mayo de 2018, el RGPD ha incorporado al ordenamiento jurídico europeo en materia de protección de datos el principio de “orientación al riesgo”. Esto significa que las entidades que manejen datos de carácter personal, ya sea como responsables, corresponsables o encargados de tratamiento, tienen la obligación de identificar, analizar y evaluar los riesgos que para los derechos y libertades de los interesados conllevan los distintos tratamientos de datos que realizan y, en consecuencia, aplicar medidas de mitigación o eliminación de dichos riesgos.

En aquellos casos en los que se proyecte un nuevo tratamiento de datos este análisis de riesgos va a tener que ser cualificado en función precisamente del nivel de riesgos que a priori dicho tratamiento implique. Así se consagra la figura de la Evaluación de Impacto relativa a la Protección de Datos (en adelante EIPD), que, con base en el art. 35 del RGPD, deberá llevarse a cabo cuando el tratamiento, servicio o producto proyectado presente a priori un “alto riesgo” para los derechos y libertades de los interesados.

A estas alturas del artículo, el lector ya habrá advertido el entorno de “términos jurídicos indeterminados” en el que se mueven las entidades que desean cumplir con la normativa. Es por ello, que el RGPD incorpora un sistema de consulta previa a la autoridad de control para aquellos supuestos en los que, tras la EIPD, se determina que, a pesar de las medidas identificadas para eliminar, mitigar o trasladar el riesgo no son suficientes.

El art. 36 del RGPD regula la consulta previa entorno a la EIPD. estableciendo que la consulta previa procederá antes del tratamiento de datos cuando una evaluación de impacto, realizada conforme al art. 35 del RGPD, indique que el tratamiento sometido a evaluación puede entrañar un alto riesgo a pesar de las medidas identificadas en función del análisis de riesgos realizado en el seno de la EIPD. Por tanto, cuando la conclusión de la EIPD no es favorable y el tratamiento no fuese posible, existe la vía de la consulta previa a la autoridad de control.

Cabe destacar el límite temporal de la misma ya que debe realizarse antes de poner en práctica el tratamiento sometido a evaluación.

La AEPD ha precisado que »no es un trámite dirigido a ciudadanos ni a responsables que no requieran completar una EIPD. Tampoco va dirigido a responsables que hayan conseguido mitigar el riesgo tras la aplicación de las medidas oportunas. Para estos casos, la AEPD pone a su disposición medios de consulta y petición de información a través del canal del ciudadano y el del responsable, respectivamente».

Asimismo, concreta el apartado 2 del artículo 36 del RGPD que:

»Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta».

El art. 36, apartado 3, del RGPD, establece la información que el tratamiento debe facilitar la siguiente información en la consulta a la autoridad de control:

• En su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial.
• Los fines y medios del tratamiento.
• Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
• Si lo hubiera, los datos de contacto del Delegado de Protección de Datos. Indicar al respecto que el art. 39, apartado 1, letra e), del RGPD, que el DPD tiene como función, entre otras, actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, entre las que se incluye la consulta previa o realizar consultas sobre otros asuntos.
• La EIPD completada.
• Cualquier otra información que solicite la autoridad de control.

Debe señalarse, que la LOPDGDD dispone en su artículo 73, letra u) que el incumplimiento de la consulta previa, en los casos previstos a tal efecto, se considera infracción grave, con un plazo de prescripción de dos años.

Pues bien, recientemente, la AEPD ha publicado la Instrucción 1/2021, de 2 de noviembre, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el RGPD, y la LOPDGDD, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.

En el capítulo IV se regula la función consultiva específica, contemplada en el art. 36 del RGPD, cuando las conclusiones de una EIPD muestren que el tratamiento al que se refiere entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo, lo cual supone una ampliación de información respecto a aquella exigida en el art. 36.3 del RGPD. La información requerida para realizar la consulta incluye:

• Identificación del tratamiento y, en su caso, de la versión del mismo a la que corresponde la EIPD.
• Fecha, firma y datos de contacto del responsable del tratamiento, de quien ha elaborado la documentación de la EIPD y, en caso de que exista o deba existir DPD, fecha, firma y datos de contacto del DPD.
• En el caso de que se haya presentado previamente una consulta previa sobre el mismo tratamiento, sumario de las modificaciones introducidas en la naturaleza, contexto, ámbito, fines, riesgos y garantías del tratamiento.
• Descripción del contexto interno y externo de la organización en la que se desenvuelve el tratamiento y la EIPD.
• Identificación inequívoca y datos de contacto de todos los intervinientes en el tratamiento con sus roles.
• Demostración del cumplimiento en el tratamiento de los principios y derechos establecidos en el RGPD, en particular, de una base jurídica.
• Descripción sistemática del tratamiento.
• Factores que determinan la realización de la EIPD y de la consulta previa.
• Descripción del proceso de gestión formal de los riesgos para los derechos
• Descripción del proceso de gestión formal de los riesgos para los derechos y libertades de los interesados, en particular, la identificación de los factores de riego, su análisis, la evaluación del nivel de riesgo del tratamiento y los mecanismos y garantías introducidos para minimizarlos incluyendo:
• Las medidas establecidas sobre el concepto y diseño del tratamiento,
• Las medidas de gobernanza y políticas de protección de datos,
• Las medidas de protección de datos desde el diseño,
• Las medidas de protección de datos por defecto,
• La relación de activos y las medidas de seguridad para la protección de los derechos y libertades de los interesados.
• En su caso, el análisis de la opinión de los interesados o de sus representantes en relación con el tratamiento previsto.
• La evaluación objetiva y positiva de la necesidad y proporcionalidad del tratamiento.
• Criterios para reevaluar la EIPD y, en su caso, de caducidad del tratamiento.
• Cualquier otra documentación adicional necesaria para proporcionar a la autoridad de control la información completa y exacta sobre el tratamiento.

Por último, se señala que el desarrollo de la documentación de la EIPD deberá contemplar lo señalado por la AEPD en sus guías y recomendaciones, en particular, lo señalado en la guía «Gestión del riesgo y evaluación de impacto en tratamientos de datos personales» publicada en junio de 2021.

Daniel Murcia

Equipo Govertis

Me han nombrado Servicio Esencial ¿y ahora qué hago?

Este es un tema de Compliance; es decir, que tenemos que cumplir la ley.  ¿Qué ley? En este caso es la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas”, así como el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. Hay más normas relacionadas que luego iremos comentando, pero por ahora nos centramos en estas dos.

• Servicio Esencial, Ley de infraestructuras Críticas, ¿qué es esto?
• Ley 8/2011, art. 2. Definiciones.

“A los efectos de la presente Ley, se entenderá por:

1. a) Servicio esencial: el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas; (…)
2. e) Infraestructuras críticas: las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.”

Resumiendo, que las Infraestructuras Críticas son los activos o elementos que dan soporte al Servicio Esencial.

Vale, pero yo sigo igual. ¿Qué son las Infraestructuras Críticas?

Las Infraestructuras Críticas son el conjunto de activos esenciales para el funcionamiento de una sociedad y de su economía y que son:

• Necesarias para suministro de servicios esenciales.
• Indispensables. No hay solución alternativa.
• De carácter públicos y/o privados.
• Con grave impacto sobre la sociedad.

Una vez entrados en materia, destacar un detallito, esta información es secreta:

• Ley 8/2011, Art. 3:

“El Catálogo Nacional de Infraestructuras Estratégicas tiene, conforme a lo dispuesto en la legislación vigente en materia de secretos oficiales, la calificación de SECRETO, conferida por Acuerdo de Consejo de Ministros de 2 de noviembre de 2007”

Por lo tanto, olvidaros de iros a las Redes Sociales a pregonar que el Servicio X, de la empresa Y, ha sido nombrado Servicio Esencial. Un poquito de mesura.

Continuamos con la Ley 8/2011. Vamos a destacar uno de los pilares fundamentales, los roles.

En cuanto a los roles, se deben crear los siguientes:

• Artículo 16. El Responsable de Seguridad y Enlace.
• 1. Los operadores críticos nombrarán y comunicarán al Ministerio del Interior un Responsable de Seguridad y Enlace con la Administración en el plazo que reglamentariamente se establezca.
• 2.En todo caso, el Responsable de Seguridad y Enlace designado deberá contar con la habilitación de Director de Seguridad expedida por el Ministerio del Interior según lo previsto en la normativa de seguridad privada o con la habilitación equivalente, según su normativa específica.”

• Artículo 17. El Delegado de Seguridad de la Infraestructura Crítica.

“1. Los operadores con Infraestructuras consideradas Críticas o Críticas Europeas por el Ministerio del Interior comunicarán a las Delegaciones del Gobierno o, en su caso, al órgano competente de la Comunidad Autónoma con competencias estatutariamente reconocidas para la protección de personas y bienes y para el mantenimiento del orden público donde aquéllas se ubiquen, la existencia de un Delegado de Seguridad para dicha infraestructura.”

Otro de los pilares son los planes, estos se encuentran en el RD 704/2011.

De los planes que se mencionan en este RD:

1. 1. CAPÍTULO I. El Plan Nacional de Protección de las Infraestructuras Críticas
   2. CAPÍTULO II. Los Planes Estratégicos Sectoriales

• CAPÍTULO III. Los Planes de Seguridad del Operador

• CAPÍTULO IV. Los Planes de Protección Específicos

1. CAPÍTULO V. Los Planes de Apoyo Operativo

Solo están bajo nuestra responsabilidad el tres y el cuatro, que es donde vamos a poner el foco.

• ¿Qué es un Plan de Seguridad del Operador (PSO)?
• Art. 22. 1:

“1. Los Planes de Seguridad del Operador son los documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión.”

• ¿Qué debe contener dicho Plan?
• Política general y marco de gobierno.
• Relación de servicios esenciales.
• Metodología de AARR (amenazas físicas y lógicas).
• Criterios de aplicación de medidas de seguridad integral.
• Documentación complementaria.

• ¿Cuánto tiempo tenemos para presentarlo?

• Art. 22. 2:

“2. En el plazo de seis meses a partir de la notificación de la resolución de su designación, cada operador crítico deberá haber elaborado un Plan de Seguridad del Operador y presentarlo al CNPIC, que lo evaluará y lo informará para su aprobación, si procede, por el Secretario de Estado de Seguridad u órgano en el que éste delegue.”

• ¿Cada cuánto tiempo se revisa
• Artículo 24:

“1. Los Planes de Seguridad del Operador deberán ser revisados cada dos años por los operadores críticos y aprobados por el CNPIC. Éste podrá requerir en cualquier momento información concreta sobre el estado de implantación del Plan de Seguridad del Operador.”

• ¿Y un Plan de Protección Específico (PPE)?
• Art. 25:

“Los Planes de Protección Específicos son los documentos operativos donde se deben definir las medidas concretas ya adoptadas y las que se vayan a adoptar por los operadores críticos para garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas.”

Deben estar alineados con el PSO y contener:

• Organización de la seguridad.
• Descripción de la infraestructura.
• Resultado del AARR: medidas de seguridad (existentes y por implementar) permanentes, temporales y graduales, para las diferentes tipologías de activos a proteger y según los diferentes niveles de amenaza declarados a nivel nacional.
• Plan de acción propuesto (por cada activo evaluado en el AARR).
• Art. 25:

“En el plazo de cuatro meses a partir de la aprobación del Plan de Seguridad del Operador, cada operador crítico deberá haber elaborado un Plan de Protección Específico por cada una de sus infraestructuras críticas así consideradas por la Secretaría de Estado de Seguridad y presentarlo al CNPIC. Igual procedimiento y plazos se establecerán cuando se identifique una nueva infraestructura crítica.”

• Art. 27:

“1. Los Planes de Protección Específicos deberán ser revisados cada dos años por los operadores críticos”

Mencionar, que para ambos planes existen unas guías de buenas prácticas donde se desarrollan todas las actividades necesarias.

Y para finalizar con este RD, destacar nuestro punto de contacto:

• Art. 7. El Centro Nacional para la Protección de las Infraestructuras Críticas.

“El CNPIC del Ministerio del Interior, orgánicamente dependiente de la Secretaría de Estado de Seguridad, tendrá el nivel orgánico que se determine en la correspondiente relación de puestos de trabajo, y desempeñará las siguientes funciones:

1. a) Asistir al Secretario de Estado de Seguridad en la ejecución de sus funciones en materia de protección de infraestructuras críticas, actuando como órgano de contacto y coordinación con los agentes del Sistema.»

Como hemos mencionado al principio, existen otras dos leyes que hay que tener en cuenta. 

El 6 de julio del 2016, el Parlamento Europeo aprobó la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS (Security of Network and Information Systems).

Este Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, es la transposición de la citada Directiva NIS al ordenamiento jurídico español.

• ¿Y qué tiene que ver con la Ley 8/2011 de Infraestructuras Críticas?
• Lo vemos en su Art. 1:

“1. El presente real decreto-ley tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.”

De esta ley destacamos dos puntos cruciales:

• Art.16.3:

“Responsable de Seguridad de la Información: Persona, unidad u órgano colegiado responsable de la seguridad de la información»

Este rol es diferente de los dos anteriores.

• Título VII, Régimen Sancionador. Art. 37:

Infracción Grave o Muy Grave (hasta 1.000.000 €)»

Este régimen sancionador se suma a los ya aplicables, como son:

• L.O. DE SEGURIDAD CIUDADANA: Art. 35 – Infracción Grave (hasta 600.000 €)
• LEY DE SEGURIDAD PRIVADA: Art. 59 – Infracción Grave o Muy Grave (Hasta 100.00 €)

Y no solo sanciones administrabas, también podemos tener sanciones penales:

• Hasta 3 años de Cárcel (CP). Art. 264: Daños informáticos en Infraestructuras Críticas. Arts. 263-267: Daños por negligencia, falta de diligencia u omisión
• Hasta 5 años de Cárcel (CP). Art 325: Contra el medio ambiente y el entorno

Y, por último, tenemos el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Este Real Decreto profundiza en un punto primordial de la gestión de la seguridad, como es la Gestión de Incidentes. 

Ya no se habla de si habrá o no habrá un incidente. Hoy en día, de lo que se habla es de cuándo se producirá un incidente y de cómo responderemos a dicho incidente.

Espero que este breve resumen os ayude a afrontar el reto de ser nombrado Servicio Esencia.

