El teletreball: una roda de continu moviment

El teletreball està possibilitant la continuïtat de diferents negocis durant l’estat d’alarma, el manteniment de molts llocs de treballs i que determinats productes i serveis, dins de les restriccions de l’estat d’alarma i les seves fases, puguin seguir oferint-se als clients i consumidors. No obstant això, el teletreball no es troba exempt de riscos sinó més aviat tot el contrari, amb la implantació d’aquest ha canviat el perímetre de les dades personals, secrets empresarials i la resta d’informació intangible de valor per a la continuïtat de determinats negocis, donant lloc a noves situacions de riscs.

Actualment, les dades personals i informació intangible per realitzar el teletreball poden ser accessibles mitjançant diferents equips, recursos, aplicacions i programaris. Per exemple, és factible que una persona teletreballadora tracti dades personals, els quals l’ocupador és responsable o encarregat del tractament, des del seu Smart TV personal donant ordres per veu per dictar un document mitjançant l’ús d’una aplicació d’una companyia tercera, situada fins i tot fora de la Unió Europea i els territoris equiparables a la mateixa, i sense coneixement de l’ocupador dels riscos.

Davant els riscos del teletreball, en primer lloc, l’ocupador ha de disposar del perímetre de les dades personals i informació intangible a custodiar i vigilar. Per això, l’ocupador ha de realitzar el denominat mapa del perímetre consistent en la identificació dels equips, recursos, aplicacions, programaris necessaris per a la realització del teletreball. Haurà de conèixer l’ús de cada equip, recurs, aplicació o programari que es faci servir. El mapa del perímetre permetrà conèixer amb més detall els possibles riscos de cada equip, recurs, aplicació i programari que s’empri. No són els mateixos riscos utilitzar un ordinador professional facilitat per la companyia amb connexió remota segura i mesures de seguretat implementades que els riscos d’utilitzar un ordinador personal de la persona treballadora sense connexió remota, ni mesures de seguretat. Per això, resulta necessari que, primerament, l’ocupador conegui els equips, recursos, aplicacions i programaris que disposa per a la realització del teletreballador.

Un cop l’ocupador coneix els equips, recursos, aplicacions i programaris usats per a la realització del teletreball, podrà analitzar els riscos de cada un i definir les mesures de seguretat apropiades, entre les que pot donar-se la prohibició d’utilitzar els mateixos si no reuneixen els requisits de seguretat exigibles.

Les mesures de seguretat definides hauran explicar-se al personal teletreballador. Per això, és recomanable realitzar un esforç didàctic perquè cada persona teletreballadora comprengui les mesures de seguretat per al seu bon compliment. Hi ha una anècdota d’un nen que, durant unes colònies, pujava a jugar als gronxadors de metall prohibits prèviament pels riscos d’una caiguda o cop. La primera vegada que, quan el nen estava jugant al gronxador de metall, els monitors de les colònies li van cridar l’atenció i a l’infant li va estranyar perquè no havia entès la prohibició instruïda en llengua catalana ja que el nen no coneixia la paraula “gronxador”. Sense encara entendre el nen la prohibició de no jugar al gronxador de metall, va tornar a pujar a aquest, novament els monitors li van cridar l’atenció i, aquesta vegada, sí que es va resoldre el malentès i el nen no va pujar més al gronxador de metall. Aquesta anècdota pot servir per subratllar la importància que el personal teletreballador entengui les mesures de seguretat i la formació d’aquestes no es limiti a explicar-les únicament, sinó a assegurar que cada persona teletreballadora les ha entès.

Entre les mesures de seguretat cal incloure preceptivament la notificació per part de personal teletreballador de qualsevol incident de seguretat o sospita d’aquest. No únicament perquè constitueixi una obligació legal del Reglament General de Protecció de Dades (RGPD) la seva comunicació a l’Agència Espanyola de Protecció de Dades i als interessats quan concorrin els requisits, atenent que el RGPD segueix vigent a l’Estat d’alarma, sinó també perquè permetrà conèixer les incidències i intentar resoldre-les per evitar que, en el futur, tornin a ocórrer.

A partir de qualsevol incident de seguretat, es podrà analitzar novament els equips, recursos, aplicacions o programaris, redefinir les mesures de seguretat i explicar-les novament al personal teletreballador, convertint aquesta pràctica en una roda del teletreball en continu moviment.

Facebooktwittergoogle_pluslinkedinmail

La Privacitat des del Disseny

El Reglament General de Protecció de Dades va proposar un canvi de paradigma basat en l’eix de dissenyar la privacitat enfocada a la gestió del risc amb aplicació del principi de responsabilitat proactiva. El nou paradigma parteix que el denominat “risc cero” no existeix i, per tant, hi ha riscos en els tractaments de dades que cal mitigar. Per això, es proposa amb l’article 25 del RGPD que el responsable del tractament, tant en el moment de determinar els mitjans de tractaments com en el moment del propi tractament, aplicarà mesures tècniques i organitzatives apropiades a fi de complir el RGPD i protegir els drets dels interessats. (more…)

Facebooktwittergoogle_pluslinkedinmail

Conseqüències legals de la difusió de continguts sensibles

L’Agència Espanyola de Protecció de Dades ha divulgat un document sobre les conseqüències administratives, disciplinàries, civils i penals de la difusió de continguts sensibles.

El document explica les conseqüències per a les empreses en l’àmbit de treball diferenciant les infraccions molt greus amb multes des de 6.251 fins a 187.515 euros i per les greus amb multes des de 626 a 6.250 euros.

Com infracció molt greu en l’àmbit laboral són els actes de l’empresari que són contraris al respecte de la intimitat i consideració deguda a la dignitat dels treballadors. Per exemple, cita el propi document, dos treballadors homes d’una empresa sotmesos a fustigació per part dels seus companys i companyes, incloent per qui ocupa càrrec de responsabilitat, per mantenir una relació sentimental sent difosa la relació a través de imatges i la direcció de l’empresa coneixent la situació no adopta mesures per impedir-ho.

(more…)

Facebooktwittergoogle_pluslinkedinmail

Impacte de la protecció de dades en el control horari del treballador amb l’empremta dactilar

Des del 12 de maig de 2019 ja es troba en vigor el Real Decret Llei 8/2019, de 8 de març, de mesures urgents de protecció social i de lluita contra la precarietat laboral a la jornada de treball. La norma que ha modificat l’article 34 de l’Estatut dels Treballadors ha establert l’obligatorietat d’enregistrar l’inici i finalització de la jornada de treball.

L’enregistrament de les hores de treball es pot realitzar de diferents formes, ja siguin manuals, digitals o tecnològiques. Una de les formes que es proposen és el fitxatge mitjançant l’empremta dactilar del treballador.

L’empremta dactilar, com preveu l’article 4.14 del Reglament General de Protecció de Dades (RGPD), és una dada personal obtinguda a partir d’un tractament tècnic específic, referent a les característiques físiques, fisiològiques o conductuals d’una persona física que permeten o confirmen la identificació única de l’esmentada persona. L’empremta dactilar és una categoria especial de dada personal. En aquest sentit, el tractament d’aquesta dada personal requereix no només la concurrència d’una de les bases jurídiques establertes a l’article 6 del RGPD sinó que, a més, haurà de concórrer alguna de les excepcions establertes a l’article 9.2 del RGPD. Pel que respecta a l’article 6 del RGPD, les bases jurídiques són les previstes al punt 1 lletra c) consistent en el tractament necessari pel compliment d’una obligació legal aplicable al responsable del tractament, concretament l’obligació d’enregistrar la jornada de treball del treballador. Amb relació a les excepcions previstes a l’article 9.2 del RGPD, encaixa la circumstància establerta a la lletra b) de l’esmentat punt 2 de l’article del RGPD que estableix que el tractament és necessari pel compliment d’obligacions i l’exercici de drets específics del responsable del tractament o del interessat en l’àmbit del Dret Laboral, en la mesura en que així ho autoritza el Dret de la Unió o dels Estats Membres. En consonància, no cal el consentiment del treballador per a la utilització de l’empremta dactilar del mateix per la finalitat de control horari. No obstant, sí que aplica  l’obligatorietat de facilitar al treballador la informació prevista a l’article 13 del RGPD pel que respecta al tractament d’aquesta dada personal.

Per tal d’aplicar l’empremta dactilar com control horari cal preveure l’aplicació del principi de minimització de dades previst a l’article 5.1 lletra c) del RGPD. L’esmentat principi estableix que les dades han de ser adequades, pertinents i limitades al tractament necessari en relació als fins pels quals són tractades.

L’Agència Espanyola de Protecció de Dades ha assenyalat a les seves preguntes freqüents (FAQS), de forma prèvia a l’entrada en vigor del control horari i considerant la sentència de 4 de març de 2010 de l’Audiència Nacional, que el sistema que s’utilitzi no incorpori la dada de l’empremta dactilar, sinó únicament el relacionat amb un identificador numèric obtingut a partir de la mateixa que s’emmagatzema en les targetes de proximitat dels empleats. L’Agència, en consonància amb l’esmentada sentència, aclareix que el lector generarà l’identificador número de l’empremta que ha de correspondre amb el de la targeta, entenent-se que s’ha produït l’accés al lloc de treball com a  conseqüència de la coincidència entre l’identificador generat i el que consta a l’empremta.

A diferència de l’Agència Espanyola de Protecció de Dades, l’Autoritat Catalana de Protecció de Dades va resoldre, de forma prèvia a l’entrada en vigor del control horari, al dictamen CNS 63/2018 que l’ús de l’empremta dactilar pel control horari exigeix la realització d’una avaluació d’impacte referent a la protecció de dades per aplicació del principi de minimització. En aquest sentit, a l’esmentat dictamen l’Autoritat va assenyalar que la protecció de dades des del disseny establerta a l’article 25.1 del RGPD i el principi de minimització (article 5.1 lletra c) del RGPD) obliguen a escollir la tecnologia que resulti menys intrusiva. En aquest sentit, el principi de minimització de dades comporta que si es pot aconseguir la finalitat sense tractar dades de categories especials, ha de prevaldre aquesta opció front la que utilitza la dada de categoria especial.

Es fa notar que la Commission Nationale de l’informatique et des libertés (CNIL), autoritat de control de protecció de dades francesa, i Garante per la protezione dei dati personali, l’autoritat de control italiana, no han admès la utilització de les dades biomètriques com a sistema generalitzat de control horari dels treballadors per part de l’empresari.

Si l’empresa o entitat es troba dins l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades, per aplicació de l’article 3 de la Llei 32/2010, de l’1 d’octubre, haurà de realitzar l’avaluació d’impacte per utilitzar l’empremta dactilar del treballador pel control horari per tal d’avaluar tant la legitimitat del tractament i la seva proporcionalitat, com la determinació dels riscos existents i les mesures per mitigar-los.

Facebooktwittergoogle_pluslinkedinmail

Principals novetats de la Llei de Secrets Empresarials

El passat 13 de març va entrar en vigor la Llei 1/2019, de 20 de febrer, de Secrets Empresarials (“LSE”) que transposa la Directiva (UE) 2016/943 del Parlament Europeu i del Consell, de 8 de juny de 2016, relativa a la protecció dels coneixements tècnics i la informació empresarial no divulgats (secrets comercials) contra la seva obtenció, utilització i revelació il·lícites.

La LSE defineix per secret qualsevol informació o coneixement amb valor empresarial, incloent el tecnològic, científic, industrial, comercial, organitzatiu o financer, que no sigui generalment conegut per les persones pertanyents als cercles en els que normalment s’utilitzi aquest tipus d’informació, ni fàcilment accessibles per aquestes persones i que el seu titular hagi realitzat mesures raonables per tal de mantenir-ho en secret. (more…)

Facebooktwittergoogle_pluslinkedinmail

Barcelona, destí d’una atenció integrada social i sanitària

El Departament de Salut de la Generalitat i l’Ajuntament de Barcelona varen realitzar una prova pilot entre els mesos d’octubre de 2017 i abril de 2018 per tal de poder intercanviar dades socials i sanitàries a fi de millorar l’atenció integrada dels usuaris. Per exemple, una persona gran que requereix dels serveis d’atenció social i per això necessita d’un informe mèdic, no caldrà que vagi al seu Centre d’Atenció Primària (CAP) per buscar l’informe mèdic, sinó que, amb el seu previ consentiment informat, el professional de Serveis Socials pot accedir en temps real a l’informe mèdic. (more…)

Facebooktwittergoogle_pluslinkedinmail

Nou any, nou domini públic i nous codis electrònics

Amb l’entrada del nou any 2019 comença un nou període en el qual determinades obres que estaven subjectes a la protecció dels drets d’explotació d’autor passen a formar part del domini públic, el que significa que qualsevol podrà fer ús d’aquestes obres sempre i quan es respecti la paternitat i integritat de les mateixes. 

La normativa sobre Propietat Intel·lectual atorga al creador d’una obra els drets d’explotació d’aquesta obra durant la vida de l’autor i, per norma general, durant 70 anys després de la vida de l’autor a favor dels seus hereus. Durant aquest temps, l’autor i, en el seu cas, els hereus gaudeixen dels drets d’explotació de l’obra. El termini dels 70 anys comença a computar el dia 1 de gener de l’any següent a la mort de l’autor o la seva declaració de mort. Per tant, cada 1 de gener hi ha obres que poden començar el seu període de domini públic per a tothom.   (more…)

Facebooktwittergoogle_pluslinkedinmail

La CNIL publica la llista de tractaments de Dades Personals per als quals es requereix l’anàlisi d’una avaluació d’impacte

L’article 35.1 del Reglament General de Protecció de Dades estableix l’obligatorietat pel responsable del tractament de realitzar una avaluació d’impacte quan sigui probable que el tipus de tractament de dades personals comporti un alt risc pels drets i llibertats de les persones físiques, ja sigui per la utilització de noves tecnologies, per la naturalesa, abast, context o fins del tractament. L’apartat 4 del mateix article preveu que l’autoritat de control establirà i publicarà una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte referent a la protecció de dades. Les  autoritats de control que operen en el nostre territori, Agencia Española de Protección de Datos i Autoritat Catalana de Protecció de Dades, a la data del present article, no han publicat cap llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte. (more…)

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies