El Ministeri de Treball de la República Francesa ha publicat els resultats de l’estudi anual de la professió de delegat de Protecció de Dades (DPD), realitzat amb el suport de la CNIL Commission nationale de l’informatique et des libertés (Comissió nacional d’informàtica i llibertats de França), que és l’autoritat de control en matèria de protecció de dades a França. L’estudi s’ha dut a terme mitjançant enquestes als mateixos DPDs entre els anys 2019-2021.

Destaca el resultat de la formació dels DPDs consultats que un terç dels mateixos responen que no ha fet cap formació en tecnologies de la informació, així com tampoc del Reglament General de Protecció de Dades (RGPD) des de l’any 2016, el que suposa més de 7 punts respecte a l’esmentat any. S’assenyala que la CNIL ho estudiarà particularment perquè els responsables i encarregats del tractament que hagin designat un DPD han de proporcionar-li els recursos necessaris per mantenir els coneixements especialitats conforme l’article 38.2 del RGPD. (more…)

El termini per a la transposició de la Directiva (UE) 2019/1937 del Parlament Europeu i del Consell de 23 d’octubre de 2019 referent a la protecció de les persones que informen sobre infraccions del Dret de la Unió, també coneguda com la Directiva “Whistleblower”, va finalitzar el passat 17 de desembre de 2021 sense que el nostre legislador l’hagués transposat. La Directiva preveu aquest termini de transposició per tal que les entitats privades i públiques de més de 250 treballadors disposin d’un canal de denúncies intern sobre infraccions del Dret de la Unió que garanteixi la confidencialitat del denunciant. De fet, la Comissió Europea ja ha enviat una carta d’emplaçament a diversos Estats Membres, entre els quals es troba el nostre. (more…)

El Jutjat de lo Social de Múrcia número 9 resol en la sentència 130/2021, de data 29 d’abril de 2021, sobre el control de l’empresari dels dispositius informàtics que posa a disposició del treballador per efectuar les seves funcions laborals.

Els empresaris del cas jutjat van acomiadar al treballador per les proves analitzades per un pèrit informàtic, concretament es va provar que el treballador havia estat transferint clients dels empresaris a altres empreses coincidents del mercat. (more…)

La CNIL, Commission nationale de l’informatique et des libertés (Comissió nacional d’informàtica i llibertats de França) ha publicat, en data 13 d’octubre de 2021, un article sobre les alternatives a les cookies “de tercers” i quines són les conseqüències del consentiment. En el mateix article la CNIL realitza la següent classificació d’alternatives a l’ús de cookies:

• Cookies “d’origen” i empremtes dactilars del navegador

De forma residual s’utilitza la tècnica denominada “fingerprinting” consistent en la identificació de l’usuari mitjançant les característiques tècniques del seu navegador. També s’utilitza residualment les cookies “d’origen” per retornar dades a través de crides URL en el domini de l’anunciant o a través de tècniques de delegació de subdominis (“encobriment CNAME”). (more…)

El teletreball està possibilitant la continuïtat de diferents negocis durant l’estat d’alarma, el manteniment de molts llocs de treballs i que determinats productes i serveis, dins de les restriccions de l’estat d’alarma i les seves fases, puguin seguir oferint-se als clients i consumidors. No obstant això, el teletreball no es troba exempt de riscos sinó més aviat tot el contrari, amb la implantació d’aquest ha canviat el perímetre de les dades personals, secrets empresarials i la resta d’informació intangible de valor per a la continuïtat de determinats negocis, donant lloc a noves situacions de riscs.

Actualment, les dades personals i informació intangible per realitzar el teletreball poden ser accessibles mitjançant diferents equips, recursos, aplicacions i programaris. Per exemple, és factible que una persona teletreballadora tracti dades personals, els quals l’ocupador és responsable o encarregat del tractament, des del seu Smart TV personal donant ordres per veu per dictar un document mitjançant l’ús d’una aplicació d’una companyia tercera, situada fins i tot fora de la Unió Europea i els territoris equiparables a la mateixa, i sense coneixement de l’ocupador dels riscos.

Davant els riscos del teletreball, en primer lloc, l’ocupador ha de disposar del perímetre de les dades personals i informació intangible a custodiar i vigilar. Per això, l’ocupador ha de realitzar el denominat mapa del perímetre consistent en la identificació dels equips, recursos, aplicacions, programaris necessaris per a la realització del teletreball. Haurà de conèixer l’ús de cada equip, recurs, aplicació o programari que es faci servir. El mapa del perímetre permetrà conèixer amb més detall els possibles riscos de cada equip, recurs, aplicació i programari que s’empri. No són els mateixos riscos utilitzar un ordinador professional facilitat per la companyia amb connexió remota segura i mesures de seguretat implementades que els riscos d’utilitzar un ordinador personal de la persona treballadora sense connexió remota, ni mesures de seguretat. Per això, resulta necessari que, primerament, l’ocupador conegui els equips, recursos, aplicacions i programaris que disposa per a la realització del teletreballador.

Un cop l’ocupador coneix els equips, recursos, aplicacions i programaris usats per a la realització del teletreball, podrà analitzar els riscos de cada un i definir les mesures de seguretat apropiades, entre les que pot donar-se la prohibició d’utilitzar els mateixos si no reuneixen els requisits de seguretat exigibles.

Les mesures de seguretat definides hauran explicar-se al personal teletreballador. Per això, és recomanable realitzar un esforç didàctic perquè cada persona teletreballadora comprengui les mesures de seguretat per al seu bon compliment. Hi ha una anècdota d’un nen que, durant unes colònies, pujava a jugar als gronxadors de metall prohibits prèviament pels riscos d’una caiguda o cop. La primera vegada que, quan el nen estava jugant al gronxador de metall, els monitors de les colònies li van cridar l’atenció i a l’infant li va estranyar perquè no havia entès la prohibició instruïda en llengua catalana ja que el nen no coneixia la paraula “gronxador”. Sense encara entendre el nen la prohibició de no jugar al gronxador de metall, va tornar a pujar a aquest, novament els monitors li van cridar l’atenció i, aquesta vegada, sí que es va resoldre el malentès i el nen no va pujar més al gronxador de metall. Aquesta anècdota pot servir per subratllar la importància que el personal teletreballador entengui les mesures de seguretat i la formació d’aquestes no es limiti a explicar-les únicament, sinó a assegurar que cada persona teletreballadora les ha entès.

Entre les mesures de seguretat cal incloure preceptivament la notificació per part de personal teletreballador de qualsevol incident de seguretat o sospita d’aquest. No únicament perquè constitueixi una obligació legal del Reglament General de Protecció de Dades (RGPD) la seva comunicació a l’Agència Espanyola de Protecció de Dades i als interessats quan concorrin els requisits, atenent que el RGPD segueix vigent a l’Estat d’alarma, sinó també perquè permetrà conèixer les incidències i intentar resoldre-les per evitar que, en el futur, tornin a ocórrer.

A partir de qualsevol incident de seguretat, es podrà analitzar novament els equips, recursos, aplicacions o programaris, redefinir les mesures de seguretat i explicar-les novament al personal teletreballador, convertint aquesta pràctica en una roda del teletreball en continu moviment.

El Reglament General de Protecció de Dades va proposar un canvi de paradigma basat en l’eix de dissenyar la privacitat enfocada a la gestió del risc amb aplicació del principi de responsabilitat proactiva. El nou paradigma parteix que el denominat “risc cero” no existeix i, per tant, hi ha riscos en els tractaments de dades que cal mitigar. Per això, es proposa amb l’article 25 del RGPD que el responsable del tractament, tant en el moment de determinar els mitjans de tractaments com en el moment del propi tractament, aplicarà mesures tècniques i organitzatives apropiades a fi de complir el RGPD i protegir els drets dels interessats. (more…)

L’Agència Espanyola de Protecció de Dades ha divulgat un document sobre les conseqüències administratives, disciplinàries, civils i penals de la difusió de continguts sensibles.

El document explica les conseqüències per a les empreses en l’àmbit de treball diferenciant les infraccions molt greus amb multes des de 6.251 fins a 187.515 euros i per les greus amb multes des de 626 a 6.250 euros.

Com infracció molt greu en l’àmbit laboral són els actes de l’empresari que són contraris al respecte de la intimitat i consideració deguda a la dignitat dels treballadors. Per exemple, cita el propi document, dos treballadors homes d’una empresa sotmesos a fustigació per part dels seus companys i companyes, incloent per qui ocupa càrrec de responsabilitat, per mantenir una relació sentimental sent difosa la relació a través de imatges i la direcció de l’empresa coneixent la situació no adopta mesures per impedir-ho.

(more…)

Des del 12 de maig de 2019 ja es troba en vigor el Real Decret Llei 8/2019, de 8 de març, de mesures urgents de protecció social i de lluita contra la precarietat laboral a la jornada de treball. La norma que ha modificat l’article 34 de l’Estatut dels Treballadors ha establert l’obligatorietat d’enregistrar l’inici i finalització de la jornada de treball.

L’enregistrament de les hores de treball es pot realitzar de diferents formes, ja siguin manuals, digitals o tecnològiques. Una de les formes que es proposen és el fitxatge mitjançant l’empremta dactilar del treballador.

