protecciódedades

Igualdad y no discriminación LGTBI en las empresas

Desde el pasado 2 de marzo de 2024, las empresas con más de 50 trabajadores deben disponer de un protocolo de actuación para abordar situaciones de acoso o violencia dirigidas a personas LGTBI, así como ajustar los Planes de Igualdad en consecuencia.

La Ley 4/2023, de 28 de febrero, para la igualdad real y efectiva de las personas trans y para la garantía de los derechos de las personas LGTBI introdujo disposiciones específicas destinadas a fomentar la igualdad y prever la discriminación contra el lectivo LGTBI en el ámbito laboral, con el objetivo de erradicar las situaciones de discriminación, para asegurar que en España se pueda vivir la orientación sexual, identidad sexual, expresión de género, las características sexuales y la diversidad familiar con plena libertad . (más…)

Facebooktwittergoogle_pluslinkedinmail

Nuevo reglamento europeo sobre inteligencia artificial (IA)

Tras duras negociaciones, el Parlamento europeo ha aprobado finalmente este pasado día 13 de marzo con abrumadora mayoría un Reglamento europeo sobre inteligencia artificial (IA), el cual pretende ser un marco de regulación referente con vocación internacional. Pendiente aún de varios trámites, se prevé que entre en aplicación a los dos años a partir de su próxima publicación.

Entre otras cuestiones, el Reglamento prohíbe y regula una serie de conductas que podrían llevarse a cabo mediante una IA, contempla un régimen sancionador específico y contiene también la previsión de la creación de una agencia de supervisión en cada uno de los Estados miembros. Sin embargo, en el caso del Estado español ya se ha creado la Agencia Española de Supervisión de la IA.

A partir de la entrada en aplicación de este Reglamento, muchos dispositivos de vigilancia biométrica sólo podrán utilizarse de forma temporal y en casos específicos bajo autorización judicial y supervisión de la autoridad de protección de datos.

Algunas de las conductas que el nuevo Reglamento prohíbe de forma general y que podría llevar a cabo una IA son las siguientes:

  • Categorización biométrica de personas.
  • Captura indiscriminada de imágenes faciales de internet.
  • Grabación con cámaras de videovigilancia que permita crear bases de datos de reconocimiento facial.
  • Reconocimiento de emociones en el puesto de trabajo o en las escuelas.
  • Establecer sistemas de puntuación ciudadana.
  • Actuación policial prospectiva.
  • IA que manipule el comportamiento humano o explote vulnerabilidades de personas.

Todas estas conductas que se plantean prohibir no son evidentemente supuestos de ciencia ficción en una sociedad futura y distópica, sino que son posibilidades reales que la tecnología de la IA ya permite actualmente. En cualquier caso, tal y como comentábamos anteriormente, todavía tendremos que esperar al menos dos años a que el Reglamento entre en aplicación. Como siempre la tecnología corre más que el legislador, y en dos años todavía pueden ocurrir muchas cosas; en cualquier caso, el Reglamento sobre la IA es una buena noticia de alcance internacional.

Facebooktwittergoogle_pluslinkedinmail

Acción europea coordinada sobre la designación y la posición de delegados/das de protección de datos

En la sesión plenaria de 16 de enero el Comité Europeo de Protección de Datos (CEPD) adoptó el informe con las conclusiones de la segunda acción coordinada a nivel europeo centrada en la designación y la posición de delegados y delegadas de protección de datos (DPO).

Este informe es fruto del trabajo efectuado durante el 2023 por las 25 autoridades de control de protección de datos del Espacio Económico Europeo, incluyendo el Supervisor Europeo de Protección de Datos (SEPD). En este informe se ilustra cuáles son hoy en día los principales obstáculos de la figura del DPO, y también se citan algunas recomendaciones para reforzar su estatus. El informe ha sido publicado juntamente con los 2 apéndices: uno estadístico, y el otro, con el análisis y observaciones hechas a nivel nacional por parte de cada autoridad participante.

Los puntos de atención que se destacan en el informe son:

  • Ausencia de designación de DPO, incluso en aquellos casos en los cuales es obligatorio.
  • Insuficiencia de recursos del DPO.
  • Falta de conocimientos y experiencia del DPO.
  • No tener confiadas en el DPO total o explícitamente las funciones definidas en el RGPD.
  • Situaciones de conflicto de interés o de falta de independencia del DPO.
  • Ausencia de reporting del DPO al más alto nivel de la entidad.
  • Solicitud de orientación adicional por parte de las autoridades de control para tener mayor seguridad y eficiencia en sus actuaciones.

A pesar de que se han encontrado grandes coincidencias en aspectos generales, son de gran interés las apreciaciones particulares que describen las autoridades de control en cada país. Destacamos las 3 siguientes a modo de ejemplo:

  • La Agencia Española de Protección de Datos alerta sobre la externalización de DPO. En concreto, se informa que en muchos casos esa práctica puede mostrar debilidad desde el punto de vista de que sea un mismo DPO el que pueda desarrollar plenamente su actuación en varias organizaciones. Asimismo, ello puede también incrementar el riesgo de que la figura del DPO sea considerada una mera formalidad en vez de que el DPO tenga una implicación real y proactiva en los tratamientos de datos efectuados por las organizaciones.
  • La autoridad francesa advierte que a menudo los DPOs no tienen suficiente información sobre ciertos tratamientos de datos de la entidad porque no se los hace participar desde momentos iniciales en la toma de decisiones estratégicas.
  • La autoridad portuguesa describe funciones que de forma equivocada se asocian al DPO cuando en realidad son obligaciones propias del responsable del tratamiento o encargado del tratamiento. En la misma línea, también se identifican tareas que de forma equivocada se atribuyen al DPO cuando no son su función, por ejemplo, en el caso de las evaluaciones de impacto que lleva a cabo directamente a pesar de que su función sea de asesoramiento.

Después de más de 5 años de plena aplicación del RGPD y con éste, de la figura del DPO, se constata que se han hecho avances pero que queda mucho camino pendiente de recorrer. Es por ello por lo que es necesario tener presentes las irregularidades detectadas y adecuarlas a las indicaciones dadas, más aún cuando en estos momentos hay numerosa normativa del sector digital que está siendo desarrollada o recién aprobada y ante la cual el DPO tendrá un rol significativo. Estos nuevos roles pueden reforzar algunas de las preocupaciones detectadas en el informe, en especial, aquellas relativas al conflicto de interés o la insuficiencia de recursos del DPO.

Para más información:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la

 

 

 

Facebooktwittergoogle_pluslinkedinmail

Nuevas directrices sobre el uso de las cookies

Hoy en día, las cookies son una herramienta esencial de la sociedad de la información, ya que permiten a los prestadores de servicios obtener datos de los usuarios y utilizarlos con diferentes finalidades, como puede ser, por ejemplo, para prestarle un servicio en concreto o facilitarle publicidad ajustada a sus gustos y costumbres de navegación.

Dada la afectación de las cookies en la privacidad de las personas, resulta ineludible la implementación de un sistema de información que permita a los usuarios ser plenamente conocedores de los usos que se dará a sus datos y decidir sobre los mismos. otorgamiento de su consentimiento.

A fin de garantizar estos parámetros, el pasado mes de febrero de 2023, el Comité Europeo de Protección de Datos (CEPD), emitió las Directrices 03/2023 sobre patrones engañosos en las redes sociales. Y, a fin de ayudar a los prestadores de servicios a seguir las indicaciones de las citadas directrices, la Agencia Española de Protección de Datos actualizó su Guía sobre el uso de las cookies. Estos nuevos criterios deben implementarse antes del 11 de enero de 2024.

La guía incluye un conjunto de recomendaciones que resultarán de aplicación en aquellos casos en los que la utilización de las cookies implique el tratamiento de datos personales. Y, por tanto, los responsables del tratamiento tendrán que asegurarse de cumplir tanto con las exigencias propias que regula la LSSI, así como también la normativa vigente en materia de protección de datos.

Uno de los primeros aspectos a los que hace referencia la guía, es la necesidad de identificar cuáles son las cookies utilizadas en el sitio web y cuál es su finalidad. Se trata de un paso esencial para poder cumplir con las principales obligaciones de cookies, que son la obligación de transparencia y la obligación de obtención del consentimiento.

También será necesario tener presente que estas obligaciones no aplicarán a todas las cookies, sino que algunas quedan exceptuadas. Por ejemplo, en el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas como puede ser la opción del idioma, son cookies técnicas que no precisan de consentimiento, sin que puedan ser utilizadas para otros fines.

Cuando hablamos de la obligación de transparencia, estamos haciendo referencia a la necesidad de informar a los usuarios de forma clara y completa sobre el uso de sus datos. Es por ello que habrá que informar sobre cuál es la función genérica de las cookies, qué tipo de cookies se recogen y cuál es su finalidad, quién las utiliza, cómo aceptar, denegar o revocar el consentimiento por el uso de las cookies, cómo se transferirán a terceros países, si implica la elaboración de perfiles, el período de conservación y el resto de información relativa al tratamiento de datos que nos determina el artículo 13 del RGPD, como por ejemplo el ejercicio de derechos de los interesados.

No sólo es importante la información que debe trasladarse al usuario, sino que hay que prestar especial atención también a cómo se facilita. Por eso es necesario asegurarse de que la información sea concisa, transparente e inteligible, mediante el uso de un lenguaje claro y sencillo que pueda ser entendido por el usuario.

Otro aspecto a tener en cuenta es la forma de acceso a la información, puesto que debe ser claramente visible por el usuario sin que implique un esfuerzo por él. Con el objetivo de evitar la fatiga informativa, puede ofrecerse la información mediante capas. De modo que, desde la primera capa informativa se pueda acceder a un enlace o acceder a la información completa de las cookies.

Toda esta información debe ser facilitada para que el usuario otorgue su consentimiento siendo plenamente conocedor sobre cómo se utilizarán sus datos personales.

Para la obtención del consentimiento será necesario tener presente que se lleve a cabo mediante fórmulas que impliquen una inequívoca acción afirmativa por parte del usuario. De modo que habrá que presentarle las acciones de aceptar o rechazar las cookies en lugar y formato destacados, fácilmente visibles.

Otro aspecto relevante es que el acceso al servicio web y sus funcionalidades, no podrán condicionarse a que el usuario consienta el uso de cookies. Pudiéndose presentar situaciones en las que la no aceptación de la utilización de cookies puede impedir el acceso al sitio web oa la utilización total o parcial del servicio, siempre que se informe al usuario y se ofrezca por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies, la cual no debe ser necesariamente gratuita.

Se trata de un conjunto de directrices que permiten ayudar a trasladar la información sobre el uso de cookies a los usuarios, pero huyan de la estandarización de textos, ya que debe ser plenamente adecuado a las características particulares de cada página web. Y, de acuerdo con todo lo anterior, tendrán que ser revistas los textos web.

Se puede consultar el texto completo del informe del Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos en el siguiente enlace: https://www.aepd.es/guias/guia-cookies.pdf

Y, las Directrices 03/2023 sobre patrones engañosos en las redes sociales, del Comité Europeo de Protección de datos (CEPD):

https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

 

Facebooktwittergoogle_pluslinkedinmail

Un plan de igualdad no negociado también puede ser válido

La obligación que afecta a la gran mayoría de las empresas de elaborar un plan de igualdad de forma negociada con la representación legal de los trabajadores, tal y como hemos ido viendo, no es tan fácil de cumplir. La normativa nos dice que, si la empresa no tiene representación legal de los trabajadores, es necesario pedir a los sindicatos más representativos que se presenten a la negociación: ¿qué pasa, sin embargo, si estos sindicatos, a pesar de haberlos enviado diferentes requerimientos por Email , ¿no contestan o contestan diciendo que no pueden o no quieren participar en esta negociación? No se trata de una cuestión menor, ya que, de entrada, si un plan no ha sido formalmente negociado, el registro deniega su inscripción, lo que deja a la empresa en una situación de incumplimiento legal y de indefensión, sin habilitación para participar en concursos públicos y con las pérdidas económicas que esto pueda suponer. (más…)

Facebooktwittergoogle_pluslinkedinmail

Irregularidades en el proceso de relevo en la Agencia Española de Protección de Datos

En la Newsletter de octubre informábamos del acuerdo al que habían llegado PSOE y PP en la renovación de la dirección de la Agencia Española de Protección de Datos. Este pacto político está siendo controvertido porque no parece ajustarse al procedimiento para el nombramiento de la dirección de esta entidad. En efecto, hace dos años que se reformó el procedimiento de designación con voluntad de ser un procedimiento abierto y libre concurrencia. (más…)

Facebooktwittergoogle_pluslinkedinmail

¿Como queda la protección de datos en el Reino Unido después del Brexit?

Que un país como Reino Unido salga de la Unión Europea implica, de entrada, que dejen de aplicarse las normas jurídicas europeas que se estaban aplicando. Entre ellas, recordamos que el Reglamento General de Protección de Datos (RGPD) es un una norma jurídica directamente aplicable en los Estados miembros, que además ostenta un carácter jerárquicamente superior a las legislaciones estatales. Nos encontramos pues con la situación paradójica de que un país que tenía todas las garantías para transferir datos de carácter personal de repente puede ser considerado un país inseguro debido a un cambio repentino de su situación jurídica respecto a la Unión Europea, y esto tiene implicaciones extraordinarias en cuanto a las empresas u organizaciones europeas que tienen relación con este país. (más…)

Facebooktwittergoogle_pluslinkedinmail

III edición del Digital Law World Congress

Los pasados ​​días 22 y 23 de octubre tuvo lugar la III edición del Digital Law World Congress con el lema «Digital rights: a new evolution of Human Rights» coincidiendo con la celebración, el 24 de octubre, del 75 aniversario de la creación de Naciones Unidas.

Nuestra gerente de Servicios Jurídicos, Caterina Bartrons, participó en una de las mesas como relatora.

El desarrollo de Internet y la sociedad digital ha cambiado la forma en que nos relacionamos, nos comunicamos y realizamos nuestras actividades sociales, laborales y económicas, constituyendo una auténtica revolución y una fuente inagotable de oportunidades de progrés.

No obstante, también ha comportado determinados riesgos, que suponen un reto para la seguridad, la privacidad y la confianza en el mundo digital, y que deben ser afrontados a través de medidas que garanticen los derechos y libertades de toda la ciudadanía.

EL CONGRÉS

Facebooktwittergoogle_pluslinkedinmail

La gobernanza de los datos

Los datos se han convertido en un activo empresarial clave para cualquier empresa, esta afirmación es una realidad indiscutible. Las organizaciones disponen de una voluminosa cantidad de datos personales de usuarios, de clientes, de proveedores, de trabajadores, y un gran etcétera, que una vez procesadas y explotadas generan un gran valor a la empresa, pero para que estos datos tengan valor real hay que asegurar la calidad de los datos, así como su seguridad y privacidad. Hay que ser conscientes de que el uso inadecuado de los datos puede ocasionar graves daños financieros y reputacionales a la Organización. Con el fin de promover una gestión efectiva es importante disponer de un proceso de gobernanza de los datos o fecha governance. (más…)

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies