VIDEOVIGILANCIA EN EL ÁMBITO LABORAL Y NUEVA LEY NACIONAL DE PROTECCIÓN DE DATOS – Roberto L. Ferrer Serrano

Cada vez se encuentra más generalizada en las empresas, incluso en las de más reducido tamaño la utilización de sistemas de videovigilancia que pueden servir para mejorar la seguridad de los bienes o instalaciones de estas, pero también como medida de control de la actividad laboral de los trabajadores y empleados públicos, lo cual además puede incluir la captación de sonidos, incluidas las conversaciones de estos.

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales autoriza tal captación de imágenes y sonidos para el ejercicio de estas funciones de control.

Hay que saber que en este caso se establece la supresión de estos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. No existe una fijación expresa de este plazo en el caso de las imágenes lo que lleva a plantearse si será de aplicación este mismo plazo o bien habrá de estarse a las obligaciones generales de supresión previstas en el Reglamento Europeo de Protección de Datos en su artículo 17.

Debemos tener en cuenta que habitualmente las organizaciones realizarán el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones de forma conjunta con la del control laboral, si bien podrán hacerlo de forma exclusiva con fines de seguridad o bien solamente se podrán captar con fines estrictamente de control laboral.

Parece evidente que en el caso de que la captación se efectué con una finalidad conjunta el plazo de conservación de las imágenes será de un mes tal y como establece el Artículo 22,3 del Reglamento Europeo de Protección de Datos, surgiendo la duda de si la captación se realiza exclusivamente con finalidades de control laboral deberá suprimirse antes o después de dicho plazo al deber atenderse a los criterios generales de supresión de los datos personales.

Para determinar esta cuestión deberá también tenerse en cuenta la política de privacidad de la Entidad y los plazos de supresión que la misma haya previsto en el Registro de Actividades por lo que la conservación de las imágenes nunca podría superar aquellos previstos en dicho registro.

 Finalmente hay que tener en cuenta que habitualmente la grabación de sonidos vendrá asociada habitualmente a grabaciones de imágenes ya que entre imagen y sonido puede establecerse una relación de complementariedad que supone establecer con mayor perfección la situación que ha de registrarse permitiendo mayores cotas de transparencia.

En este caso carecería de lógica entender que las imágenes con sonido tuvieran que suprimirse en un plazo inferior a un mes y deber conservarse solamente el sonido.

Teniendo en cuenta además que la captación de imágenes con finalidades de control laboral, una vez generadas pueden estar sujetas al derecho de limitación que permite también al interesado evitar su borrado en caso necesario, debemos entender que tal tratamiento de datos no siempre supondrá una intrusión en la vida personal de este, sino que podrá utilizarse por el mismo para acreditar aquellas cuestiones que puedan resultar oportunas.

Dado que no tendría tampoco lógica alguna que las imágenes sin sonido tuvieran que suprimirse en un plazo inferior a las que sí que tienen sonido deberemos concluir que estas imágenes sin sonido captadas exclusivamente con finalidades de control laboral  podrán sujetarse al plazo máximo de un mes para su supresión y que solamente en aquellos casos en los que las grabaciones carezcan de sonido, y son necesarias en relación con los fines para las que fueron recogidas o tratadas de otro modo, deberán de conservarse durante un plazo superior.

Nuevas obligaciones de registro y control de la jornada de los trabajadores – Guillermo Andaluz Carnicer

Obligación establecida con efectos del 12 de mayo de 2019. El pasado día 12 de marzo de 2019, se publicó en el Boletín Oficial del Estado el Real Decreto-Ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y lucha contra la precariedad laboral en la jornada de trabajo, mediante el cual se modifica el artículo 34 del Estatuto de los Trabajadores,  disponiendo  que “la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este mismo artículo”. Esta nueva obligación será exigible a partir de los dos meses de su publicación en el Boletín Oficial del Estado, es decir, desde el 12 de mayo de 2019.

  • A quien afecta esta medida: A todas las empresas, cualquiera que sea el número de personas trabajadoras de su plantilla.
  • Desde qué fecha es exigible: Desde el 12 de mayo de 2019
  • A qué personas trabajadoras se aplica: A todas las personas trabajadoras, cualquiera que sea la jornada que realicen, a tiempo parcial o a tiempo completo.
  • Forma y sistema del registro de la jornada: Hasta que no exista una regulación específica, será válido cualquier sistema que garantice su fiabilidad, que deberá negociarse con la representación legal de los trabajadores.
  • Incumplimiento de la obligación del registro de la jornada diaria: El incumplimiento será considerado como falta grave, sancionable con multa de 626 a 6.250 euros.
  • Conservación de los registros: Se deberán conservar durante cuatro años, y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección Provincial de Trabajo y Seguridad Social.

En definitiva, que además de la obligación que ya tienen las empresas de llevar un registro de la jornada de las personas trabajadoras contratadas a tiempo parcial, y también el registro de las horas extraordinarias realizadas y totalizadas mensualmente, ahora la obligación se extiende al registro de la jornada de todas las personas trabajadoras (nueva expresión utilizada en el Real Decreto-Ley), con independencia de la jornada que realicen. Esta nueva normativa también faculta al Gobierno para establecer especialidades en las obligaciones de registro de jornada, para aquellos sectores, trabajos y categorías profesionales que por sus peculiaridades así lo requieran. Siendo deseable que estas especialidades se produjeran con la mayor celeridad, pues ciertamente hay ocupaciones y categorías profesionales que requieren un tratamiento diferenciador, como es el caso de repartidores, transportistas, reparaciones a domicilio, comerciales, etc.

Conclusiones de la Jornada sobre la nueva LOPDGDD del pasado día 31 de Enero en el R. e I. Colegio de Abogados de Zaragoza – Roberto L. Ferrer Serrano

De las cuestiones analizadas en la Jornada podemos concluir lo siguiente:

1. Privacidad e intimidad son dos conceptos jurídicos autónomos. Ver http://dej.rae.es/#/entry-id/E192150 y http://dej.rae.es/#/entry-id/E145530
2. La nueva LOPDGDD no establece criterios suficientes para determinar con exactitud el alcance de la expresión “intimidad” a que se refieren los artículos 87, 89 y 90 de la LOPDGDD.
3. La introducción del término “intimidad” en el articulado lleva a confusión, en el caso de que se pretendiese incluir las informaciones privadas, y en el caso de que se pretenda limitar a los conceptos meramente íntimos se trataría de una restricción injustificada de los derechos de protección de datos de los trabajadores.
4. En la mayoría de los casos podrá entenderse que “intimidad” se corresponde con un concepto ampliado que incluye informaciones meramente privadas que tendrá que analizarse en cada supuesto concreto.

Nos encontramos en nuestra opinión de una nueva muestra de cómo una redacción precipitada de una norma introduce mayor inseguridad jurídica que la que existía antes de su alumbramiento.

EL DELEGADO DE PROTECCIÓN DE DATOS (II) – Roberto L. Ferrer Serrano

Se encuentran obligadas al nombramiento de un DPO las empresas que realizan tratamiento de datos como actividad principal de organización, por tanto, debemos conocer los tipos de empresas que requieren contratarlo:

        A) Empresas que realizan un tratamiento relevante de datos

El Considerando 91 del Reglamento proporciona algunas orientaciones acerca del concepto de “relevante” pero no es posible dar un número preciso con respecto a la cantidad de datos tratados o al número de personas afectadas.

Según el Grupo de Trabajo para la privacidad de la Unión Europea se pueden tener en cuenta los siguientes factores para determinar si el tratamiento se realiza a gran escala:

  • El número de sujetos
  • El volumen de datos que se están procesando
  • La duración o permanencia de la actividad de procesamiento de datos
  • La extensión geográfica de la actividad de procesamiento

 

Ejemplos de procesamiento relevante:

  • procesamiento de datos de pacientes en el curso regular de los negocios por un hospital
  • procesamiento de datos de viaje de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, seguimiento a través de tarjetas de viaje)
  • procesamiento de datos geolocalización en tiempo real de los clientes de una cadena internacional de comida rápida para fines estadísticos por un procesador especializado
  • procesamiento de datos de clientes en el curso normal de los negocios por una compañía de seguros o un banco
  • procesamiento de datos personales para publicidad conductual mediante un motor de búsqueda
  • procesamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet

         B) Monitorización regular y sistemática de actividades personales

La noción de control periódico y sistemático de los datos no está definida en el Reglamento, aunque:

 

  1. El concepto de “control del comportamiento de los interesados” se menciona en el Considerando 24 e
  2. Incluye todas las formas de seguimiento y perfiles en Internet o realizados con fines de publicidad conductual

 

El Grupo de Trabajo interpreta ‘regular’ como:

  • Repetido a intervalos particulares durante un período determinado
  • Recurrentes o repetidos en horarios fijos
  • Constantemente o periódicamente

 

E interpreta “sistemático” como:

  • Propio de un sistema
  • Preparado, organizado o metódico
  • Realizado en el marco de un plan general de recogida de datos
  • Realizado como parte de una estrategia empresarial

         C) Empresas que tratan categorías especiales de datos y datos relacionados con las actividades delictivas

En este supuesto se encuentran los tratamientos de datos de salud, orientación sexual, creencias, ideología, etc. El Reglamento en su artículo 37 se refiere:

  1. al tratamiento de categorías especiales de datos de conformidad con el artículo 9 y
  2. a los datos personales relativos a las condenas penales y los delitos enunciados en el artículo 10.

        D) Autoridades u organismos públicos

Se engloban tanto autoridades nacionales, regionales y locales, como otros organismos de derecho público donde la presencia de un DPO puede ser necesaria para proporcionar una protección adicional a los interesados.

 

Como ejemplos encontramos:

  1. servicios de transporte público
  2. suministro de agua y energía
  3. infraestructuras viarias o
  4. los colegios profesionales

EL DELEGADO DE PROTECCIÓN DE DATOS (I) – Roberto L. Ferrer Serrano

El nombramiento del Delegado de protección de datos (DPO por sus siglas en inglés) es una obligación de las empresas, en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Antes de realizar tratamientos de datos cuando exista un alto riesgo para los derechos y libertades de las personas físicas las empresas deberán:

  • Consultar a su Delegado de Protección de Datos (que estará dotado de inmunidad en sus funciones) y,
  • Realizar una evaluación del impacto de dichas operaciones

La función principal de esta figura consiste en participar en todas las cuestiones relativas a la protección de datos personales:

A) de forma adecuada y

B) en tiempo oportuno

Existen estimaciones que elevan entre 50000 a 75000 Delegados en la Unión Europea.

Supuestos de empresas afectadas

Se trata de empresas que tengan como actividad principal de organización el tratamiento de los datos y las actividades principales de un responsable del tratamiento se refieren a “actividades principales” y debemos tener en cuenta que:

a) Son las operaciones clave necesarias para alcanzar las metas de la organización de que se trate y

b) No deben interpretarse en el sentido de excluir las actividades en las que el tratamiento de datos forma parte inseparable de la actividad del responsable del tratamiento o del procesador. Pensemos, por ejemplo, en un hospital cuya actividad principal es proporcionar atención médica y necesita procesar datos de salud con el fin de dar el debido cuidado médico a los pacientes. Por lo tanto, el procesamiento de estos datos médicos requerirá la figura del DPO.

 

 

Este sitio web utiliza cookies propias y de terceros para analizar el tráfico de la red, así como poder personalizar la información que ofrece a sus usuarios o promover sus servicios. Seguir navegando en este sitio implica aceptar su uso. Información para cambiar esta configuración y obtener más detalles sobre nuestra política de cookies en el botón "leer más"

LEER MÁS ACEPTAR
Aviso de cookies