El derecho de acceso a las grabaciones de dispositivos de video

La Agencia Española de Protección de Datos (AEPD) ha tratado de manera reiterada el tema de dispositivos de vídeo y sistemas videovigilancia ya sea a través de resoluciones, instrucciones o guías.

Asuntos como el de los carteles informativos sobre la videovigilancia, los requisitos que se han de cumplir respecto al posicionamiento y orientación de las cámaras o el periodo de conservación de las imágenes han sido ampliamente tratados. Sin embargo, un tema que ha pasado desapercibido, es el método de actuación que ha de seguir el Responsable del Tratamiento ante la solicitud por un interesado de un ejercicio de derecho de acceso a las grabaciones. Aunque parece un asunto sencillo tiene sus particularidades que hemos de tener en cuenta.

El art. 15 del Reglamento General de Protección de Datos (RGPD) regula el Derecho de Acceso.

Un interesado podrá solicitar la copia de las grabaciones de una cámara de videovigilancia de una determinada ubicación donde haya estado en los últimos días y, además, la información adicional que se contempla en los distintos puntos del art. 15 del RGPD como, por ejemplo, los fines del tratamiento, las categorías de datos, los destinatarios o los plazos de conservación. Es especialmente relevante, como se verá más adelante, que el acceso a la copia de las grabaciones no puede ser en perjuicio de los derechos y libertades de terceras personas.

El mencionado art. 15 del RGPD es complementado en la legislación nacional por el art. 13 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD).

Al contrario del RGPD, la LOPD-GDD aborda de manera explícita el tratamiento de datos para fines videovigilancia en su art. 22. No obstante, no regula de forma específica como se ha responder a un derecho de acceso de un interesado a las grabaciones de los dispositivos de vídeo. La respuesta a esta pregunta la podemos encontrar en los siguientes documentos:

1. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (link). Noviembre de 2006.
2. Guía de la AEPD sobre el uso de videocámaras para seguridad y otras finalidades (link). Noviembre de 2018.
3. Directrices 3/2019 del Comité Europeo de Protección de Datos (CEPD) sobre el tratamiento de datos personales mediante dispositivos de vídeo – Guidelines 3/2019 on processing of personal data through video devices – (link). Julio de 2019.

De los dos primeros documentos podemos extraer las siguientes conclusiones respecto de los requisitos que ha de cumplir un interesado a la hora de ejercitar un derecho de acceso. Además de escrito en el que se ejercite el derecho de acceso:

1. El interesado ha de hacer constar al Responsable del Tratamiento su identidad.
2. El interesado ha de acompañar su ejercicio de derecho de una imagen actualizada que permita al Responsable del Tratamiento identificar al interesado en sus grabaciones.

Además, de acuerdo con el criterio establecido por el CEPD en sus “Directrices 3/2019” existen una serie de limitaciones al derecho de acceso que el Interesado y le Responsable han de respetar:

1. Afección negativa a los derechos y libertades de terceros. De acuerdo con el art. 15.4 del RGPD, el derecho del Interesado a acceder a una copia de sus datos personales mediante el ejercicio del derecho de acceso “no afectará negativamente a los derechos y libertades de otros”. Como es lógico, puede darse el caso de que en una misma secuencia de grabación aparezcan multitud de interesados. Si, de acuerdo con el artículo 15.3 del RGPD, un interesado solicita una copia de sus datos personales podrían verse afectados los derechos y libertades de terceros. En estos casos debe ser el Responsable el que valore si puede facilitar copia de las grabaciones a la persona que ejerce el derecho sin que este hecho perjudique a los derechos y libertades de terceros. No obstante, este hecho no puede ser utilizado como excusa para no atender a los ejercicios legítimos de derecho de acceso. En este sentido, siempre que sea posible el Responsable deberá recurrir a medidas técnicas, como, por ejemplo, la edición de imágenes, que permitan cumplir con el ejercicio del derecho.

No obstante, esta visión del Comité Europeo de Protección de Datos no coincide de manera plena con la de la Agencia Española de Protección de Datos. La AEPD, a diferencia del Comité, establece en su instrucción 1/2006 que el Responsable puede facilitar “el acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento”. Es decir, omite la posibilidad de modificar las imágenes mediante medidas técnicas y ofrece al Responsable la opción de entregar en vez de las imágenes un documento certificado en el que se describan, con precisión suficiente, los hechos que se pueden observar en la grabación.

2. Imposibilidad de identificar al interesado. Puede darse el caso que el interesado solicite el derecho de acceso a unas imágenes en las que aparezcan multitud de individuos. Por ejemplo, un Interesado que solicita al Responsable de un aeropuerto que le facilite la copia de la grabación de él entrando a las instalaciones un día determinado. En este caso, ya que en un aeropuerto entran al día miles de personas y a través de distintas puertas, podría entrar en juego el art. 11.2 del RGPD que establece que cuando “el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación”.

3. Información adicional que permita la identificación. Siguiendo con el ejemplo del aeropuerto, el interesado debería, a petición del Responsable, “facilitar información adicional que permita su identificación”. En este sentido se le podría exigir al Interesado que, en la medida de lo posible, identifique la puerta por la que accedió al edificio, que establezca un periodo de tiempo razonablemente acotado y que describa sus características personales o indumentaria de tal forma que sea más sencilla su identificación.

4. Solicitudes excesivas. De acuerdo con el art. 12.5 del RGPD, el Responsable puede oponerse o cobrar (un canon razonable) a aquellos interesados que realicen solicitudes de acceso manifiestamente infundadas o excesivas. El RGPD no establece que puede considerarse como excesivo, sin embargo, la LOPD-GDD si establece en su art. 13.3 que “se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello”. Por su parte en el art. 13.4 se dice que “cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte.”

El Equipo Govertis

EL DNS: EL GRAN OLVIDADO

La AEPD ha publicado recientemente una nota técnica relativa a las implicaciones en la privacidad del uso del Sistema de Resolución de Nombres (Domain Name System o DNS) para concienciar a la ciudadanía respecto a las actividades que desarrollan en internet. A continuación, analizaremos los aspectos fundamentales de la misma:

¿Qué es el DNS?

El DNS es un protocolo que traduce el nombre de un sitio web (por ejemplo “www.aec.es”) por su dirección IP asignada (un código numérico). Permite localizar un sitio en Internet por el nombre sin que los usuarios tengamos que saber en cada momento que IP le corresponde.

¿Cómo funciona?

Cada vez que realizamos una búsqueda en Internet, los equipos realizan consultas a distintos servidores DNS para saber la dirección IP que corresponde al nombre que hemos escrito en el navegador. Para ello utilizan bases de datos que almacenan los nombres de dominios y sus IP.

¿Cómo impacta en la privacidad?

Cuando un ordenador está conectado a una red tiene asignada una dirección IP que identifica al usuario. De esta forma, al navegar por Internet podemos ser fácilmente geolocalizados y revelar qué páginas visitamos. Esto podría dar a conocer hábitos, intereses u opiniones que permiten generar perfiles de los usuarios (como deducir problemas de salud por los tipos de foros, blog o webs en los que participamos).

¿Cuáles son los riesgos?

• Supone el tratamiento de datos por terceros distintos de aquellos que prestan los servicios a los que queremos acceder.
• Los servidores DNS que procesan las búsquedas registran toda la información de las consultas. Podrían estar configurados para guardar dichos registros y utilizar esos datos para infinitas finalidades.
• Las consultas que realiza el dispositivo para averiguar la dirección IP se envían sin cifrar a través de la red, supone un impacto en la confidencialidad.
• La falta de medidas de seguridad podría implicar técnicas de suplantación de DNS, (robo de información, ransomware), ataques al DNS (redirigir a sitios maliciosos, a webs fraudulentas, a servidores controlados por delincuentes)

¿Y las soluciones?

La AEPD propone como solución:

• Los proveedores de DNS deben informar de las condiciones de uso. Se deben seleccionar terceros que ofrezcan garantías suficientes para cumplir con el RGPD.
• Incorporar soluciones de seguridad:

• Utilizar el DNSSEC para aportar integridad y autenticidad en las comunicaciones.
• Cifrar las consultas mediante DNS Over TLS (capacidad de cifrado) y DNS Over HTTPS (enmascara las comunicaciones).

El Equipo Govertis

Guía para pacientes y usuarios de la Sanidad de la AEPD

Durante el mes de noviembre de 2019, la Agencia Española de Protección de Datos ha publicado la Guía para pacientes y usuarios de la Sanidad, una guía esperada en la que se contienen distintas situaciones que se suceden en el sector sanitario y que están relacionadas con la privacidad.

En el presente artículo se describirán los aspectos principales, resumiendo su contenido para que el lector pueda tener una idea rápida de lo que nos transmite este nuevo documento.

Aspectos generales de los datos de salud. La Historia Clínica

Comienza la mencionada Guía recordando la definición de datos personales, que se definen como “toda información sobre una persona física identificada o identificable” y, especialmente, de datos de salud, que implica a “los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Prosigue este apartado definiendo la historia clínica como “el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial” y aclarando que en las bases de datos sanitarias podrán existir dos tipos de datos principales: los identificativos y los de salud.

Termina esta pequeña introducción refiriendo que la normativa de protección de datos no contiene el concepto de propiedad de la Historia Clínica, estableciendo, simplemente, que el Responsable del Tratamiento será el médico o centro sanitario (público o privado), que tendrán la labor de elaborarla, custodiarla e implementar las medidas de seguridad oportunas que prevengan su extravío o accesos no autorizados, y que el paciente o usuario tendrá el derecho a acceder a la misma, así como a ejercitar sus derechos en esta materia.

Legitimación para el tratamiento de datos de salud

La cuestión principal de la licitud del tratamiento de datos personales es abordada, en este caso, en las primeras hojas de la Guía, de una forma escueta, respondiendo a la pregunta directa de si ¿es necesario que el médico o el centro sanitario pida el consentimiento al paciente/usuario para recoger y usar sus datos personales?

La respuesta es taxativa, y se establece que NO será necesario el consentimiento para tratar datos “si se van a utilizar para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social”. Estaríamos, por tanto, ante la excepción de la letra h) del artículo 9.2 RGPD.

No obstante, se expone que tampoco será necesario el consentimiento para tratar datos de salud si:

• Se efectúa por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios o la inspección de reclamaciones de los ciudadanos. Por tanto, letra i) del artículo 9.2 RGPD.
• Para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento, o cuando lo solicite un órgano judicial. Letra c) del artículo 9.2 RGPD.

Derecho de información

Transmite aquí la Guía que, a pesar de no requerir el consentimiento para el tratamiento de datos por parte del médico o centro sanitario, sí que es necesario, evidentemente, cumplir con el deber de informar.

La guía, simplemente, recuerda todos los aspectos necesarios para cumplir con este deber, haciendo hincapié en que, cuando los datos personales se obtienen de un tercero, hay que informar al titular de los datos, a la mayor brevedad posible, de los mismos apartados reseñados, así como del origen de sus datos.

Principios en el tratamiento de los datos

En el apartado que la Guía dedica a este asunto, se hace una pequeña revisión de los principios que rigen la materia: Licitud, Lealtad y Transparencia; Limitación de la finalidad; Minimización de datos; Exactitud; Limitación del plazo de conservación e Integridad y Confidencialidad.

A pesar de que dichos principios ya se tienen en cuenta, con carácter general, para el tratamiento de datos personales, la Guía refleja ciertos ejemplos interesantes. A saber:

• En cuanto a la “limitación de la finalidad”, si hemos consentido en la utilización de nuestros datos para fines de una concreta investigación científica (por ejemplo, cáncer de colón) se podrán utilizar para otras investigaciones oncológicas. Esta segunda utilización no se considera incompatible.
• En cuanto a la “conservación”, se especifica que “la historia clínica debe conservarse durante todo el tiempo que se va a prestar asistencia sanitaria; para facilitarlo a los órganos judiciales, si lo solicitan o para efectuar estudios epidemiológicos, docencia e investigación (en este último supuesto, podrían pseudonimizarse, es decir, separar los datos identificativos del paciente de los de salud aunque puedan volver a asociarse si es necesario)”, confirmando también que los datos personales podrán mantenerse más tiempo del necesario siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Derechos

La Guía dedica un par de apartados a los derechos de los interesados, abordando las cuestiones comunes, así como las especialidades de los derechos más importantes: Acceso, Rectificación y Supresión.

Las cuestiones comunes son similares a las reconocidas para el ejercicio de derechos de cualquier tipo de dato de carácter personal. Las más importantes son:

• Plazo: Un mes, prorrogable por 2 meses más.
• Medios electrónicos: Preferencia por estos medios en la respuesta, salvo manifestación en contrario.
• Gratuidad: Ejercicio gratuito salvo peticiones infundadas o excesivas.

En cuanto a las cuestiones específicas de cada derecho, se destacan:

• Derecho de acceso: Se recoge la posibilidad de que los pacientes/usuarios accedan a sus Historias Clínicas, de la misma forma que cada persona puede solicitar el acceso a sus datos personales.

No obstante, se mencionan algunas particularidades a tener en cuenta:

• • El acceso a la Historia Clínica no puede ejercitarse en perjuicio de terceras personas, lo que implica que los facultativos que elaboran y mantienen dichas Historias Clínicas puedan (y deban) utilizar las anotaciones subjetivas como mecanismo para hacer constar todo lo que entiendan oportuno y que afecte a la privacidad de terceros, ya que dichas anotaciones “quedan fuera” del ejercicio del derecho de acceso.

• • Los accesos a Historias Clínicas de pacientes fallecidos sólo se facilitará a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso, se facilitará el acceso de un tercero a la Historia Clínica motivado por un riesgo para su salud, aunque se limitará a los datos pertinentes.
• • Salvo que una ley lo permita expresamente, el derecho de acceso no incluye la identificación de los profesionales sanitarios que acceden a la Historia Clínica.
• Derecho de rectificación: Es un derecho que se puede solicitar en los mismos términos en los que se ejercita ante cualquier petición de este tipo. No obstante, sí que es necesario tener en cuenta que si la rectificación se refiere a datos sanitarios, es el profesional sanitario el que determina si debe rectificarse el dato o no.
• Derecho de supresión: En el ámbito de la sanidad el derecho a la supresión de datos de la historia clínica está muy limitado siempre que esos datos se estén tratando para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social; o cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios. Solo el profesional sanitario puede determinar si se puede suprimir el dato de salud.

Preguntas frecuentes

Como viene siendo habitual, la Guía finaliza con una serie de cuestiones que suelen surgir en este ámbito y sector, y que resuelven dudas comunes interesantes.

Se pueden destacar:

1) ¿Puede acceder cualquier persona a la Historia Clínica?

No. El acceso a dicha información por parte del médico o personal del correspondiente centro sanitario deberá atender al criterio de “necesidad de conocer”, siendo que sólo podrá acceder quien lo precise para el ejercicio de su trabajo.

En este sentido, serán sancionables, como ya ha ocurrido previamente, los accesos realizados por curiosidad, para facilitar información a un conocido, etc…

Además, hay que señalar que el profesional sanitario que accede ilícitamente a datos de salud puede incurrir en un delito de descubrimiento y revelación de secretos, previsto y penado en el Código Penal.

2) ¿Se pueden ceder los datos de salud a otras entidades diferentes de las que las han recogido y tratado?

Sí, se pueden ceder si existe legitimación para ello. Un ejemplo es cuando se acude a un médico o a un centro sanitario como usuarios de la sanidad privada (con la tarjeta de la compañía aseguradora), el médico facilita a la entidad la información mínima necesaria para que abone la prestación sanitaria realizada.

3) ¿Se puede informar al empleador acerca de los datos de salud de sus empleados cuando acuden a la revisión de prevención de riesgos laborales?

No. La información que se facilita al empleador es si el trabajador es APTO o NO APTO para el trabajo, o si es Apto y necesita alguna adaptación; pero no le pueden informar de los resultados de las pruebas médicas de sus trabajadores.

4) ¿Pueden facilitar información telefónica a un paciente sobre su estado de salud o el resultado de las pruebas realizadas?

En principio, existiría el riesgo de estar facilitando información a un tercero y, por tanto, por motivos de seguridad debería evitarse. Se podría hacer si existe un protocolo de identificación del solicitante de la información, mediante la solicitud de nombre y apellidos, número de DNI, número de teléfono desde el que llama que coincida con el que facilitó al profesional, dirección de correo electrónico, número de tarjeta sanitaria, etc… Se debería tener la seguridad de que quien solicita la información es el titular de la misma.

El Equipo Govertis

Condición de la Entidades Concesionarias de Servicios Públicos Municipales: ¿Responsables o Encargadas del Tratamiento de Datos Personales?

La Agencia Española de Protección de Datos (AEPD) ha resuelto recientemente, en su Informe 809/2019, una consulta relativa a la posición jurídica que ostentan las entidades concesionarias administrativas de servicios públicos que actúan en la gestión municipal en tareas como el aprovechamiento y explotación de dominio público o las concesiones de agua.

Esta cuestión ya fue analizada por la AEPD en Informes previos, como el Informe 541/2008, donde contempló la posibilidad de que estas entidades asumieran un “doble carácter” en relación con su actuación en materia de protección de datos, pudiendo operar en determinados supuestos como responsables de los tratamientos, en la medida en que podría darse una relación directa entre el adjudicatario y el administrado.

No obstante, en atención a la entrada en vigor de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, que derogó la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público (LCSP), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la Agencia vuelve a estudiar este asunto teniendo en cuenta lo dispuesto en las citadas normas.

Para la resolución de la cuestión, parte de lo dispuesto en la Disposición adicional vigésima quinta de la LCSP, que señala que: “Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquel tendrá la consideración de encargado del tratamiento.”

La Agencia considera que debe poner en conexión el citado precepto con el art. 33.2 de la LOPDGDD: “Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público”.

En base a los mencionados preceptos, la AEPD descarta la consideración de la figura del “responsable del tratamiento” en aquellos supuestos en los que los encargos se efectúen en el marco de la legislación de contratación del sector público.

En definitiva, en la actividad de las empresas concesionarias en el ámbito de la gestión municipal, en tareas tales como el aprovechamiento y explotación de dominio público o las concesiones de agua, nos encontraríamos ante la situación de acceso a datos por cuenta de terceros, que caracteriza a la figura del “encargado del tratamiento”, correspondiendo al responsable del tratamiento la determinación de los fines y medios a utilizar en relación con el tratamiento de datos de carácter personal.

El equipo de Govertis 

ELISA ¿Habéis oído hablar de ella? ¿Conocéis a ELISA?

Recientemente, el Centro Criptológico Nacional (CCN) ha publicado una nueva herramienta, dedicada a la monitorización de fuentes abiertas y al perfilado de medios y entidades en redes sociales, para permitirnos incrementar la cibervigilancia. Con esta herramienta, no mejoramos directamente nuestra seguridad, pero sí que nos hace conocedores del flujo de cierta información, y de ese modo, poder tomar las medidas oportunas para incrementar la ciberseguridad.

Antes que nada, vamos a aclarar algunos conceptos para poder entender la aplicación de esta solución. Todos conocemos qué son las redes sociales y cómo funcionan, pero ¿qué sabemos de las fuentes abiertas? Las fuentes abiertas no es sólo Internet, no necesariamente deben tener un soporte tecnológico, y aunque hablemos de ciberseguridad, no las encontramos exclusivamente en formato digital. Tampoco debemos confundir la información que tiene valor con la que es de carácter secreto o confidencial, sin tener en cuenta toda la información que es abierta y esta publicada sin nuestra aprobación y sin nuestro conocimiento.

¿Qué son las fuentes abiertas?

Fuentes abiertas son todo documento con cualquier contenido, con independencia del soporte (papel, fotográfico, magnético…), del medio de transmisión (sonoro, audiovisual, impreso…), o del modo de acceso: digital o no, pero puesto siempre a disposición del público. Algunos ejemplos de fuentes abiertas pueden ser: una agencia de noticias, una enciclopedia, un blog, un anuario, una monografía, una conferencia de prensa, una charla divulgativa, una publicación científica, un canal RSS, una legislación, las emisiones de radio y televisión, y un largo etcétera.

La prevención en temas de ciberseguridad, nunca es suficiente, si tenemos en cuenta el valor de la información que puede ser alterada. Por ello, hacer uso de cuantas herramientas dispongamos en el mercado, siempre será recomendable y la llegada de ELISA se une al conjunto de estas herramientas, por lo que aconsejamos hacer un buen uso de la misma.

Esta herramienta cuenta con una base de datos normalizada para el intercambio de información y explotación de los datos a través de indicadores de confianza. Estos datos son analizados, permitiendo realizar un seguimiento e interpretación de lo que sucede en el ciberespacio, y con ello crear una prospectiva digital. Con ELISA, podemos definir marcadores preventivos, indicadores de presencia y las características necesarias que permitan identificar, de un modo anticipado, consensuado y basado en la evidencia, de las amenazas que puedan aparecer por el ciberespacio.

Para poder hacer uso de esta aplicación, es necesario estar registrado en el portal CCN-CERT, y una vez completado este paso, solicitar acceso a la misma, justificando el motivo por el cual se requiere su uso.

Además de ELISA, recordar que también se dispone de otras muchas aplicaciones facilitadas por el Centro Criptológico Nacional y por otros portales, que nos pueden ser de gran utilidad para controlar nuestro entorno digital, pudiendo detectar amenazas, prevenir intrusiones, y por lo tanto, estar más seguros.

El Equipo de Govertis 

Sistemas de información de denuncias internas y protección de datos

El establecimiento de canales de denuncia internos es cada vez más común en las empresas. La proliferación de estos se justifica, principalmente, en que uno de los requisitos que el Código Penal español establece a los sistemas de Compliance para permitir que la persona jurídica quede exenta de responsabilidad penal es el de imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Sin duda, el numero de estos sistemas aumentará considerablemente en el momento en que se transponga la Directiva ‘whistleblowing’, la cual generaliza la implantación de canales internos de denuncia y exige su creación tanto a las autoridades de cada país como a todas las empresas con más de 50 trabajadores, sean públicas o privadas.

Estos canales de denuncia tienen relevancia en materia de protección de datos, en cuanto van a tratar datos sensibles y/o que podrían tener un alto impacto en los interesados. A este respecto, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, los ha tenido en cuenta, regulando los siguientes aspectos sobre estos:

a) Causas de licitud

El PREÁMBULO establece que en los sistemas de denuncias internas la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del Reglamento (UE) 2016/679.

Por su parte, el artículo 24 establece la licitud de la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

b) Deber de información.

Se establece la obligatoriedad de informar a los empleados y terceros sobre la existencia de estos sistemas de información.

c) ¿Quién puede acceder a la información contenida en los sistemas de información de denuncias internas?

El acceso a la información a los datos de estos sistemas de denuncia se debe limitar a quienes, independientemente de si forman o no parte de la entidad, desarrollen las funciones de control interno y de cumplimiento o a los encargados del tratamiento que eventualmente se designen a tal efecto.

También será lícito el acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.

En el caso de que pudiera proceder la adopción de medidas disciplinarias contra un trabajador, se permitirá acceder a esta información al personal con funciones de gestión y control de recursos humanos.

d) Cesiones de datos

Los datos obtenidos a través del sistema de denuncias internas podrán ser comunicados a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.

e) Medidas de seguridad

Deben adoptarse las medidas de seguridad necesarias que permitan preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado. Como vemos, la norma autoriza las denuncias anónimas.

f) Plazo de conservación

Los datos del denunciante y de los empleados y terceros a los que afecte la denuncia se deben conservar en el sistema de denuncias exclusivamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.

En cualquier caso, transcurridos 3 meses desde la introducción de los datos se deben suprimir los datos del sistema de denuncias, salvo que se quieran conservar como evidencia del funcionamiento del Sistema de Gestión de Compliance Penal.

Los datos podrán seguir siendo tratados, por el órgano competente, para investigar los hechos denunciados, no conservándose en el sistema de información de denuncias internas.

Estas premisas son igualmente aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.

El Equipo Govertis 

Resumen de la nueva guía de Cookies

Introducción

El pasado viernes 8 de Noviembre, la Agencia Española de Protección de Datos publicó la esperada guía sobre el uso de cookies que facilita una serie de recomendaciones para gestionar estas herramientas de acuerdo a las disposiciones del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

La Guía se centra sobre todo en el articulado de la LSSI y su aplicación respecto de las cookies, destacando su carácter de norma especial.

Los aspectos más relevantes que se encuentran en esta nueva versión de la Guía son los siguientes:

Obligaciones Legales de las Partes

Conforme a la guía son dos: obligación de transparencia y obligación de obtención del consentimiento.

1. Obligación de Transparencia: “Se debe facilitar a los usuarios información clara y completa sobre la utilización de las cookies y, en particular, sobre los fines del tratamiento de los datos”. Esta información debe facilitarse con arreglo a lo dispuesto el RGPD.

Aunque la propia Guía recomienda informar, al menos con carácter genérico, de aquellas cookies excluidas del ámbito de aplicación del artículo 22.2 de la LSSI.

La información sobre las cookies debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.

No serían válidas, por ejemplo, frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación”, o frases como “podemos utilizar sus datos personales para ofrecer servicios personalizados” para referirse a cookies publicitarias comportamentales. También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo”, y “posible”.

La Guía proporciona algunos ejemplos de información por capas, entre otros se destaca por sus particularidades el ejemplo número 3:

En el que indica que la acción de continuar navegando puede considerarse un consentimiento válido respecto de las cookies, aunque con salvedades y bajo determinadas circunstancias.

La Guía advierte que no se podría usar para tratamientos que requieran consentimiento explícito de los usuarios.

2. Obligación de obtención del consentimiento: respecto de esta obligación, la Guía se refiere siempre a un consentimiento libre e informado (respecto de las cookies).

Este consentimiento podrá obtenerse mediante fórmulas expresas, pero también podrá obtenerse infiriéndolo de una inequívoca acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies.

En ningún caso la mera inactividad del usuario implica la prestación del consentimiento por sí misma.

Responsabilidad de las partes

Por último la Guía se refiere a las diferentes responsabilidades de las partes que intervienen en el uso de cookies, indicando que “La LSSI no define quién es el responsable de cumplir con la obligación de facilitar información sobre las cookies y obtener el consentimiento para su uso. Se hace necesario que los sujetos que participan en la utilización de las cookies colaboren para asegurar el cumplimiento de las exigencias legales establecidas”.

El Equipo Govertis 

ACTAS DEL PLENO VS ACTAS DE LA JUNTA DE GOBIERNO ENTIDAD LOCAL RESPECTO DE SU PUBLICACIÓN

En primer lugar, debemos partir analizando lo establecido por  la  Ley de Transparencia, con respecto a las  las actas de la Junta de Gobierno y las actas del Pleno, ya que la misma les da un tratamiento diferente en cuanto a la publicidad de las mismas.

Actas del Pleno

El artículo 70 de la Ley 7/1985, de 2 de abril, LBRL, modificada por la Ley 57/2003, de 16 de diciembre, de medidas para la modernización del gobierno local, establece que las sesiones del Pleno de las Corporaciones Locales son públicas, salvo en aquellos asuntos que puedan afectar al derecho fundamental de los ciudadanos a que se refiere el artículo 18.1 de la Constitución, cuando así se acuerde por mayoría absoluta. Es decir, se debe declarar por mayoría absoluta de los miembros electos el secreto del debate y la votación de aquellos asuntos que puedan afectar al derecho al honor, a la intimidad personal y familiar o a la propia imagen de determinadas personas.

Es por ello que, salvo esta excepción señalada, se deberá proceder a la publicación del acta del Pleno municipal.

Ahora bien, ¿cómo debe realizarse esta publicación? Y más concretamente, ¿cómo debe procederse a la publicación de datos de carácter personal de ciudadanos?

Si acudimos al artículo 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, se establece que:

1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.

Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley.

2. Con carácter general, y salvo que en el caso concreto prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos sobre el interés público en la divulgación que lo impida, se concederá el acceso a información que contenga datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano.
3. Cuando la información solicitada no contuviera datos especialmente protegidos, el órgano al que se dirija la solicitud concederá el acceso previa ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal.

Para la realización de la citada ponderación, dicho órgano tomará particularmente en consideración los siguientes criterios:

a) El menor perjuicio a los afectados derivados del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.

b) La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.

c) El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.

d) La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.

Si nos encontramos ante datos meramente identificativos, esta ponderación realizada en el ejercicio del derecho de acceso a información pública sería extrapolable a la publicación de actos administrativos por parte del Ayuntamiento. Por lo tanto, se debería realizar esta ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada. Por todo ello, la publicación de las actas de los Plenos que contengan datos de carácter personal deberá definirse al caso concreto, dependiendo de la tipología de datos personales.

Si tras la realización de esta ponderación se considera adecuado incluir los datos identificativos en el acta del Pleno, la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece en su Disposición Adicional Séptima, la forma de realizar estas publicaciones:

1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.

Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos supuestos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos.

En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.

Actas de la Junta de Gobierno

De conformidad con lo dispuesto en el artículo 70.1 de la Ley 7/1985, reguladora de las bases del régimen local, las sesiones de la Junta de Gobierno Local no son públicas y, de acuerdo con diferentes dictámenes e informes de la Agencia Española de Protección de Datos (AEPD), LAS ACTAS DE LAS SESIONES NO SE PUEDEN PUBLICAR EN LOS PORTALES WEB MUNICIPALES, sin contradecir la normativa reguladora de la protección de datos de carácter personal.

Es por ello, que la Agencia Española de Protección de Datos “AEPD” ha interpretado en numerosas ocasiones que es correcto dar “publicidad al contenido de las sesiones del Pleno, pero en ningún caso de la Junta de Gobierno, añadiendo el régimen de publicación en los Boletines Oficiales de los acuerdos adoptados.

De este modo, únicamente sería conforme a la normativa sobre protección de datos, mediante su inclusión en Internet, cuando dichos datos se refieran a actos debatidos en el Pleno de la Corporación o a disposiciones objeto de publicación en el correspondiente Boletín Oficial, dado que únicamente en estos supuestos la cesión se encontraría amparada, respectivamente, en una norma con rango de Ley o en el hecho de que los datos se encuentran incorporados a fuentes accesibles al público”.

En el mismo sentido, se pronuncia el artículo 113.1 b) del Reglamento de organización, funcionamiento y régimen jurídico de las entidades locales, aprobado por Real Decreto 2568/1986, de 28 de noviembre, cuando también establece que las sesiones de la Junta de Gobierno Local no son públicas, sin perjuicio de la publicidad de los acuerdos y del envío de estos a la comunidad autónoma y la Administración del Estado, además de la obligada remisión de copia del acta a todos los miembros de la corporación.

Con las limitaciones establecidas, la publicación de las actas de la Junta de Gobierno se podría realizar, en todo caso, publicando en el portar de transparencia municipal el Orden del Día y el Extracto de los acuerdos de la Junta de Gobierno Local, eliminando los datos de carácter personal susceptibles de protección.

A modo de conclusión, las Actas de la Junta de Gobierno, no se deben publicar, y de hacerlo se deberán eliminar todos los datos personales.  Ahora bien, si el eliminar los datos de las actas, acarrea un esfuerzo desmesurado a la entidad local, la misma puede tomar la decisión de no publicarlas y no estaría vulnerando la Ley de Transparencia, ya que recordemos, que  el Derecho a la Protección de los datos personales, es un Derecho Fundamental.

El equipo Govertis 

COMO CAMBIARÁ NUESTRAS VIDAS LA INTELIGENCIA ARTIFICIAL (IA)

Esta revolución tecnológica llama a las puertas de las empresas españolas, que realizan ya sus primeros proyectos en este ámbito. La informática en la nube, el ‘blockchain’ y el Internet de las Cosas son algunas de las tendencias más relevantes en estos momentos. Cada vez veremos más aplicaciones en el ámbito de machine learning, que permite a los sistemas aprender sin que hayan sido específicamente programados para ello.

Por otra parte, se prevé un incremento de la adopción de lo que se conoce como robotic process automation (RPA), sistemas inteligentes que aprenden de aplicaciones ya existentes para procesar transacciones, manipular datos y comunicarse con otros sistemas expertos.

Es interesante ver cómo están emergiendo plataformas de inteligencia artificial dentro de los servicios cloud, lo que promete una democratización de la IA, al ponerla al alcance también de empresas de menor tamaño. Amazon y Google son dos buenos ejemplos en este sentido.

Avance del “Block Chain”

Las empresas exploran las posibilidades que ofrece una tecnología llamada a revolucionar distintos sectores al permitir realizar transacciones de manera segura, confiable e irreversible, sin necesidad de utilizar un intermediario para establecer una relación de confianza entre las partes. Ya hay casos de uso en banca, gran consumo o industria.

Internet de las Cosas

La revolución del mundo hiperconectado permite a las compañías incrementar la productividad y reducir de costes de mantenimiento. El Internet de las Cosas (IoT) está íntimamente ligado a la inteligencia artificial. La IoT es la red que permite que los objetos se interconecten, pero el valor está en el análisis y el conocimiento que se obtiene de dichos datos.

Ciberseguridad, una prioridad

Las compañías españolas son cada vez más conscientes de la importancia de contar con una correcta política de ciberseguridad. El ámbito de la ciberseguridad ha dejado de ser un gasto para convertirse en una inversión.

Los cambios regulatorios, por ejemplo, la nueva LOPD, también contribuyen a impulsar una mayor y mejor cultura de seguridad de la información en las empresas españolas.

¿Podemos confiar en la Inteligencia Artificial?

La dependencia de las máquinas y los sistemas de soporte de decisiones puede plantear problemas éticos significativos y los programas no están libres de prejuicios. No podemos juzgar la inteligencia artificial a partir de estándares poco realistas, sino que debemos compararla con el proceso de toma de decisiones del ser humano. La confianza también se aplica a los humanos, y es algo que la persona, o el robot, va construyendo a lo largo del tiempo, demostrando que la mayoría de las veces suele tomar decisiones acertadas. También vale la pena señalar que los errores de software se pueden identificar y, normalmente, corregir y, por otra parte, permiten alta disponibilidad.

¿Quién decidirá las reglas?

Es importante disponer de un cuerpo jurídico imperativo y meditado. La autorregulación no basta. Si las normas son solo voluntarias, algunas compañías de tecnología decidirán no atenerse a las reglas que no les benefician, dando a algunas organizaciones ventajas sobre otras. Sería caótico que cada gran empresa tuviera su propio código para la IA.

Por lo tanto, cuando se redactan normas para los sistemas de IA, las empresas deben seguir siendo contribuyentes, pero no legisladores. Las compañías tecnológicas pueden estar bien posicionadas para diseñar reglas debido a su experiencia en la materia, pero los actores de la industria rara vez están en la mejor posición para evaluar adecuadamente los riesgos democráticos, morales y éticos.

La historia muestra lo que puede suceder si los Estados se retiran y dejan que las empresas privadas establezcan sus propias normas reguladoras. Permitir que esto ocurra en el caso de la IA no solo es imprudente, sino también muy peligroso.

Mantener la responsabilidad humana

La decisión final debe dejarse al ser humano en casos delicados, como podría ser el de los automóviles autónomos, que requieren reacciones en tiempo real. El verdadero peligro seríamos los seres humanos cuando, por ignorancia o facilidad, delegáramos decisiones vitales a las máquinas.

Política, industria y ciudadanos, debería estar interesados, para poder decidir los límites éticos para construir los mejores mundos digitales posibles.

El equipo Govertis

IV Insight del Club DPD: ISO 27701, el corresponsable y las claves del procedimiento sancionador en el RGPD

El Club DPD continúa ofreciendo contenidos relevantes a sus miembros. El 23 de octubre celebró su IV Insight sobre RGPD y LOPDGDD, en esta ocasión con dos ponencias en abierto, dedicadas a la ISO 27701 y el corresponsable del tratamiento; y un taller práctico reservado exclusivamente para los miembros del Club, en el que se analizaron las claves del procedimiento sancionador en el RGPD.

Introducción práctica a la ISO 27701:2019 nuevo estándar internacional de Protección de Datos

La primera de las ponencias fue impartida por Borja Romano, Information, Security & Risk Consultant en Govertis, quien comenzó su exposición con un repaso histórico de la ISO 27001. Posteriormente aclaró algunos conceptos relevantes y presentó la relación entre la  ISO 27001 la ISO 27002 y la nueva ISO 27701. Finalmente, profundizó en el análisis de la ISO 27701, su estructura y cláusulas, y expuso diferentes casos de implantación.

El Corresponsable: esa figura de moda

A continuación, Jordi Bacaria, Fundador de Global Data, presentó a una figura que aparece recogida en el artículo 26 del RGPD: el corresponsable del tratamiento. Comenzó su ponencia definiendo diferentes figuras: el responsable del tratamiento, el encargado del tratamiento y el corresponsable del tratamiento; y señaló varios “peros” que surgen al respecto. Posteriormente profundizó en la figura del corresponsable del tratamiento destacando algunos aspectos de la corresponsabilidad del tratamiento y profundizando en las obligaciones de las partes en un acuerdo entre corresponsables.

Análisis de las claves del procedimiento sancionador en el RGPD

Para finalizar una jornada de lo más enriquecedora, los miembros del Club DPD tuvieron ocasión de asistir al taller práctico impartido por Javier Sempere, Letrado del CGPJ y Jefe de Área del CENDO, a raíz de los primeros procedimientos  sancionadores que tras la entrada en vigor del RGPD. Javier Sempere comenzó exponiendo algunos reconocidos casos sobre las primeras sanciones que ya han tenido lugar, en empresas como Google, British Airways y los hoteles Marriots en diferentes países de la UE. A lo largo de su ponencia, dio respuesta a diferentes preguntas de gran relevancia para la audiencia:

• ¿Quiénes pueden ser responsables de la comisión de infracciones de la normativa de protección de datos?
• ¿Dónde se encuentran tipificadas las infracciones de la normativa de protección de datos?
• ¿Qué poderes correctivos ostentan las Autoridades de Control?
• ¿Qué criterios existen para ponderar la sanción de una cuantía económica?

El Club DPD de la AEC

Al igual que los anteriores Insights, el IV Insight lo ha llevado a cabo el Club DPD de la Asociación Española para la Calidad. Sin duda fue una jornada muy enriquecedora, a la que los miembros del Club pudieron asistir vía streaming o presencialmente. Además, las dos primeras ponencias de la jornada se retransmitieron públicamente.

¿Te gustaría disfrutar del resto de encuentros del Club DPD completos? ¡Apúntate al Club DPD!