COVID-19: Controles de temperatura y su encaje en la normativa de protección de datos

¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DEL PERSONAL AL CENTRO DE TRABAJO?

EN CASO AFIRMATIVO, ¿DE QUÉ FORMA PUEDO HACERLO Y QUÉ GARANTÍAS DEBO CUMPLIR?

¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DE CLIENTES Y VISITANTES EN GENERAL?

La Agencia Española de Protección de Datos ha publicado un comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos para determinar quién puede acceder a los mismos.

El objetivo de estos sistemas es controlar el acceso a instalaciones para evitar posibles contagios de COVID-19, en tanto que la temperatura es indiciaria de haber contraído la enfermedad, y, por tanto, del riesgo de contagio.

La temperatura asociada a un sujeto identificable constituye un dato de salud, de acuerdo a la interpretación amplia que hace la normativa, por lo que es objeto de especial protección. La legitimación para realizar este tratamiento parte, entre otros, del Considerando (46) del RGPD, que reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público como en el interés vital del interesado u otra persona física: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DEL PERSONAL AL CENTRO DE TRABAJO?

SÍ, con ciertos requisitos

En el caso de centros de trabajo, la legitimidad de este tratamiento la corrobora la propia AEPD en sus FAQ,s sobre el COVID-19,  donde indica que el empleador “podrá tomar la temperatura a los trabajadores, como medida relacionada con la vigilancia de su salud en materia de Prevención de Riesgos Laborales”. Esto puede entenderse en tanto que, según corrobora la OMS, el signo más frecuente en los pacientes COVID-19 es la fiebre.

Continúa la Agencia en la nota informativa estableciendo que “la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. Esa obligación operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento”.

Añade la Agencia en su comunicado, en relación con esta toma de temperatura para determinar el acceso, que “requeriría la determinación previa que haga la autoridad sanitaria competente (…) de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados”, por lo que “estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas”.

En este sentido, el “Procedimiento de actuación para los servicios de prevencion de riesgos laborales frente a la exposición al SARSCOV-2”, elaborado por el Ministerio de Sanidad, recomienda a los servicios de PRL lo siguiente:

“Dado que el contacto con el virus puede afectar a entornos sanitarios y no sanitarios, corresponde a las empresas evaluar el riesgo de exposición en que se pueden encontrar las personas trabajadoras en cada una de la tareas diferenciadas que realizan y seguir las recomendaciones que sobre el particular emita el servicio de prevención, siguiendo las pautas y recomendaciones formuladas por las autoridades sanitarias”.

Por tanto, en cuanto no hay mención expresa por parte del Ministerio sobre el control de temperatura, la decisión de adoptar tal medida recae en la empresa, a través de su servicio de PRL.

EN CASO AFIRMATIVO, ¿DE QUÉ FORMA PUEDO HACERLO Y QUÉ GARANTÍAS DEBO CUMPLIR?

Sigue la Agencia en la citada nota recordando que este tratamiento lícito debe cumplir las “garantías adecuadas”. Sobre estas garantías, la autoridad de control indica que “los datos (de temperatura) solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Pero esos datos no deben ser utilizados para ninguna otra finalidad. Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica”

También habla del principio de exactitud, advirtiendo que “los equipos de medición deben ser homologados y adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes”. En este sentido, añade que “el personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso”.

Por último, la Agencia señala que “debieran considerarse, entre otras, medidas (…) para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado (por ejemplo, justificando que su temperatura elevada obedece a otras razones). Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso”.

En cumplimiento de todo lo antedicho, se recomiendan las siguientes actuaciones:

• Uso de dispositivos que se limiten a la toma de temperatura, sin que se registre esta información asociando los datos al usuario.
• No destinar los datos de temperatura a otra finalidad que no sea la propia de la detección del contagio.
• Que los equipos que se utilicen sean homologados y adecuados.
• Que el personal esté formado en el uso de los mismos. Al no hacerse referencia a que tenga que ser necesariamente personal sanitario el que realice la toma de temperatura, cabría la posibilidad de que ésta se realice por personal de seguridad. El artículo 32.1.a) de la Ley de Seguridad Privada establece que corresponde a los vigilantes de seguridad, entre otras, ejercer la vigilancia y protección de bienes, establecimientos, lugares y eventos, tanto privados como públicos, así como la protección de las personas que puedan encontrarse en los mismos, llevando a cabo las comprobaciones, registros y prevenciones necesarias para el cumplimiento de su misión. El sometimiento a controles de acceso a un establecimiento público o privado “será de obligado cumplimiento si así se establece por los responsables del mismo“. En la situación actual, la utilización de termómetros estaría encuadrada dentro de la utilización de medios técnicos que complementan las medidas de seguridad, para proteger a los clientes y trabajadores del establecimiento. Por tanto, un vigilante de seguridad privada reuniría los “requisitos legalmente establecidos”, pero sería necesario que acreditaran estar formados en el uso de estos dispositivos. En definitiva, si no es posible que este control se haga por personal sanitario, se podría acudir al personal de seguridad cumpliendo los requisitos comentados.
• En el caso de control de temperatura a trabajadores para acceso al centro de trabajo, que exista un protocolo, consensuado con el servicio de prevención y los representantes de los trabajadores, para los casos en que se detecte una temperatura superior a la normal, mediante el cual se derive al interesado a personal cualificado que pueda atenderle, de acuerdo a lo que se indique en dicho protocolo. En ningún caso esta derivación puede suponer un tratamiento de esta información por personal distinto a los médicos de la empresa o del servicio de prevención. Una vez aprobado el protocolo, que se envíe una circular al personal informando de la puesta en marcha de este sistema, Así mismo, también sería necesario informar en el momento de la toma de temperatura.

Cabe recordar la necesidad de actualizar el Registro de actividades de tratamiento con las operaciones indicadas, así como la realización de una evaluación de impacto de protección de datos, en su caso, una vez acordado el sistema de control a implantar.

Tabla 1 Infografía

¿SE PUEDE UTILIZAR EL CONTROL DE TEMPERATURA PARA EL ACCESO DE CLIENTES Y VISITANTES EN GENERAL?

NO es recomendable. De momento, optar por medios menos invasivos

En este supuesto, si bien la habilitación legal para el tratamiento de datos puede partir de la necesidad de “proteger un interés esencial para la vida del interesado o la de otra persona física (…) como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”, y por “por razones de interés público en el ámbito de la salud pública”, y el uso del control de temperatura (sin registro de datos) podría considerarse una medida proporcionada y lícita para cumplir con esta necesidad, la AEPD en su comunicado deja la decisión de la necesidad y adecuación de la medida a las autoridades sanitarias, así como la determinación, en su caso, de la temperatura a partir de la cual se considere posible contagio:

“Es por ello que estas medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, tanto en lo relativo a su utilidad como a su proporcionalidad, es decir, hasta qué punto esa utilidad es suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen y hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas.

Por otro lado, esos criterios deben incluir también precisiones sobre los aspectos centrales de la aplicación de estas medidas. Así, por ejemplo, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID – 19 debería establecerse atendiendo a la evidencia científica disponible. No debería ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas”.

¿Y por qué la AEPD considera que las autoridades sanitarias son las que han de establecer los criterios de aplicación de la medida, así como pronunciarse sobre su utilidad y proporcionalidad? 

Porque las concretas medidas, destinadas a prevenir y combatir el contagio del virus, deben ser determinadas por las autoridades sanitarias, en base a sus propias competencias. Así, la necesidad, proporcionalidad y adecuación de la medida dependerá de la estrategia que las autoridades sanitarias hayan planificado y valorado. Debe entenderse, por tanto,  que corresponde, en primer lugar, a la autoridad sanitaria, valorar la idoneidad, necesidad y proporcionalidad de las medidas (por ejemplo, uso de mascarilla obligatorio en transporte público, la realización de test masivos y utilización de aplicaciones móviles de rastreo para alertar a posibles contactos sobre una potencial exposición al virus).  No se puede afirmar a priori si la medida es adecuada o proporcional, a los efectos de ser adoptada en nuestra organización, si no la ponemos en relación con la estrategia sanitaria concreta.

Por tanto, nuestra recomendación es esperar a un previsible pronunciamiento específico de las autoridades sanitarias sobre esta cuestión, optando entretanto por medidas de prevención menos invasivas. Si esto no fuera posible, habría que realizar una evaluación de impacto para valorar la viabilidad del tratamiento, así como las garantías a emplear.

Equipo Govertis

MEDIDAS DE CONTROL Y VIGILANCIA POR PARTE DE LA ENTIDAD LOCAL

Respecto de si tiene o no potestad de control y vigilancia el empresario o empleador en el ámbito privado, es un tema muy trillado del que se ha hablado en numerosas ocasiones. ¿Pero qué pasa en el ámbito público, concretamente en las entidades locales?

Titularidad de los medios tecnológicos

En primer lugar, partimos de la afirmación, que la titularidad de los medios tecnológicos (correo electrónico, equipos de sobremesa, etc..) es titularidad de la Administración Local siempre y cuando, dichos soportes se hayan puesto a disposición del empleado con la finalidad de desempeño de las funciones encomendadas a este. Son muchos los pronunciamientos de la Agencia Española de Protección de Datos al respecto, resaltamos entre ellos, el Informe 0464/2013.

Legitimación en la adopción de las medidas de control

Asentado lo anterior, debemos analizar la base de legitimación para poder llevar a cabo la adopción de medidas de control por parte de la Entidad local.

En el ámbito público, en primer lugar, debemos diferenciar:

1. Personal laboral: ya sea, fijo por tiempo indefinido o temporal
2. Funcionarios de carrera o interinos.

Por lo que se debe diferenciar la normativa aplicable a ambos supuestos:

1. Para el personal laboral, le sería de aplicación el artículo 20.3 del Estatuto de Trabajadores.

En cuanto a los funcionarios de carrera, dicho control estaría legitimado, en primer lugar atendiendo al  artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), que establece como principio de conducta de los empleados públicos, entre otros, el deber de no utilizar los recursos y bienes públicos en provecho propio, por lo que, los Ayuntamientos, y otros entes públicos, podrían realizar actuaciones de control del ordenador de sus trabajadores con el fin de verificar el cumplimiento de este deber.

En segundo lugar, la Administración como Responsable de Tratamiento, tal y como indica el artículo 32.1 RGPD debe, por un lado, implementar medidas de seguridad en el tratamiento;

<< Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (…)>>

Y por otro, medidas de seguridad de forma integral, tal y como recoge el artículo 5 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica: así como el artículo 41.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. 

Es por ello, que una de las medidas de seguridad que está obligado a adoptar el Responsable, son aquellas medidas de control concretas, para poder preservar la seguridad de los sistemas de información. 

A mayor abundamiento, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales recoge en el artículo 87 el Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral:

“2. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos (…)

En este punto, la Agencia Catalana de Protección de Datos ya puntualizó, en su Dictamen 49/2009, que el Ayuntamiento, en su condición de “empresario”, también podía ejercer un control cuando tuviera como finalidad verificar el cumplimiento por parte de los trabajadores de sus obligaciones laborales, y lo hace en base al artículo 54 de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público (EBEP), anteriormente referenciado.

Juicio de proporcionalidad, idoneidad y necesidad de las medidas de control

Finalmente, pero no menos importante, el Tribunal Constitucional (TC) considera que el ejercicio de cualquier derecho fundamental consagrado en nuestra Constitución no es de carácter absoluto, sino que se debe contraponer con el ejercicio de otros derechos o bienes jurídicos protegidos, siendo la función de los órganos jurisdiccionales y, en concreto del TC, preservar el equilibrio necesario ante una posible colisión de intereses contrapuestos.

Es por ello, que para que una actividad de control sea conforme a la legislación se respeten los principios de Necesidad, Legitimidad, Proporcionalidad y Seguridad.

El Equipo Govertis 

Publicación de calificaciones universitarias y la nueva LOPD

Una problemática recurrente en el ámbito universitario es la relativa publicación de las notas de los alumnos. Tradicionalmente, las calificaciones se “colgaban” en el tablón de anuncios de la Universidad, y todo aquel que pasara por allí, ya fuera alumno, progenitor “curioso” o ciudadano anónimo, tenía acceso a las mismas.

Traducido a la normativa de protección de datos, esta publicación supone una comunicación de datos de carácter personal, que debe basarse en una causa de licitud, esto es, uno de los motivos que contempla la Ley para que dicho tratamiento de datos sea válido.

Calificaciones universitarias con la antigua LOPD

Con la antigua LOPD (Ley Orgánica 15/99, de Protección de Datos), la regla general de licitud era el consentimiento del afectado, salvo excepciones, como que una norma con rango de ley contemplara ese tratamiento concreto. Antes de la entrada en vigor de la Ley Orgánica 4/2007, de 12 de abril de Universidades, esa publicación de notas en los tablones era ilegal, salvo que se hubiera recabado previamente el consentimiento de los estudiantes.

La DA 2ª  de la citada Ley Orgánica 4/2007 sí contempló la excepción, y amparó la publicación de las calificaciones de los alumnos sin consentimiento del interesado.

Calificaciones universitarias con el nuevo RGPD

Esta situación no ha cambiado con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de Derechos Digitales (LOPD-GDD), que incluye entre sus bases de legitimación para tratar los datos el interés público basado en una norma con rango de ley, como es este caso.

Pero no basta, de acuerdo con el RGPD y la LOPD-GDD, que la publicación sea lícita (PRINCIPIO DE LICITUD DEL TRATAMIENTO), sino que también debe cumplir con el resto de principios generales de la norma, como el de TRANSPARENCIA, MINIMIZACIÓN DE DATOS o LIMITACIÓN DEL PLAZO DE CONSERVACIÓN, entre otros. Esto implica que la publicación debe hacerse de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones, como en el caso de que se publicara, por ejemplo, en Internet. Por todo esto se recomienda:

• Publicación calificaciones en Intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo, habiendo informado previamente a los alumnos en la matriculación.
• Si de esta forma no fue posible, publicación en tablones de anuncios del centro, siempre que no se encuentren en las zonas comunes de los centros, se garantice que el acceso a los mismos queda restringido a dichas personas y se adopten las medidas necesarias para evitar su público conocimiento por quienes carecen de interés en el mismo.
• En cuanto a los datos a publicar:

• • Nombre y apellidos del alumno y la calificación obtenida.
  • Si hubiera alumnos con mismo nombre y apellidos, incluir cuatro cifras aleatorias de su DNI o documento equivalente, recomendándose seguir los criterios del documento de la AEPD “Orientación para la aplicación provisional de la disposición adicional séptima de la LOPDGDD”.
• Plazo de conservación de la publicación: calificaciones provisionales mientras transcurre el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados. 

Documentación relacionada:

Informe AEPD 2019-0030

https://www.aepd.es/es/documento/2019-0030.pdf

Orientación para la aplicación provisional de la DA 7ª de la LOPDGDD

https://www.aepd.es/media/docs/orientaciones-da7.pdf

El Equipo Govertis 

Uso de fotografías en RRSS

El uso y compartición de fotografías en las redes sociales es uno de los aspectos que caracterizan dichas comunidades, bien sea para un uso profesional (Linkedin, Xing) o más personal (Facebook, Twitter, Instagram).

Desde el punto de vista jurídico, el hecho de compartir fotografías en redes sociales tiene diversas implicaciones y puede estar sujeto a diferentes normas que regulan desde la propiedad de la fotografía hasta los aspectos relativos a su contenido, con especial atención al contenido cuando en la fotografía aparecen personas físicas.

Propiedad de la imagen en Redes Sociales

Respecto a la propiedad de la imagen, hay que tener en cuenta las disposiciones del Real Decreto legislativo 1/1996 por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (en adelante LPI). Esta ley reconoce una serie de derechos morales y de explotación a los autores de las fotografías, diferenciando en caso de que se consideren obras artísticas, literarias o científicas; o meras fotografías.

Para utilizar en RRSS fotografías de terceros, será necesario ser titular de los derechos necesarios para el uso que se quiere realizar (como por ejemplo un uso comercial o publicitario) y en su caso abonar al titular de los derechos la compensación pactada.

Contenido de la imagen en Redes Sociales

En cuando al contenido, además de que los objetos que aparezcan en la fotografía puedan estar protegidos por la LPI, también podrían estar protegidos por otras normas como la Ley 17/2001 de Marcas, o la Ley 20/2003 de Protección del Diseño Industrial.

Si en el contenido de la fotografía aparecen personas físicas, entran en juego dos marcos normativos de gran relevancia:

1. Por un lado: el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los.derechos digitales. (en adelante, LOPDGDD).
2. Por otro lado, la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (en adelante LO 1/1982).

La imagen como Dato Personal

La imagen está considerada como un dato personal de acuerdo a la definición de dato personal proporcionada por el art 4 del RGPD, y como tal, cualquier tratamiento que se realice de imágenes de personas identificadas o identificables ha de cumplir con los requisitos, obligaciones y principios del RGPD y su tratamiento deberá estar legitimado por una de las bases de legitimación del art 6 del RGPD.

Respecto a la LO 1/1982, hay que tener en cuenta que el art 7 de esta Ley considera una intromisión ilegítima en la intimidad de las personas “la captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos”, salvo en los siguientes casos:

• Que se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
• La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
• La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

Por lo que, conforme a esta Ley, para poder captar, reproducir o publicar la fotografía de una persona es necesario que dicho uso esté expresamente autorizado por ley, o que el titular de los derechos hubiera consentido expresamente. (art 2.2 Ley 1/1982).

En conclusión, para utilizar una fotografía en redes sociales, hay que ostentar los derechos de propiedad intelectual, y si aparecen personas físicas identificadas o identificables obtener la cesión de su imagen y cumplir con las obligaciones en materia de protección de datos.

El Equipo Govertis

“GDPR Y LOPDGDD: De la teoría a la práctica” El Club DPD participa en el II Encuentro de Privacidad de Telefónica

El 9 de mayo Telefónica celebró su II Encuentro de Privacidad, en el cual se trató un tema de gran relevancia: cómo ha sido la adaptación a lo largo del último año al nuevo reglamento RGPD y posteriormente a la LOPDGDD.

Como no podía ser de otro modo, el Club DPD participó activamente en esta importante cita con la protección de datos.

El encuentro se celebró en el Auditorio Telefónica, y comenzó con un keynote por parte de Pedro Pablo Pérez, CEO de ElevenPaths.

Ponencias: El nuevo Reglamento RGPD

La primera ponencia corrió a cargo de Jesús Rubí, de la Agencia Española de Protección de Datos, institución cuya presencia no podía faltar a esta cita.  El ponente abordó una temática de especial relevancia: qué está pasando con la aplicación real del nuevo Reglamento RGPD. Durante la ponencia resaltó la evolución de las reclamaciones tras la entrada en vigor del nuevo Reglamento.

A continuación, Eduard Chaveli, CEO de Govertis y DPD certificado por el CERPER de la AEC, trajo consigo un titular de especial relevancia: Intentando descifrar una ley difícil de pronunciar. Durante su ponencia Eduard se centró especialmente en los principios de la ley, concretamente en el principio de licitud y envió un mensaje claro a la audiencia: “Pon un DPD en tu vida, es una vida extra”.

Mesa redonda: Experiencias prácticas de DPDs tras un año de exigencia del RGPD

Alberto González, gestor del Club DPD de la AEC, moderó una interesante mesa redonda en la que 5 DPDs pudieron compartir su experiencia en la adaptación al cumplimiento del nuevo reglamento durante este año de vigor. Tuvimos el placer de contar con:

• Antonio Muñoz Marcos, Data Protection Technical Diretor, Global DPO Officer at Telefónica.
• Elena Terradillos Figueiro, DPD en la Confederación Sindical de CCOO.
• Nuria Calvo, DPD de Thyssen Krupp.
• Marta Martínez Pérez, DPD de Mutua MAZ.
• Iñaki González-Pol, DPD de Parlamento de Andalucía, Junta Electoral de Andalucía y Defensor del Pueblo Andaluz.

La mesa redonda nos dejó varios puntos de vista muy interesantes. Por ejemplo, Nuria Calvo compartió la visión del cambio en Thyssen Krupp, y explicó cómo se pasó de una empresa “gris” a una empresa digital exponiendo varios ejemplos de transformación digital en los que estuvieron implicados los datos personales. Por su parte, Elena Terradillos comentó la necesidad de crear una guía en la que se recoja la actividad sindical, además de subrayar la importancia de dar formación y contar con el apoyo de la organización para el correcto cumplimiento del RGPD.

En el caso de Mutua Maz el desafío era grande, al ser una empresa que trata datos sensibles, así lo expuso  Marta Martínez. Mientras que por su parte Iñaki González-Pol explicó el cambio de paradigma que ha supuesto el RGPD para la Administración, y destacó el concepto «volatilidad de las certezas jurídicas”.

Tras finalizar la mesa redonda, José Parada y Jorge García de ElevenPaths expusieron la privacidad como punto de partida del análisis integral de seguridad.

Desconexión y Transformación Digital

Después de una pausa para el café, pudimos disfrutar de las dos últimas ponencias.

La primera de ellas corrió a cargo de Tatiana Espinosa, Directora Global de Relaciones Laborales de Telefónica, quien presentó la nueva filosofía de la compañía: “Desconectar para reconectar”, en la cual destacó la importancia de la desconexión digital para los empleados, y habló sobre las diferentes prácticas que se están llevando a cabo para hacerlo posible en la compañía.

Por último Helena Pons-Charlet, habló de la ciberseguridad y privacidad, pilares de la transformación digital. Helena destacó el crecimiento de los ciberataques y consiguió que la audiencia reflexionara sobre las amenazas que implica para las organizaciones estar expuestas a los mismos.

Elisabet Iglesias, responsable de negocio de consultoría de ciberseguridad de Telefónica en España, fue la encargada de clausurar este interesante encuentro, y lo hizo destacando los aspectos más relevantes que se trataron durante el mismo.

El II Encuentro de Privacidad de Telefónica fue una cita imprescindible para los profesionales en protección de datos. Como no podía ser de otra manera el Club DPD participó de manera activa en el encuentro, y los miembros del Club disfrutaron de un trato exclusivo, al disponer de las dos primeras filas del auditorio. Además de participar de manera activa en encuentros sobre protección de datos, el Club DPD organiza sus propios encuentros y retransmite vía streaming ponencias de gran relevancia. ¿Te gustaría asistir a sus próximos encuentros? ¡Descubre el Club DPD!

La importancia de actualizar el software y no convertirlo en vulnerabilidad a múltiples amenazas

Utilizar software sin actualizaciones hace que sean vulnerables a múltiples amenazas. Los ciberdelincuentes lo saben y han puesto foco en estas herramientas.

II Insight del Club DPD: Un Encuentro Exclusivo sobre LOPDGDD y RGPD

El Club DPD de la Asociación Española para la Calidad tiene previsto un total de siete encuentros a lo largo del 2019, y ayer se llevó a cabo el segundo de ellos. El Club DPD, que ya cuenta con 200 miembros, se dio cita para tratar algunas de las temáticas de máxima actualidad en lo que a Protección de Datos se refiere. Algunos de los miembros del Club asistieron en persona a este encuentro y al taller práctico posterior, mientras que el resto de miembros pudo seguir el evento vía streaming. Además, aquellas personas interesadas en las temáticas tratadas pero que no pertenecen al Club DPD, tuvieron la ocasión de seguir vía streaming las dos primeras ponencias.

La Libertad de Expresión y el Testamento Digital

La primera ponencia de la jornada estuvo en manos de Ofelia Tejerina, abogada, Master en Derecho Informático y Doctora en Derecho Constitucional. Además, fue la ganadora del premio Confilegal 2018 en la categoría LegalTech. Ofelia Tejerina abordó el título X de la LOPD-GDD y la libertad de expresión en relación a otros derechos.

Durante su ponencia analizó el artículo 96 de la nueva ley: derecho al testamento digital. También trató aspectos relacionados de gran interés como la desinformación, la libertad de expresión y la libertad de información. Pero Ofelia tejerina puso especial atención en el derecho de  rectificación, e hizo varios apuntes de gran relevancia, como el hecho de que «la veracidad no es la verdad absoluta». No te pierdas la ponencia completa:

El Encargado de Tratamiento: deber de Diligencia 

Leandro Núñez, abogado y socio de Audens fue el encargado de impartir una interesante ponencia, centrada en la elección y supervisión de los encargados del tratamiento. Leandro Núñez habló de la responsabilidad proactiva y la responsabilidad in vigilando, pero lo que conquistó realmente a la audiencia fue su aportación personal sobre lo que debemos buscar a la hora de elegir un tratamiento, una información muy útil para los asistentes al encuentro. Además, a los largo de su ponencia Leandro Núñez habló  sobre la labor del DPD. No te pierdas la ponencia completa:

A partir de esta ponencia se elaboró la infografía ¿Cómo elegir un Encargado del Tratamiento? Una guía con 7 claves para ayudarnos en la decisión.

Análisis de Riesgos y Evaluaciones de Impacto

Aunque cualquiera que estuviera interesado en las temáticas tratadas pudo disfrutar de las ponencias de Ofelia Tejerina y Leandro Núñez, solo los miembros del Club DPD pudieron asistir además al taller práctico impartido por Javier Cao, sobre el análisis de riesgos y las evaluaciones de impacto.  Javier Cao llevó a cabo una ponencia de lo más completa en la que evaluó los diferentes aspectos a tener en cuenta en un análisis de riesgos. Además, compartió con su audiencia la fuente de los materiales que utiliza para este tipo de análisis, así como para las evaluaciones de impacto.

¿Quién ha hecho posible este encuentro?

Este Insight Exclusivo, así como el resto de encuentros, es una iniciativa del Club DPD de la Asociación Española de la Calidad. Este Club está gestionado por Alberto González, quien organiza los espacios y los pone a disposición de los interesados. Además, para la moderación del encuentro contamos con Eduard Chaveli, CEO de Govertis. Los miembros del Club DPD pueden asistir a estos encuentros, pero para ellos la experiencia no termina una vez que finalizan, porque el Club también pone a su disposición el Club DPD Privado, a través de la red social Linkedin, en el  que sus miembros pueden plantear dudas e intervenir en los temas de debate.

¿Te gustaría disfrutar de todas las oportunidades que el Club DPD pone a disposición del público? ¡Apúntate al Club DPD! y mantente a la vanguardia en lo referente a Protección de Datos.

El Régimen Sancionador de Derechos Digitales: Primer encuentro del Club DPD

Ayer inauguramos el Club DPD de la Asociación Española para la Calidad por todo lo alto. Para tan importante ocasión contamos con diversos ponentes de primer nivel en el ámbito de la Protección de Datos.

Aunque solo algunos miembros del Club DPD tuvieron ocasión de asistir personalmente, todos pudieron presenciar las ponencias vía streaming, y a los no miembros interesados en la materia, se les invitó a disfrutar del mismo modo de las dos primeras ponencias de la jornada.

¿El motivo de celebrar este insight exclusivo? La entrada en vigor el pasado 7 de diciembre de 2018 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

¿Cómo transcurrió la jornada?

El encuentro comenzó con la bienvenida de Alberto González, gestor del Club DPD, quien además de informar a los asistentes sobre lo que estaban a punto de presenciar, habló sobre el Club DPD y dio algunos datos muy positivos, entre los que cabe destacar que ya somos más de 180 miembros. Durante todo el evento contamos con Eduard Chaveli como moderador, uno de los máximos referentes en Seguridad y Protección de Datos, y Socio y CEO en GOVERTIS. Además, los asistentes, tanto presenciales como en streaming, pudieron plantear sus preguntas y debatir de los aspectos de interés con los ponentes.

¿Qué expertos en Derechos Digitales nos acompañaron?

Comenzó rompiendo el hielo Cristina Martínez Garay, abogada especialista en Derecho de las Tecnologías de la Información en ECIJA Law & Technology y profesora en diferentes masters. Cristina analizó las novedades que introduce la nueva Ley en materia de Régimen Sancionador. Lo hizo abordando aspectos de gran relevancia, destacando los motivos por los cuales es importante conocer el Régimen Sancionador, y haciendo hincapié en un aspecto de gran interés general: las infracciones y sanciones. Puedes ver el vídeo completo de la ponencia:

A continuación, Felix Haro, Associate – Legal & Privacy Advisor en GOVERTIS y profesor de diferentes masters, analizó el título X de la LOPDGDD que hace referencia a la Garantía de Derechos Digitales, prestando especial atención al Derecho a la Desconexión Digital en el ámbito laboral. Puedes ver el vídeo de la ponencia:

Tras una pausa para el café y recuperar fuerzas, los miembros del Club DPD pudieron continuar disfrutando de la segunda parte de este insight. Este segundo bloque contó con la participación de Verónica Gutiérrez,  Associate – Legal & Privacy Advisor en GOVERTIS y certificada como DPD de por el AEC-CERPER. Verónica llevó a cabo un taller práctico sobre cómo se debe elaborar una política de Desconexión Digital, con la cual deben contar todas las organizaciones y empresas en aplicación de la nueva normativa.

Para finalizar, contamos con la aportación de Tatiana Espinosa de los Monteros Rosillo, Directora Global de Relaciones Laborales de Telefónica, quien expuso el interesante proyecto de Telefónica “Desconecta para Reconectar”.

Sin duda se trató de un encuentro único dedicado a los Derechos Digitales. Pero para los miembros del club la experiencia no finaliza aquí, a través del Club DPD Privado en la red social Linkedin pueden continuar debatiendo con los ponentes y otros expertos de la materia, plantear sus dudas e inquietudes. Además, recibirán el vídeo completo de la jornada para poder visionarlo cuando gusten, y una infografía del taller práctico que se realizó sobre la política de Desconexión Digital.

¿Te gustaría poder debatir con los expertos y recibir todo el material exclusivo? ¡No lo pienses más! Si todavía no eres miembro, apúntate al Club DPD y disfruta de todo lo que tiene que ofrecerte.

Camino al «GDPR Readiness»: los cinco factores que impactan significativamente a las empresas

Desafíos para cumplir  con los requisitos de cumplimiento

Las labores para cumplir con ciertas normativas son, sin duda, tediosas y desalentadoras para algunas empresas. De hecho, el cumplimiento se ve como un objetivo en constante movimiento que puede volverse abrumador si las empresas lo permiten. A pesar de la necesidad de negocio y normativa, las empresas pueden verse inclinadas a evitar proyectos de cumplimiento, dada la compleja combinación de actividades, requisitos cambiantes y expectativas diversas. Por lo tanto, no es sorprendente que una parte importante de las organizaciones todavía estén luchando para cumplir con los requisitos de cumplimiento del RGPD y la reciente LOPD y GDD.

En este sentido, de acuerdo con el resultado de una encuesta realizada por  ISACA en 2018 a 600 profesionales legales, de tecnología de la información y privacidad en los Estados Unidos, el Reino Unido y algunos otros países de la UE, solo el 20 por ciento de estas organizaciones se consideraban compatibles con el RGPD. Aunque se espera que esta cifra mejore en 2019, la encuesta subraya la complejidad para comprender los requisitos de la nueva normativa y también para cumplirlos posteriormente.

Hay varios factores que pueden afectar al camino para cumplir con los requisitos del RGPD, y en particular los más significativos son:

La complejidad de la legislación: Comprender los requisitos y su impacto en el negocio requiere una combinación de competencias tecnológicas, de privacidad y legales que no siempre están disponibles dentro de la organización.  Es por ello que se requiere en muchos casos asesoramiento experto en la materia para encajar los requisitos de la normativa en la propia organización y entender el alcance pero principalmente se requiere un cambio de mentalidad que suponga tener conciencia de la importancia de la materia, así como de las consecuencias que pueden derivarse ante un incumplimiento en materia de protección de datos.

Escasez de recursos: las organizaciones tienen que invertir una gran cantidad de tiempo y de recursos humanos, técnicos, financieros y de infraestructura para implementar, ejecutar y mantener el cumplimiento en materia de protección de datos. Hace poco se publicaba el dato que las compañías de “Fortune Global 500” gastarán aproximadamente 7.8 mil millones de dólares (entre todas ellas) para cumplir con la nueva normativa RGPD. Si bien esta cifra para las organizaciones más pequeñas es menor, el coste para movilizar sus recursos y administrar las actividades para el cumplimiento (como ejemplo la revisión de contratos de terceros, el desarrollo de nuevos formularios de consentimiento, o la adquisición de nuevas herramientas de software), sigue siendo significativo.

Baja madurez previa en materia de privacidad: Antes del RGPD, la gran mayoría de entidades carecían de ciertas medidas que estuviesen ya implantadas en sus operaciones, procesos, políticas o procedimientos, y que ahora son requisitos obligatorios. De hecho, se vio que la mayoría de los proyectos de adecuación de muchas organizaciones aún estaban desarrollando sus avisos y políticas de privacidad, formularios de consentimiento y otros documentos requeridos días antes de la fecha límite del 25 de mayo de 2018. Y como resultado de dejar las cosas para ultima hora, tenemos el bajo nivel de adecuación en las medidas implantadas.

Concienciación y comprensión. Las organizaciones pueden haber leído y/o escuchado mucho sobre el RGPD, pero a menudo carecen de conocimientos clave y de un entendimiento al detalle de los requisitos necesarios para lograr su total adecuación. En esta tarea, las compañías deben desarrollar las responsabilidades de concienciación y capacitación de aquellos de los que depende el éxito de su cumplimiento.

Adjudicación de la responsabilidad. La adecuación al RGPD no sólo compete al departamento de IT y no solo consiste en una única o varias soluciones informáticas mágicas sino a la implantación de una serie de medidas técnicas, legales y organizativas que hacen necesario el uso de una metodología que no pierda de vista toda la complejidad del proyecto.

En definitiva, podemos decir que el RGPD  está transformando la forma en que operan las organizaciones y la forma en que se realizan las transacciones comerciales.

La legislación impacta el ecosistema organizacional al completo. A pesar del desafío, las organizaciones deben adoptar un programa de cumplimiento sólido que tenga en cuenta las personas, los procesos, los procedimientos, las políticas, los sistemas y los servicios que interactúan o se relacionan con el procesamiento de datos personales. Para la adecuación es necesario un programa de cumplimiento marcando los hitos de la ruta para alcanzar los objetivos requeridos de evaluar la preparación del RGPD e implementar medidas técnicas y organizativas adecuadas para garantizar el cumplimiento. Y de esta manera superar los obstáculos de cumplimiento y adecuarse a los requisitos de la normativa, con la plena comprensión de que es un viaje continuo y no un destino. Además, durante este proceso, las organizaciones experimentan una serie de beneficios al adoptar un programa de cumplimiento sólido, como mejorar la confianza del cliente, tener mayores oportunidades comerciales y una postura de privacidad saludable.

Equipo Govertis.

Los datos de contacto de profesionales en la LOPD y GDD

El pasado 5 diciembre de 2018, el Boletín Oficial del Estado publicó la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. Aunque el Reglamento 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 fuese aplicable en todos los estados miembros desde el pasado 25 de mayo, esta nueva Ley Orgánica nos ha dado luz en multitud de asuntos que quedaron en interrogante tras la publicación del Reglamento. Uno de ellos, a tenor del artículo de hoy, es aquel relacionado con el tratamiento de los datos de carácter personal de profesionales por cualquier entidad y su regulación actual.

En primer lugar, cabe aclarar que este concepto no es ni mucho menos nuevo y ya fue regulado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que excluyó de su ámbito de aplicación los referidos a personas jurídicas y empresarios individuales. Esta exclusión, patente en los artículos 2.2 y 2.3, tenía su limitación precisamente en que tan solo se tratase de datos de profesionales como su nombre, apellidos, cargo, email corporativo o teléfono de empresa.

El RGPD trajo dudas

 El RGPD no trajo claridad respecto a este tema pues no excluye de manera expresa el tratamiento de datos de empresarios individuales o contactos profesionales relativos a personas jurídicas. Esto provocó que se entendiese que los datos mencionados deben considerarse datos personales siempre que hagan alusión a una persona identificada o identificable.

Esta incertidumbre que ha durado algo más de dos años, ha sido finalmente solventada por la entrada en vigor de la nueva LOPD y GDD que hace mención especial al tema que nos incumbe en su artículo 19, Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales. El tratamiento de datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica estarán habilitados bajo la base jurídica del artículo 6f) del RGPD, es decir, el interés legítimo del Responsable del tratamiento, siempre y cuando se cumplan los siguientes requisitos:

• Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
• Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

Por lo tanto, el legislador español ha seguido con el criterio ya existente en la LOPD de 1999 y, afortunadamente para el tejido empresarial español, este tratamiento de datos tan habitual en el día a día queda amparado por un interés legítimo de la entidad.

El Equipo Govertis