L’empremta dactilar, com preveu l’article 4.14 del Reglament General de Protecció de Dades (RGPD), és una dada personal obtinguda a partir d’un tractament tècnic específic, referent a les característiques físiques, fisiològiques o conductuals d’una persona física que permeten o confirmen la identificació única de l’esmentada persona. L’empremta dactilar és una categoria especial de dada personal. En aquest sentit, el tractament d’aquesta dada personal requereix no només la concurrència d’una de les bases jurídiques establertes a l’article 6 del RGPD sinó que, a més, haurà de concórrer alguna de les excepcions establertes a l’article 9.2 del RGPD. Pel que respecta a l’article 6 del RGPD, les bases jurídiques són les previstes al punt 1 lletra c) consistent en el tractament necessari pel compliment d’una obligació legal aplicable al responsable del tractament, concretament l’obligació d’enregistrar la jornada de treball del treballador. Amb relació a les excepcions previstes a l’article 9.2 del RGPD, encaixa la circumstància establerta a la lletra b) de l’esmentat punt 2 de l’article del RGPD que estableix que el tractament és necessari pel compliment d’obligacions i l’exercici de drets específics del responsable del tractament o del interessat en l’àmbit del Dret Laboral, en la mesura en que així ho autoritza el Dret de la Unió o dels Estats Membres. En consonància, no cal el consentiment del treballador per a la utilització de l’empremta dactilar del mateix per la finalitat de control horari. No obstant, sí que aplica  l’obligatorietat de facilitar al treballador la informació prevista a l’article 13 del RGPD pel que respecta al tractament d’aquesta dada personal.

Per tal d’aplicar l’empremta dactilar com control horari cal preveure l’aplicació del principi de minimització de dades previst a l’article 5.1 lletra c) del RGPD. L’esmentat principi estableix que les dades han de ser adequades, pertinents i limitades al tractament necessari en relació als fins pels quals són tractades.

L’Agència Espanyola de Protecció de Dades ha assenyalat a les seves preguntes freqüents (FAQS), de forma prèvia a l’entrada en vigor del control horari i considerant la sentència de 4 de març de 2010 de l’Audiència Nacional, que el sistema que s’utilitzi no incorpori la dada de l’empremta dactilar, sinó únicament el relacionat amb un identificador numèric obtingut a partir de la mateixa que s’emmagatzema en les targetes de proximitat dels empleats. L’Agència, en consonància amb l’esmentada sentència, aclareix que el lector generarà l’identificador número de l’empremta que ha de correspondre amb el de la targeta, entenent-se que s’ha produït l’accés al lloc de treball com a  conseqüència de la coincidència entre l’identificador generat i el que consta a l’empremta.

A diferència de l’Agència Espanyola de Protecció de Dades, l’Autoritat Catalana de Protecció de Dades va resoldre, de forma prèvia a l’entrada en vigor del control horari, al dictamen CNS 63/2018 que l’ús de l’empremta dactilar pel control horari exigeix la realització d’una avaluació d’impacte referent a la protecció de dades per aplicació del principi de minimització. En aquest sentit, a l’esmentat dictamen l’Autoritat va assenyalar que la protecció de dades des del disseny establerta a l’article 25.1 del RGPD i el principi de minimització (article 5.1 lletra c) del RGPD) obliguen a escollir la tecnologia que resulti menys intrusiva. En aquest sentit, el principi de minimització de dades comporta que si es pot aconseguir la finalitat sense tractar dades de categories especials, ha de prevaldre aquesta opció front la que utilitza la dada de categoria especial.

Es fa notar que la Commission Nationale de l’informatique et des libertés (CNIL), autoritat de control de protecció de dades francesa, i Garante per la protezione dei dati personali, l’autoritat de control italiana, no han admès la utilització de les dades biomètriques com a sistema generalitzat de control horari dels treballadors per part de l’empresari.

Si l’empresa o entitat es troba dins l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades, per aplicació de l’article 3 de la Llei 32/2010, de l’1 d’octubre, haurà de realitzar l’avaluació d’impacte per utilitzar l’empremta dactilar del treballador pel control horari per tal d’avaluar tant la legitimitat del tractament i la seva proporcionalitat, com la determinació dels riscos existents i les mesures per mitigar-los.

El passat 13 de març va entrar en vigor la Llei 1/2019, de 20 de febrer, de Secrets Empresarials (“LSE”) que transposa la Directiva (UE) 2016/943 del Parlament Europeu i del Consell, de 8 de juny de 2016, relativa a la protecció dels coneixements tècnics i la informació empresarial no divulgats (secrets comercials) contra la seva obtenció, utilització i revelació il·lícites.

La LSE defineix per secret qualsevol informació o coneixement amb valor empresarial, incloent el tecnològic, científic, industrial, comercial, organitzatiu o financer, que no sigui generalment conegut per les persones pertanyents als cercles en els que normalment s’utilitzi aquest tipus d’informació, ni fàcilment accessibles per aquestes persones i que el seu titular hagi realitzat mesures raonables per tal de mantenir-ho en secret. (more…)

El Departament de Salut de la Generalitat i l’Ajuntament de Barcelona varen realitzar una prova pilot entre els mesos d’octubre de 2017 i abril de 2018 per tal de poder intercanviar dades socials i sanitàries a fi de millorar l’atenció integrada dels usuaris. Per exemple, una persona gran que requereix dels serveis d’atenció social i per això necessita d’un informe mèdic, no caldrà que vagi al seu Centre d’Atenció Primària (CAP) per buscar l’informe mèdic, sinó que, amb el seu previ consentiment informat, el professional de Serveis Socials pot accedir en temps real a l’informe mèdic. (more…)