Estudio de la situación de los delegados de Protección de Datos en Francia

El Ministerio de Trabajo de la República Francesa ha publicado los resultados del estudio anual de la profesión de delegado de Protección de Datos (DPD), realizado con el apoyo de la CNIL Commission nationale del informatique et des libertés (Comisión nacional de informática y libertades de Francia), que es la autoridad de control en materia de protección de datos en Francia. El estudio se ha realizado mediante encuestas a los mismos DPDs entre los años 2019-2021.

Destaca el resultado de la formación de los DPDs consultados que un tercio de los mismos responden que no ha realizado ninguna formación en tecnologías de la información, así como tampoco del Reglamento General de Protección de Datos (RGPD) desde el año 2016, lo que supone más de 7 puntos respecto al citado año. Se señala que la CNIL lo estudiará particularmente porque los responsables y encargados del tratamiento que hayan designado un DPD deben proporcionarle los recursos necesarios para mantener los conocimientos especialidades conforme al artículo 38.2 del RGPD. (más…)

Facebooktwittergoogle_pluslinkedinmail

El canal de denuncia interno

El plazo para la transposición de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 en lo referente a la protección de las personas que informan sobre infracciones del Derecho de la Unión, también conocida como la Directiva “Whistleblower”, finalizó el pasado 17 de diciembre de 2021 sin que nuestro legislador le hubiera transpuesto. La Directiva prevé este plazo de transposición a fin de que las entidades privadas y públicas de más de 250 trabajadores dispongan de un canal de denuncias interno sobre infracciones del Derecho de la Unión que garantice la confidencialidad del denunciante. De hecho, la Comisión Europea ya ha enviado una carta de emplazamiento a varios Estados Miembros, entre los que se encuentra el nuestro. (más…)

Facebooktwittergoogle_pluslinkedinmail

Aspectos jurídicos del control empresarial de los dispositivos informáticos del trabajador

El Juzgado de lo Social de Murcia número 9 resuelve en la sentencia 130/2021, de fecha 29 de abril de 2021, sobre el control del empresario de los dispositivos informáticos que pone a disposición del trabajador para efectuar sus funciones laborales.

Los empresarios del caso juzgado despidieron al trabajador por las pruebas analizadas por un perito informático, concretamente se probó que el trabajador había estado transfiriendo clientes de los empresarios a otras empresas coincidentes del mercado. (más…)

Facebooktwittergoogle_pluslinkedinmail

Alternativas a las cookies de terceros que orienta la CNIL

La CNIL, Commission nationale de l’informatique et des libertés (Comisión nacional de informática y libertades de Francia) ha publicado, en fecha 13 de octubre de 2021, un artículo sobre las alternativas a las cookies de “terceros” y cuáles son las consecuencias del consentimiento. En el mismo artículo la CNIL realiza la siguiente clasificación de alternativas al uso de cookies:

  • Cookies “de origen” i huellas dactilares del navegador

De forma residual se utiliza la técnica denominada “fingerprinting” consistente en la identificación del usuario mediante las características técnicas de su navegador. También se utiliza residualmente las cookies “de origen” para devolver datos a través de llamadas URL en el dominio del anunciante o a través de técnicas de delegación de subdominios (“encubrimiento CNAME”). (más…)

Facebooktwittergoogle_pluslinkedinmail

El teletrabajo: una rueda en continuo movimiento

El teletrabajo está posibilitando la continuidad de diferentes negocios durante el estado de alarma, el mantenimiento de muchos puestos de trabajos y que determinados productos y servicios, dentro de las restricciones del estado de alarma y sus fases, puedan seguir ofreciendo -se los clientes y consumidores. Sin embargo, el teletrabajo no se encuentra exento de riesgos sino más bien todo lo contrario, con la implantación de este ha cambiado el perímetro de los datos personales, secretos empresariales y el resto de información intangible de valor para la continuidad de determinados negocios, dando lugar a nuevas situaciones de riesgos.

Actualmente, los datos personales e información intangible para realizar el teletrabajo pueden ser accedidos mediante distintos equipos, recursos, aplicaciones y softwares. Por ejemplo, es factible que una persona teletrabajadora trate datos personales, los cuales el empleador es responsable o encargado del tratamiento, desde su SmartTv personal dando órdenes por voz para dictar un documento mediante el uso de una aplicación de una compañía tercera, situada incluso fuera de la Unión Europea y los territorios equiparables a la misma, y sin conocimiento del ocupador de los riesgos.

Ante los riesgos del teletrabajo, en primer lugar, el empleador debe disponer del perímetro de los datos personales e información intangible a custodiar y vigilar. Para ello, el empleador debe realizar el denominado mapa del perímetro consistente en la identificación de los equipos, recursos, aplicaciones, softwares necesarios para la realización del teletrabajo. Deberá conocer el uso de cada equipo, recurso, aplicación o software que se use. El mapa del perímetro permitirá conocer con mayor detalle los posibles riesgos de cada equipo, recurso, aplicación y software que se emplee. No son los mismos riesgos usar un ordenador profesional facilitado por la compañía con conexión remota segura y medidas de seguridad implementadas que los riesgos de utilizar un ordenador personal de la persona trabajadora sin conexión remota, ni medidas de seguridad. Por ello, resulta necesario que, primeramente, el empleador conozca los equipos, recursos, aplicaciones y softwares que dispone para la realización del teletrabajador.

Una vez el empleador conoce los equipos, recursos, aplicaciones y softwares usados para la realización del teletrabajo, podrá analizar los riesgos de cada uno y definir las medidas de seguridad apropiadas, entre las puede darse la prohibición de utilizar los mismos si no reúnen los requisitos de seguridad exigibles.

Las medidas de seguridad definidas deberán explicarse al personal teletrabajador. Para ello, es recomendable realizar un esfuerzo didáctico para que cada persona teletrabajadora comprenda las medidas de seguridad para su buen cumplimiento. Hay una anécdota de un niño que, durante unas colonias, subía a jugar a los columpios de metal prohibidos previamente por los riesgos de una caída o golpe. La primera vez que, cuando el niño estaba jugando en el columpio de metal, los monitores de las colonias le llamaron la atención y al niño le extrañó porque no había entendido la prohibición instruida en lengua catalana dado que el niño no conocía la palabra “gronxador” del catalán que, en castellano, es columpio. Sin todavía entender el niño la prohibición de no jugar en el columpio de metal volvió a subirse al mismo, nuevamente los monitores le llamaron la atención y, esta vez, sí se resolvió el malentendido y el niño no subió más al columpio de metal. Esta anécdota puede ser de utilidad para subrayar la importancia que el personal teletrabajador entienda las medidas de seguridad y la formación de estas no se limite a explicarlas únicamente, sino a asegurarse que cada persona teletrabajadora las ha entendido.

Entre las medidas de seguridad debe incluirse preceptivamente la notificación por parte del personal teletrabajador de cualquier incidente de seguridad o sospecha de éste. No únicamente porque constituya una obligación legal del Reglamento General de Protección de Datos (RGPD) su comunicación a la Agencia Española de Protección de Datos y a los interesados cuando concurran los requisitos, atendiendo que el RGPD sigue vigente en el Estado de alarma, sino también porque permitirá conocer las incidencias e intentar resolverlas para evitar que, en el futuro, vuelvan a ocurrir.

A partir de cualquier incidente de seguridad, cabrá analizar nuevamente los equipos, recursos, aplicaciones o softwares, redefinir las medidas de seguridad y explicarlas nuevamente al personal teletrabajador, convirtiendo esta práctica en una rueda del teletrabajo en continuo movimiento.

 

Facebooktwittergoogle_pluslinkedinmail

La Privacidad desde el Diseño

El Reglamento General de Protección de Datos propuso un cambio de paradigma basado en el eje de diseñar la privacidad enfocada a la gestión del riesgo con aplicación del principio de responsabilidad proactiva. El nuevo paradigma parte de que el denominado «riesgo cero» no existe y, por tanto, hay riesgos en los tratamientos de datos que se necesita mitigar. Por ello, se propone con el artículo 25 del RGPD que el responsable del tratamiento, tanto en el momento de determinar los medios de tratamientos como durante el propio tratamiento, aplicará medidas técnicas y organizativas apropiadas a fin de cumplir el RGPD y proteger los derechos de los interesados.

(más…)

Facebooktwittergoogle_pluslinkedinmail

Consecuencias legales de la difusión de contenidos sensibles

La Agencia Española de Protección de Datos ha divulgado un documento sobre las consecuencias administrativas, disciplinarias, civiles y penales de la difusión de contenidos sensibles.

El documento explica las consecuencias para las empresas en el ámbito de trabajo diferenciando las infracciones muy graves con multas desde 6.251 hasta 187.515 euros y por las graves con multas desde 626 a 6.250 euros.

Como infracción muy grave en el ámbito laboral son los actos del empresario que son contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores. Por ejemplo, cita el propio documento, dos trabajadores hombres de una empresa sometidos a hostigamiento por parte de sus compañeros, incluyendo por quien ocupa cargo de responsabilidad, para mantener una relación sentimental siendo difundida la relación a través de imágenes y la dirección de la empresa conociendo la situación no adopta medidas para impedirlo.

(más…)

Facebooktwittergoogle_pluslinkedinmail

Impacto de la protección de datos en el control horario del trabajador con la huella dactilar

Desde el 12 de mayo de 2019 ya se encuentra en vigor el Real Decreto Ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. La norma que ha modificado el artículo 34 del Estatuto de los Trabajadores ha establecido la obligatoriedad de registrar el inicio y finalización de la jornada de trabajo.

La grabación de las horas de trabajo se puede realizar de diferentes formas, ya sean manuales, digitales o tecnológicas.
Una de las formas que se proponen es el fichaje mediante la huella dactilar del trabajador.

La huella dactilar, como prevé el artículo 04.14 del Reglamento General de Protección de Datos (RGPD), es un dato personal obtenida a partir de un tratamiento técnico específico, referente a las características físicas, fisiológicas o conductuales de una persona física que permiten o confirman la identificación única de dicha persona. La huella dactilar es una categoría especial de dato personal. En este sentido, el tratamiento de este dato personal requiere no sólo la concurrencia de una de las bases jurídicas establecidas en el artículo 6 del RGPD sino que, además, deberá concurrir alguna de las excepciones establecidas en el artículo 9.2 del RGPD. Por lo que respecta al artículo 6 del RGPD, las bases jurídicas son las previstas en el punto 1 letra c) consistente en el tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, concretamente la obligación de registrar la jornada de trabajo del trabajador. Con relación a las excepciones previstas en el artículo 9.2 del RGPD, encaja la circunstancia establecida en la letra b) de dicho punto 2 del artículo del RGPD que establece que el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho Laboral, en la medida en que así lo autoriza el Derecho de la Unión o de los Estados Miembros. En consonancia, no es necesario el consentimiento del trabajador para la utilización de la huella dactilar del mismo para la finalidad de control horario. Sin embargo, sí que aplica la obligatoriedad de facilitarle la información prevista en el artículo 13 del RGPD por lo que respecta al tratamiento de este dato personal.

Para aplicar la huella dactilar como control horario hay que prever la aplicación del principio de minimización de datos previsto en el artículo 5.1 letra c) del RGPD. Dicho principio establece que los datos deben ser adecuados, pertinentes y limitadas al tratamiento necesario en relación a los fines para los que son tratadas.

La Agencia Española de Protección de Datos ha señalado a sus preguntas frecuentes (FAQS), de forma previa a la entrada en vigor del control horario y considerando la sentencia de 4 de marzo de 2010 de la Audiencia Nacional, que el sistema que se utilice no incorpore el dato de la huella dactilar, sino únicamente el relacionado con un identificador numérico obtenido a partir de la misma que se almacena en las tarjetas de proximidad de los empleados. La Agencia, en consonancia con dicha sentencia, aclara que el lector generará el identificador número de la huella que ha de corresponder con el de la tarjeta, entendiéndose que se ha producido el acceso al puesto de trabajo como consecuencia de la coincidencia entre el identificador generado y el que consta en la huella.

A diferencia de la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos resolvió, de forma previa a la entrada en vigor del control horario, el dictamen CNS 63/2018 que el uso de la huella dactilar para el control horario exige la realización de una evaluación de impacto referente a la protección de datos por aplicación del principio de minimización. En este sentido, a dicho dictamen la Autoridad señaló que la protección de datos desde el diseño establecida en el artículo 25.1 del RGPD y el principio de minimización (artículo 5.1 letra c) del RGPD) obligan a escoger la tecnología que resulte menos intrusiva. En este sentido, el principio de minimización de datos conlleva que si se puede conseguir el fin sin tratar datos de categorías especiales, debe prevalecer esta opción frente la que utiliza el dato de categoría especial.

Se hace notar que la Commission Nationale de la informatique et des Libertés (CNIL), autoridad de control de protección de datos francesa, y Garante para la protezione dei date per, la autoridad de control italiana, no han admitido la utilización de las datos biométricos como sistema generalizado de control horario de los trabajadores por parte del empresario.

Si la empresa o entidad se encuentra dentro del ámbito de actuación de la Autoridad Catalana de Protección de Datos, por aplicación del artículo 3 de la Ley32/2010, de 1 de octubre, deberá realizar la evaluación de impacto para utilizar la huella dactilar del trabajador por el control horario para evaluar tanto la legitimidad del tratamiento y su proporcionalidad, como la determinación de los riesgos existentes y las medidas para mitigarlos.

 

Facebooktwittergoogle_pluslinkedinmail

Principales novedades de la Ley de Secretos Empresariales

El pasado 13 de marzo entró en vigor la Ley 1/2019, de 20 de febrero, de Secretos Empresariales ( «LSE») que transpone la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas.

La LSE define por secreto cualquier información o conocimiento con valor empresarial, incluyendo el tecnológico, científico, industrial, comercial, organizativo o financiero, que no sea generalmente conocido por las personas pertenecientes a los círculos en los que normalmente se utilice este tipo de información, ni fácilmente accesibles para estas personas y que su titular haya realizado medidas razonables para mantener en secreto. (más…)

Facebooktwittergoogle_pluslinkedinmail

Barcelona, destino de una atención integrada social y sanitaria

El Departamento de Salud de la Generalitat y el Ayuntamiento de Barcelona realizaron una prueba piloto entre los meses de octubre de 2017 y abril de 2018 con el fin de poder intercambiar datos sociales y sanitarios a fin de mejorar la atención integrada de los usuarios. Por ejemplo, una persona mayor que requiere de los servicios de atención social, y que por ello necesita de un informe médico, no será necesario que vaya a su Centro de Atención Primaria (CAP) para buscar el informe médico, sino que, con el su previo consentimiento informado, el profesional de Servicios Sociales puede acceder en tiempo real al informe médico.

(más…)

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies