+34 616 121 639 aralegis@aralegis.es

IMPLICACIONES PARA LA PROTECCIÓN DE DATOS DEL DERECHO A NO ENTREGAR DOCUMENTACIÓN QUE YA TIENE LA ADMINISTRACIÓN -PRINCIPIO DE “UNA SOLA VEZ”-.

Foto V. Ottone*

La acción administrativa implica en ocasiones que los ciudadanos deban aportar datos y documentos en distintos trámites administrativos.
En nuestro país desde la reforma del año 2015, la Administración se rige por el principio de “una sola vez” que consiste:

– En el derecho de los interesados a “no aportar documentos que ya se encuentren en poder de la administración actuante o hayan sido elaborados por cualquier otra administración” pudiendo esta consultar o recabar dichos documentos a través de sus redes corporativas, o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que el interesado se opusiera a ello.
– En que además las Administraciones Públicas no requerirán a los interesados datos o documentos que hayan sido aportados anteriormente por estos a cualquier Administración.

No obstante todavía debería mejorarse la protección del administrado ya que si a pesar de todo se le reclama un determinado documento el ciudadano tiene obligación de indicar en qué momento y ante qué órgano administrativo se presentó.

Esto tiene consecuencias para el tratamiento de los datos personales ya que la Administración podrá recabarlos electrónicamente a través de las redes o plataformas electrónicas antes aludidas, salvo que conste en el procedimiento la oposición expresa del interesado o bien exista una ley especial aplicable que requiera su consentimiento expreso y supone establecer criterios para definir los formularios de solicitud y recogida de datos utilizados por cedentes y cesionarios de los servicios de verificación y consulta, así como y tener en cuenta que para solicitar el consentimiento en esos casos se hará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.
Además el interesado tendrá derecho a retirar su consentimiento en cualquier momento debiendo ser informado de ello, siendo tan fácil retirar el consentimiento como darlo.

Dicho todo lo anterior hay que tener presente sin embargo que eso no significa que para que las Administraciones Públicas puedan tratar nuestros datos (lo que puede incluir operaciones de comunicación, consulta y verificación de estos entre diferentes administraciones), se requiera siempre nuestro consentimiento, sino que precisamente esto será precisamente una excepción.
En realidad la razón por la cual la Administración trata legítimamente nuestros datos es, o bien el cumplimiento de una obligación legal, o el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos, lo que supone que si deseamos oponernos como ciudadanos al tratamiento de nuestros datos por la Administración Pública, debamos indicar una causa e incluso aportar necesariamente los documentos necesarios para que la administración actuante pueda valorar que se dan requisitos para ello.
Finalmente hay que tener en cuenta que en la mayoría de los casos la administración deberá informar al administrado, en aplicación del principio de transparencia, sobre los datos que van a ser consultados así como la posibilidad de ejercer sus derechos en materia de protección de datos, facilitando información en relación a la forma concreta para hacerlo.

* Foto https://www.flickr.com/photos/saneboy/3617855124

EL TECNO-NACIONALISMO EN UN CONTEXTO DIGITAL

Los viajes a caballo propiciaron culturas locales. El desarrollo del ferrocarril generó culturas nacionales que pasaron a articularse de forma más consistente. Hoy, la tecnología digital ha propiciado que vivamos una realidad global pero todavía no hemos dado el salto de plantearnos una cultura sin fronteras.
Por otra parte, no deja de ser una constante histórica que en la mayoría de las situaciones en que se han dado crisis económicas o sociales los Estados, basados en el territorio, levantan muros legislativos, financieros, etc., restringiendo el acceso a su tecnología y a cualquier tercero que pueda representar una amenaza potencial.
Esta opción conocida como tecno nacionalista, se ajusta a una época como la actual en la que vivimos inmersos en una sociedad menos basada en la producción fabril que en la gestión de la información, la obtención del conocimiento y su aplicación a finalidades no solamente económicas, sino también a gestionar relaciones de poder.

Sin embargo frente a los clásicos problemas propios de intentar monopolizar avances tecnológicos dentro de las fronteras de los Estados, hoy resulta esencial controlar no solamente la tecnología, sino la obtención de materias primas esenciales para producir los dispositivos necesarios para implementarla o encontrar sistemas capaces de custodiar la información contenida en grandes centros de datos.
Además, a diferencia de épocas anteriores, la presente se caracteriza porque si bien los Estados todavía mantienen elevadas cotas de poder, este se encuentra cada vez más compartido y mediatizado por las grandes empresas tecnológicas que ya han obtenido posiciones clave para lograr un cierto control en la toma de decisiones que puedan amenazarles.
Es cada vez más utilizado el término GAFAM (acrónimo de las multinacionales Google, Apple, Facebook y Amazon) cuya supremacía tecnológica es cada vez más sistémica y puede condicionar la soberanía territorial de muchos países.

El hecho de que las mayoría de estas empresas radique en suelo de los Estados Unidos plantea no poco recelos e inconvenientes a países cuyas empresas han contratado los servicios de estas tecnológicas, hasta el punto de que en muchos casos estas quedan en situación de dependencia estratégica.
Además esto supone un desafío a bloques geopolíticos diferentes (Rusia, China, Europa, etc.)
Es en ese contexto en el que Europa ha adquirido consciencia de la importancia de no depender en materia digital de centros de datos controlados exclusivamente por estas multinacionales. Para ello y a iniciativa de países como Francia y Alemania, se ha puesto en marcha una propuesta de infraestructura de datos para Europa que permita mantener altas cotas de soberanía digital y promoción de la innovación. Este proyecto denominado Gaia-X se encuentra coordinado con la Comisión Europea y consiste en desarrollar una infraestructura de datos abiertos basada en los valores europeos que permita compartir datos de forma segura y respetuosos con las normas europeas de protección de datos.

TEST DE PRIVACIDAD LABORAL

Test basado en la Sentencia de la Sala de lo Social del Tribunal Supremo  de fecha 8 de Febrero de 2018 que aclara la conocida Sentencia del Tribunal Europeo de Derechos Humanos del caso Bărbulescu v. Romania, la cual estableció una serie de criterios que nos sirven para determinar si se han tenido en cuenta adecuadamente el derecho de los trabajadores a que se respete su vida privada cuando se enfrentan al derecho de la empresa a comprobar que su actividad es ejercida con corrección y se adecua a sus directrices.
También sirve de Guía a las empresas para poder precedir el eventual resultado que tendría sancionar a los trabajadores utilizando como prueba medios digitales

       TEST

MATERIA DE ANÁLISIS CUESTIÓN A DETERMINAR RESULTADO

POSITIVO/NEGATIVO

(cumplimentar)

INFORMACIÓN ADECUADA ¿El empleado ha sido informado de la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas?
SUPERVISIÓN PROPORCIONADA ¿Cuál fue el alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado?

¿La supervisión de las comunicaciones se ha realizado sobre la totalidad o sólo una parte de ellas?

¿ha sido o no limitado en el tiempo y el número de personas el acceso a sus resultados de la investigación?

INDICIOS RACIONALES ¿El empleador ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido?
MINIMA INTERVENCIÓN ¿Habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado?
CONSECUENCIAS PARA LOS TRABAJADORES  ¿Cuáles fueron las consecuencias de la supervisión para el empleado afectado?

¿De qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida?

EXISTENCIA DE GARANTÍAS ¿Al empleado se le ofrecieron garantías adecuadas, particularmente cuando las medidas de supervisión del empleador tenían carácter intrusivo?

ESTRATAGEMAS PARA OBTENER INFORMACIÓN DE LA EMPRESA A TRAVÉS DE SU PERSONAL

Existen múltiples amenazas, algunas conocidas, como el “fraude del CEO” que utiliza a cualquier empleado de una compañía autorizado para emitir pagos por transferencia y que recibe un correo, en el que su superior le pide ayuda para una operación financiera confidencial y urgente que acaba en manos de ciberdelincuentes, o como el “ransonware» que cifra los archivos de la propia empresa reclamándosele un rescate para recuperarla y que no pagar la cantidad reclamada se puede recuperar dicha información, como explica INCIBE
La formación del personal facilita el uso seguro de la información en empresas y organizaciones para que  la información se gestione de forma adecuada.
La seguridad no solamente consiste en aplicar herramientas tecnológicas a la información que están en los sistemas de las empresas, ya que existen amenazas reales que provienen de técnicas que se conocen como de «Ingeniería social» las cuales:
• afectan cada día más y
• se utilizan por los ciberdelincuentes con mayor frecuencia, dada la facilidad que estos tienen para extraer de las personas adecuadas la información necesaria para acceder a los sistemas informáticos de las Pymes.
La ingeniería social es un fenómeno, o una técnica mediante la cual los ciberdelincuentes pueden dirigirse a cualquier elemento de los recursos humanos de una empresa y aprovechar la información que han obtenido del mismo, a través de:
a) redes sociales, o
b) correos electrónicos a los que el personal de la organización ha respondido descuidada o inconscientemente, entregando información de forma voluntaria al no sospechar las intenciones de su comunicante.
Una vez obtenida la información necesaria, los ciberdelincuentes son capaces de aprovechar su conocimiento sobre esa persona para lograr que entreguen contraseñas o la forma en la que pueden conseguirlas.
Para hacer frente a las amenazas de las técnicas de «Ingeniería social»:
a) El primer remedio es disponer de una buena política de copias de seguridad, un remedio sencillo, aplicado de forma rutinaria y habitual, que permite incrementar la seguridad de la información de nuestras empresas
b) Acudir a las soluciones que se ofrecen en el «servicio antiransomware» de INCIBE (Instituto Nacional de Ciberseguridad -www.incibe.es-)
La prevención es una herramienta fundamental para evitar este y otros problemas que acechan a nuestras empresas.
Según INCIBE* entre las mejores prácticas para evitarlos pueden destacarse:
• Entrenarse para no caer víctimas de las técnicas de ingeniería social
• Configurar y mantener los sistemas para que no tengan agujeros de seguridad.
• Adoptar un buen diseño de nuestra red para no exponer servicios internos al exterior, de manera que infectarnos le sea al ciberdelincuente más difícil.
• Contar con procedimientos para: tener actualizado todo el software, hacer copias de seguridad periódicas, controlar los accesos, restringir el uso de aplicaciones o equipos no permitidos, actuar en caso de incidente, etc.
• Vigilar y las auditar para mantenernos alerta ante cualquier sospecha.
No obstante, si el mal ya está hecho y somos víctimas del ciberdelincuente, desde INCIBE se indica:
• Desconectar inmediatamente los equipos infectados de la red, desconectando el cable de red o el acceso a la red wifi para evitar que el problema se expanda al resto de equipos o servicios compartidos
• Cambiar todas las contraseñas de red y de cuentas online desde un equipo seguro y después de eliminar el ransomware cambiarlas de nuevo
• Contactar con un técnico o un servicio informático especializado que aplique las medidas necesarias que nos permitan recuperar la actividad y desinfectar el equipo

EL PLAN DE TRABAJO A DISTANCIA

Trabajo a distancia y mejora de la competitividad deberían comenzar a sonar como conceptos algo más que complementarios.
Detrás de su adopción como solución de urgencia y tras unos primeros pasos un tanto caóticos es ahora el momento de asumir la nueva realidad y especialmente es el momento de “profesionalizar” los sistemas utilizados de modo que resulten más eficientes, más competitivos y también mas seguros.
Para eso y siguiendo la experiencia que hemos compartido con diferentes empresas, lo esencial es establecer un PLAN DE TRABAJO A DISTANCIA. Ni todas las empresas y organizaciones pueden utilizar este sistema ni aquellas en las que si que es posible pueden permitirse hacerlo indefinidamente sin orden o sin objetivos.
Para definir ese plan deben participar personas con un perfil de profesionales relacionados con el tratamiento de datos y/o con el derecho laboral, incluso tratándose de microempresas.
Si la empresa no puede hacerlo por sí misma, es mejor consultar con especialistas que, en general por unos pocos cientos de euros, en la mayoría de los casos nos va a permitir incorporarnos con solvencia a esta posibilidad.
Este plan, que requiere algo de tiempo y de recursos, puede convertirse en una de las mejores inversiones que la empresa realice por su rápido retorno tanto económico como social.
La planificación deberá contemplar los siguientes aspectos:
FORMAR UN GRUPO DE TRABAJO PARA IMPLEMENTAR EL TELETRABAJO.
Este grupo debe tener las siguientes características:

a)Ser multidisciplinar abarcando todos los departamentos afectados, e incluir aspectos legales y financieros.
b)Coordinarse con cada área de negocio o departamento de la empresa.
c) Destinar recursos económicos y humanos para la gestión del teletrabajo
Si la empresa no puede hacerlo por sí misma es una buena idea rodearse de los profesionales antes mencionados
ESTABLECER SISTEMAS ADECUADOS PARA CONTROLAR EL RENDIMIENTO LABORAL que no se basen necesariamente en la presencia de la persona teletrabajadora ante un dispositivo sino generar criterios de control en función de resultados u objetivos.
ESTABLECER UNOS CRITERIOS BÁSICOS DE SEGURIDAD que incluyan entre otras cosas cuestiones como el traslado de la documentación desde el centro de trabajo hasta el lugar donde vaya a teletrabajar el personal, cuidar que se hagan copias de seguridad periódicamente y que existan sistemas de protección como antivirus, anti troyanos, así como seguridad de la conexión wifi, etc.
Esta política básica de seguridad variará en función de si se teletrabaja con medios empresariales o si se usan medios de que dispone el personal en sus propios domicilios.
Es muy importante asumir 2 cuestiones fundamentales:
– Se deberá formar a las personas teletrabajadoras en seguridad y en el uso del software utilizado.
– Se deberá evitar que la seguridad dependa del personal sino que deberá automatizarse en lo posible por parte de la empresa, sin que los empleados puedan modificar las configuraciones de seguridad que se les proporcionen.
Finalmente hay que tener en cuenta que vivimos en un entorno dinámico por lo que deberemos ir mejorando los sistemas de trabajo revisando lo que sea necesario.
Todo lo expuesto nos permitirá avanzar en una actividad más competitiva y si bien los resultados no son inmediatos, no es menos cierto que en el caso del teletrabajo los retornos aparecen de forma mucho más rápida que en otro tipo de inversiones.