Tomás González

Equipo Govertis

Compliance penal: información básica a tener en cuenta por las empresas

El objeto de este artículo es informar de los aspectos esenciales y la conveniencia de elaborar e implantar un Plan de Prevención de Delitos (PPD) (COMPLIANCE). Aplica al sector privado y a sociedades mercantiles públicas

1. PLAN DE PREVENCIÓN DE DELITOS Y COMPLIANCE

La nueva legislación, el criterio de la Fiscalía General del Estado y las recientes sentencias del Tribunal Supremo que ya empiezan a condenar empresas por los delitos cometidos en su seno, hacen necesarios este tipo de Planes de Prevención de Delitos.

Por muy pequeña que sea, nuestra empresa no se halla exenta de responsabilidad penal, de modo que deberemos organizarnos para implementar una gestión basada en comportamientos saludables, con el objetivo de cumplir las normas y gestionar el riesgo de forma más segura, pero también más rentable.

El compliance penal redunda en un Plan de Prevención de Delitos que nace para garantizar el respeto a la normativa y la alineación de las organizaciones con la cultura del cumplimiento, y es además un requisito indispensable para acogerse a la exención de responsabilidad que prevé el código penal en caso de comisión de un delito en el seno de entidad.

2. ¿POR QUÉ NECESITO UN PLAN DE PREVENCIÓN DE DELITOS?

El Código Penal establece penas muy importantes para las empresas que sean condenadas por algún delito cometido por sus administradores, directivos o empleados y, para poder estar exentas de responsabilidad penal, las empresas deben implantar un Plan de Prevención de Delitos.

3. ¿A QUÉ PENAS SE PUEDE ENFRENTAR MI EMPRESA?

Las penas a las que se enfrenta la empresa son: multas, que pueden llegar hasta los 9 millones de euros; inhabilitación para recibir subvenciones o contratar con el sector público; prohibición temporal para realizar actividades y otras penas que pueden llegar hasta el cierre de actividades, es decir, la muerte legal de la empresa.

4. ¿QUÉ DELITOS SE PUEDEN COMETER EN MI EMPRESA?

Los delitos que se pueden cometer por parte de los empleados, directivos o administradores y que tienen responsabilidad penal en su empresa son muy variados, entre otros, los siguientes:

• 156 BIS, Tráfico de Órganos;
• 177 BIS, trata de seres humanos;
• 187 a 189 BIS prostitución y corrupción de menores;
• 197 quiniquies: acceso ilícito a datos y procesos informáticos;
• 251 Estafa;
• 257 a 261 BIS: Insolvencias Punibles;
• 264 Delitos informáticos; 270 y 272: Delitos relativos a la propiedad Intelectual;
• 273: Delitos relativos a la propiedad Industrial;
• 274 delitos contra el derecho de marcas;
• 275 delitos por utilización indebida de “denominación de origen»;
• 278: Delitos relativos al mercado y los consumidores;
• 284: Alteración de precios de productos, títulos, instrumentos financieros;
• 285 Utilización de información privilegiada; 286 Acceso a servicios de comunicación sin permiso del prestador de servicios;
• 298 a 302.2: Receptación y blanqueo de capitales;
• 304 BIS 5: Financiación ilegal de Partidos políticos;
• 305 a 310 BIS: Delitos contra la Hacienda Pública y la Seguridad Social;
• 318 BIS Tráfico ilegal de personas, e inmigración clandestina;
• 319: Delitos contra la ordenación del territorio;
• 325 a 331 Delitos contra el medio ambiente y los recursos naturales;
• 341 a 345: Vertidos nucleares o radiactivos;
• 348 a 350: Delitos de riesgo por manipulación de explosivos y otros agentes;
• 366: Delitos contra la salud pública y despacho ilegal de medicamentos o adulteración de alimentos y bebidas;
• 368 y 369: actos de cultivo y elaboración de drogas tóxicas para consumo ilegal;
• 386: Falsificación de moneda y efectos timbrados;
• 399 BIS: Falsificación de tarjetas de crédito;
• 419 a 427 Cohecho;
• 428 a 430: Tráfico de influencias;
• 445: Corrupción en transacciones comerciales e internacionales;
• 510: Incitación al odio y la discriminación; 570: Promover y constituir organizaciones criminales;
• 576: Financiación del terrorismo; y
• Art. 2.6 LO 6/2011: Contrabando.

5. ¿CUÁLES SON LOS BENEFICIOS DE IMPLANTAR UN PLAN DE PREVENCIÓN DE DELITOS?

El más importante; evitar la imputación de la empresa en el caso de que se cometa un delito en su seno por un comportamiento inadecuado de sus directivos o empleados. Pero también produce ventajas importantes:

• Detecta riesgos y evita incidencias que podrían ocasionar sanciones administrativas o indemnizaciones civiles.
• Evita responsabilidades penales en el órgano de administración de la entidad por hechos cometidos por los empleados
• Mejora la gestión ya que nos permite encontrar áreas de mejora, detectar a tiempo errores o vicios de comportamiento
• Mejora la reputación al involucrar a toda la organización en la consecución de un comportamiento ético que se reflejará en la percepción que de nosotros tiene la sociedad y particularmente nuestros clientes y proveedores.
• Mejora la contratación al transmitir esa confianza a nuestros proveedores financieros, de seguros, Hacienda, Seguridad Social, organismos públicos, etc. Y nos permitirá acceder a productos y contrataciones en mejores condiciones y precios.
• Mejora la seguridad al poder detectar fraudes, la utilización indebida de los medios de la empresa, robos y actitudes impropias en los mandos intermedios, empleados y proveedores.

6. ¿QUÉ DEBO HACER PARA IMPLANTAR UN PROGRAMA DE CUMPLIMIENTO NORMATIVO PENAL?

La empresa:

i. Identificará las actividades en cuyo ámbito puedan ser cometidos los delitos que deban ser prevenidos.

Se trata de determinar, en cada empresa, cuáles son los riesgos delictivos más frecuentes, no sólo determinar qué delitos sean los más usuales en la rama de actividad a que se dedica la empresa, sino también las actividades donde se cometen o pueden cometerse los delitos a prevenir.

Ha de considerarse como un indicador positivo el análisis de los bloques normativos que impactan en la actividad de la organización y los riesgos eventuales que de los mismos puedan derivarse, fijando una probabilidad del riesgo en cada uno de los bloques normativos y de actividades. La participación de expertos independientes, ajenos a la organización es, qué duda cabe, un aspecto positivo a valorar en el Programa de prevención

ii. Establecerán los protocolos que concreten el proceso de formación de la voluntad de la persona jurídica y la adopción de acuerdos.

El Programa de cumplimiento y prevención debe prever esos procesos de formación de la voluntad de la persona jurídica que afecten a las actividades de la empresa potencialmente peligrosas o de riesgo, señalando qué personas (con el perfil adecuado) deben intervenir, a quien debe reportarse la información sobre los riesgos y, en todo caso, debe asegurarse que la decisión adoptada tiene el mínimo riesgo posible en la comisión de los delitos que pretenden prevenirse.

iii. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

Está claro que un Programa de prevención de los delitos necesita disponer de recursos financieros suficientes para poder atender a las necesidades del plan.

iv. Impondrán la obligación de informar de posibles riesgos e incumplimientos al órgano encargado de vigilar y velar por el buen funcionamiento del modelo de prevención.

Dicha obligación engarza directamente con el reporte de cumplimiento. Los cometidos de reporte no sólo se entienden como una función del órgano encargado del cumplimiento hacia el órgano de administración, sino también como una actividad hacia la función de cumplimiento, es decir, desde los empleados hacía el encargado de cumplimiento. Esto se traduce en un canal de denuncias

v.- Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

Sin el establecimiento de un sistema disciplinario que corrija los incumplimientos del programa de compliance perdería todo su sentido la propia función de compliance. Como establece la Fiscalía General del Estado, la obligación de establecer un sistema disciplinario adecuado que sancione el incumplimiento de las medidas adoptadas en el modelo presupone la existencia de un código de conducta en el que se establezcan claramente las obligaciones de los directivos y los empleados. Y lleva consigo, como correlato de la obligación, el deber de garantizar la confidencialidad en las denuncias, para lo cual son esenciales los canales de denuncia protectores para con el denunciante (Circ FGE 1/2016).

En este sentido, las acciones correctoras de los fallos detectados son esenciales y entre las medidas correctoras destacan las medidas disciplinarias oportunas en el ámbito laboral y contractual. No es admisible, por inconcebible, que un incumplimiento significativo que ponga o pueda poner en riesgo a la compañía quede impune.

Una política de tolerancia cero por parte de la organización demuestra el grado de implicación y el compromiso de la empresa con el compliance. El establecimiento de una guía disciplinaria básica, dirigida a los empleados, puede ser útil para prevenir el delito habida cuenta de que los empleados de la organización conocerán las consecuencias de la vulneración del corporate compliance.

El sistema disciplinario que sancione el incumplimiento de las normas contenidas en el programa de prevención debe contar con una protección del “delator”. Quiere decirse con ello que, si el empleado está obligado a denunciar las conductas irregulares de la empresa, debe protegerse al empleado que cumple su obligación, siendo así que una de las formas más interesantes en la protección del delator (empleado cumplidor-denunciante) será, sin duda, la confidencialidad de la denuncia. En definitiva, establecer canales de denuncia que garanticen la confidencialidad de las mismas es una de las piezas claves del sistema de compliance de una compañía, siendo aconsejable la externalización de los sistemas o canales de denuncia, lo que incidirá positivamente en la garantía de anonimato en el denunciante.

vi.- Realizarán una modificación periódica del modelo.

Como es lógico se trata de detectar los fallos y corregirlos, de adaptarse a las circunstancias de cada momento. Es lo que se conoce con el término «monitoreo», que exige una revisión periódica para valorar la eficacia del plan; adaptarse a las novedades que se vayan produciendo dentro de la organización (por ejemplo, la presencia en nuevos mercados) y fuera de ella (fundamentalmente cambios de normativa); y salir al paso de los fallos que se hayan producido, lo que requiere una adaptación a los mismos del Programa.

En definitiva y a modo de conclusión, podemos decir que «el sello distintivo de un programa eficaz es que la organización ejerza la diligencia debida para tratar de prevenir y detectar la conducta criminal de sus empleados y otros agentes», de suerte tal que, para poder hablar de un programa eficaz, es preciso acreditar una cultura de cumplimiento dentro de la persona jurídica, dentro de la organización. Ahora bien, la existencia de la comisión de un delito pese a la implementación del Programa de cumplimiento no convierte al programa en ineficaz; la eficacia ha de ser medida por la razonabilidad del mismo en relación con las actividades de riesgo de la organización, en definitiva, el programa ha de ser eficaz para prevenir el delito, no siendo preciso que sea infalible.

Todo ello se complementa con la ISO 19601 que aglutina dichas obligaciones del Código Penal y establece un modelo de gestión que complementa las ya mencionadas exigencias legales.

Elías Vallejo

Equipo Govertis

Propietarios no empadronados: acceso a datos de residentes

El presente artículo pretende promover una reflexión sobre una de las cuestiones que surgen en la práctica con las Administraciones locales, y para ello recordar antes un par de conceptos.

El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domicilio habitual. Las certificaciones que de dichos datos se expidan tienen carácter de documento público y fehaciente para todos los efectos administrativos. El padrón municipal, por una parte, está sujeto al ejercicio, por parte de los vecinos, de los derechos que otorga la legislación en protección de datos y, por otra parte, como información pública (en tanto obra en poder de la Administración) entra en el ámbito objetivo de la legislación de transparencia.

Como es sabido, al darnos de alta en el Padrón municipal, nuestros datos pasar a ser accesibles por el resto de las personas inscritas en la misma vivienda (mediante el certificado o volante colectivo). Si bien, puede darse el caso de que el propietario del inmueble no esté empadronado en el mismo. Entonces, ¿podría acceder a los datos de las personas empadronadas en su propiedad?

Durante la época en la que regía la LOPD, se ha establecido una suerte de consenso –lamentablemente indiscutido– sobre que la condición de propietario, sin que concurra la circunstancia de estar empadronado en la vivienda, no otorga ningún derecho a consultar quién está empadronado en la finca de la que es titular.

Uno de los comentarios más difundidos al respecto corresponde a la edición El Consultor de los Ayuntamientos (núm. 4, Editorial La Ley, 14 de marzo de 2013) y reza así: “está claro que deben denegar la petición del propietario del inmueble, pues la información solicitada de los datos del padrón afecta a la intimidad de las personas que viven en el inmueble”.

Esta postura surgió de traer a colación el que “el domicilio [¿el domicilio?] es una de las facetas más singularmente reservadas de la vida de la persona”, enfocando así los derechos fundamentales a la intimidad y a la privacidad. La norma sectorial de referencia es el art. 53.3 del Real Decreto 1690/1986 (Reglamento de Población y Demarcación Territorial de las Entidades Locales) que dispone que los datos del padrón son confidenciales y el acceso a los mismos se regirá por lo dispuesto en la LOPD, la cual, a su vez, establecía que solo podrán ser comunicados a un tercero con el previo consentimiento de los afectados; es decir, de todos los inscritos en la vivienda.

Considerar al propietario del inmueble como “tercero”, por el mero hecho de no estar empadronado en la vivienda, es lo que debía de haber generado ya entonces algún tipo de contestación, toda vez que uno de los presupuestos para cursar alta en el Padrón es que el futuro vecino aporte la autorización de ese mismo propietario. El trasfondo problemático del asunto es que, una vez empadronado, el vecino puede autorizar según le plazca nuevas altas en la vivienda sin conocimiento del propietario.

Hoy en día, con la entrada en vigor del RGPD, la expedición de certificaciones y/o volantes sobre de la totalidad de las personas inscritas en un mismo domicilio, deberá estar fundamentada en alguno de los supuestos del artículo 6.1 del RGPD.

La AEPD, respondiendo a una pregunta frecuente sobre esto mismo (“¿Se puede comunicar información sobre la inscripción padronal de todas las personas inscritas en un inmueble al propietario del mismo?”) en su guía sectorial Protección de datos y Administración local (2019), limita –de manera aparentemente errónea– la posible legitimación a un único supuesto cuando dice así:

“La comunicación de datos del Padrón municipal queda limitada por el citado artículo 16.3 de la LBRL a las Administraciones públicas, por lo que atendiendo al principio de legitimación de datos del artículo 6 del RGPD, y puesto que el solicitante no ostenta tal condición, únicamente cabrá el consentimiento del afectado para el acceso a los datos del padrón en el supuesto de hecho planteado.”

 Afortunadamente, el debate sigue abierto gracias a que la Autoridad Catalana de Protección de Datos emitió en 2018 su “Dictamen sobre la consulta formulada por el Delegado de protección de datos de un ayuntamiento en relación con una solicitud de un certificado de convivencia histórico de una vivienda presentada por un propietario no empadronado” (CNS 38/2018).

En ese caso concreto, el solicitante interesaba un certificado de convivencia histórico de una vivienda de la que es propietario, pero en la que nunca ha estado empadronado, para un procedimiento de desahucio. La opinión emitida por la APDCAT concluye lo siguiente:

“La normativa de protección de datos no impediría el acceso a los datos del padrón relativos a la convivencia histórica en un domicilio a petición del propietario del mismo emparado en la Ley 19/2014, de 29 de diciembre, de transparencia, acceso a la información pública y buen gobierno, siempre y cuando, una vez ponderados los derechos en juego, concurra un interés directo en el solicitante de la información y esta comunicación de información no suponga un prejuicio significativo para el derecho a la protección de datos de las personas afectadas.”

Lo que ocurre es que este dictamen suscita cuestiones adicionales.

Por un lado, opta por salir del ámbito del RGPD, cuando este permite la posibilidad de argumentar una base de legitimación distinta al consentimiento, del art. 6.1: “f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño”.

Por otro lado, además del juicio de ponderación, en este dictamen se advierte, en relación con la afectación de derechos o intereses de terceros, “la importancia de que el ayuntamiento dé traslado de la solicitud a estas personas afectadas (la persona o personas que estarían empadronadas en el domicilio), tal y como prevén los artículos 31.1 y 42 de la LTC, de modo que se pueda saber si concurre alguna circunstancia personal concreta que justifique la limitación del derecho de acceso”. Esta salvaguarda, en la práctica, podría perjudicar los intereses legítimos invocados, cuando menos por los tiempos, y en todo caso no se entiende si partimos del presupuesto lógico de que el propietario de una vivienda debería tener derecho a saber quien está inscrito en la misma.

En lo que no cabe duda del dictamen es que, para el caso de menores empadronados, “habría que valorar la posibilidad de no incluir sus datos personales en la comunicación de la información correspondiente ya que estos no parecen necesarios para lograr la finalidad del acceso”, sugiriendo incluir solo el número de menores empadronados y sus edades. Pero esto, una vez más, nos devuelve al art. 6.1.f) del RGPD.

Mientras tanto, como también señala el citado dictamen, la Ley de Bases del Régimen Local y el consecuente régimen específico de acceso a los datos del padrón municipal de habitantes no prevé, con carácter general, el acceso de los particulares no empadronados a los datos padronales de otras personas.

Andreu Yakubuv-Trembach

Equipo Govertis

Responsabilidad compartida en la Nube

A la hora de realizar una migración a la nube, las organizaciones deben establecer una estrategia y establecer una serie de factores para tener en cuenta en este proceso, como pueden ser, las necesidades organizativas y los riesgos que se asumen al subir o trasladar cargas de trabajo a la nube. Por esta razón, es importante que en una primera fase de planificación se respondan a preguntas como:

• la motivación que lleva a emprender una migración
• los objetivos empresariales que se quieren alcanzar o
• decidir qué elementos o recursos migrar.

Ya sea por una decisión estratégica, ventajas tecnológicas o económicas, la seguridad es piedra angular de todo el proceso de migración. Partiendo desde la planificación, durante la propia migración y una vez que los datos, aplicaciones o procesos estén migrados. Para alcanzar el nivel de seguridad que demanda la organización y poder desplegar buenas prácticas de seguridad en la nube con garantías, uno de los aspectos más importantes a tener en cuenta es comprender las obligaciones bajo el modelo de responsabilidad compartida, es decir, conocer qué tareas de seguridad administra el proveedor de servicios en la nube y cuales son responsabilidad del cliente.

Además, normalmente se piensa que las empresas contratan solo un proveedor de servicios en la nube y por norma general ocurre todo lo contrario, en la gran mayoría de las organizaciones el modelo que optan es el de multi nube, con lo cual toma mayor relevancia tener muy claro cuáles son las responsabilidades y obligaciones del cliente y proveedor, que permita definir una estrategia de seguridad y de cumplimiento que contemple las diferentes variables del entorno.

Por otro lado, tampoco existe un modelo de responsabilidad compartida que sea común a todos los proveedores de servicios en la nube y este modelo de responsabilidad dependerá del tipo de servicio que se adopte, es decir las responsabilidades varían en función de si la carga de trabajo está hospedada en una implementación de software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS).

Figura 1: Modelo de responsabilidad compartida de Microsoft

Como se observa en la Figura 1 cuanto más se tienda a un servicio tipo SaaS menos responsabilidad recae en una organización cliente y más sobre el proveedor de servicios, este modelo de responsabilidad es análogo a los distintos proveedores.

En un entorno IaaS el cliente tiene una responsabilidad o responsabilidad compartida de proteger y administrar el sistema operativo, la configuración de red, las aplicaciones, identidad y los datos. Para el caso que se observa en la Figura 2 de manera similar, con este proveedor de servicios en la nube, los clientes también serían responsables de la administración del sistema operativo (incluyendo parches de seguridad y actualizaciones), de cualquier utilidad o software de aplicaciones que el cliente haya instalado y de la configuración del firewall. El proveedor, en cambio, descargará la carga y responsabilidad al cliente de toda la administración de la infraestructura conformada por el hardware, software, las redes.

Figura 2: Modelo de responsabilidad compartida de AWS

En un entorno SaaS que es donde menos responsabilidad recae en el cliente, y a menudo suele ser el modelo más simple y seguro. No obstante, en este tipo de modelo el cliente sigue siendo el responsable de asegurarse de administrar los datos y clasificarlos correctamente, administrar los usuarios y los dispositivos finales.

Los proveedores de servicios en la nube ofrecen una serie de medidas de seguridad, disponibilidad y de cumplimiento, pero estos beneficios que nos proporciona el proveedor no eximen a los clientes de la responsabilidad de proteger a sus usuarios, información, aplicaciones y los servicios ofrecidos.

Es fundamental comprender los modelos de responsabilidad compartida por parte de las organizaciones que están planificando migrar a la nube, este análisis permitirá aplicar de manera eficaz las medidas y controles de seguridad y de esta manera aprovechar al máximo los servicios ofrecidos por el proveedor.

Referencias

https://aws.amazon.com/es/compliance/shared-responsibility-model/

https://docs.microsoft.com/es-es/azure/security/fundamentals/shared-responsibility

https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-the-shared-responsibility-model-in-gke-container-security-shared-responsibility-model-gke

Augusto Angulo

Equipo Govertis

Redes Sociales y Procesos de Selección

Recientemente la Agencia Española de Protección de Datos (en adelante AEPD) ha publicado una nueva y esperada Guía sobre las Relaciones Laborales y su impacto en la protección de datos. Esta nueva Guía hace un análisis exhaustivo de cada uno de los tratamientos de datos que podrían darse en las relaciones laborales y como abordar cada uno de los mismos: base de legitimación, deber de información, plazos de conservación etc.

Entre uno de los aspectos destacados de la Guía, la AEPD se ha pronunciado sobre cómo actuar en los procesos de selección respecto al acceso y uso de las redes sociales de los posibles candidatos a un puesto de trabajo. El objetivo de este artículo será conocer este apartado de la Guía para conocer los criterios de la autoridad de control y, de esta forma, dar pautas concretas de cómo deben actuar los responsables del tratamiento en este tema.

¿Puede acceder el empleador a las redes sociales de una persona candidata a un empleo?

“Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía sino cuenta para ello con una base de legitimación”

La posición de la AEPD sobre este punto es que la indagación en los perfiles de redes sociales de las personas candidatas a un empleo, sólo se justifica si está relacionada con fines profesionales, es decir, el tratamiento de los datos obtenidos por esta vía únicamente será posible cuando se demuestre que es necesario y pertinente, y por lo tanto, existe un interés legítimo suficiente para tratar estos datos. Por lo tanto, la empresa podría utilizar información de redes sociales como pudiera ser LinkedIn para evaluar la idoneidad del puesto de trabajo, pero, sin embargo, no estaría legitimado en revisar redes sociales como Facebook o Instagram destinadas a un uso más personal e íntimo.

¿Se debe informar a los interesados sobre estos extremos?

“La persona trabajadora tiene derecho a ser informada sobre ese tratamiento”

Por lo tanto, el responsable del tratamiento deberá encontrar un mecanismo adecuado para informar a los interesados sobre este tratamiento. Por ejemplo, podría incorporar el deber de información recogido en los arts. 13 y 14 del RGPD en el contenido de la publicación de la convocatoria, de modo transparente puede explicar que se comprobarán los perfiles en redes sociales profesionales para ver si cumple con los requisitos que se piden en la convocatoria, y siempre con fines profesionales.

¿Se puede solicitar amistad a un candidato de un puesto de trabajo?

“La empresa no está legitimada para solicitar <<amistad>> a personas candidatas para que estas, por otros medios, proporcionen acceso a los contenidos de sus perfiles”

Por lo tanto, en los casos en los que el interesado no tenga su perfil público, la empresa no estará legitimada para solicitar amistad a personas candidatas para que se pueda acceder al contenido de sus perfiles. Asimismo, la empresa tampoco está legitimada para solicitar a una persona trabajadora o candidata, a un empleo la información que éste comparta con otras personas a través de redes sociales.

¿Qué hacer con estos datos una vez finalizado el proceso de selección?

“Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de los datos”.

Por lo tanto, si la persona candidata no es contratada, una vez finalizado el proceso de selección, desaparece la base jurídica para el tratamiento de los datos, por lo que será necesario su consentimiento para un tratamiento futuro, salvo que el empleador pueda demostrar un interés legítimo. En caso contrario deberá destruir el curriculum y proceder a la supresión y bloqueo de los datos personales.

Marcos Rubiales. 

Equipo Govertis