+34 976 22 41 41 aralegis@aralegis.es

LA PROTECCIÓN DE DATOS COMO EXCUSA

El Derecho de protección de datos es tan importante que a veces se utiliza en situaciones en las que no tiene nada que ver. A veces se invoca para negarse a dar información ante el temor de incumplir una norma de la que pueda derivarse una importante sanción, en otras ocasiones, es la mala excusa perfecta para no dar unos datos que no interesa revelar.
Es por eso por lo que parece interesante aclarar algunas dudas para evitar, por un lado tales temores infundados, y de otro lado y de forma muy especial, para saber distinguir a aquellos que esgrimen la protección de datos de forma  poco rigurosa y a veces malintencionada.

Dicho esto, hay que saber que la protección de datos no puede utilizarse para negarse a dar datos de empresas o instituciones. Este Derecho solo se aplica a las personas físicas y por tanto no dar una información de una empresa basándose en la protección de datos, sencillamente no es correcto.

(más…)

NUEVAS FORMAS DE ENTENDER LA IDENTIDAD EN UN MUNDO DIGITAL

La identidad es hoy para nosotros un concepto que nos vincula a nuestro propio nombre de forma única. Ciertamente puede haber coincidencia de nuestro nombre con el de otras personas pero para ello el Estado nos ha dotado de otros identificadores (por ejemplo el número de DNI) que nos permiten diferenciarnos también de esas personas.

La coexistencia cada vez mayor entre nuestro mundo físico tradicional con un mundo digital genera importantes contradicciones con este concepto ya que mientras que en el mundo físico tenemos una identidad única (1:1) que nos asigna el Estado del que somos nacionales, en el ámbito digital podemos tener infinitas identidades (1:infinito) y pueden asignarse por otros actores digitales (Por ejemplo una red social), pudiéndose disponer en una misma red social varias identidades diferentes.
Tanto en el mundo físico como en el digital se utilizan sistemas de gestión de la identidad centralizados en los que una entidad otorga la identificación bajo sus propias reglas a las que tenemos que someternos si queremos interactuar dentro de esa entidad, sea esta un Estado, una red social o una plataforma de compras “on line”.
En estos casos, nos podemos encontrar además con la posibilidad de que distintas entidades reconozcan la identificación que han realizado otras entidades. Un ejemplo de esto en el mundo físico sería la expedición de pasaportes que se reconocen por los diferentes Estados o en el mundo digital la identificación ante un determinado sitio web usando la identificación que ya hemos efectuado en alguna red social (Facebook, Google, etc.). Este tipo de reconocimiento se conoce como identidades federadas o delegadas.
En este tipo de identidades centralizadas el individuo tiene un papel muy limitado ya que como mucho puede optar entre identificarse o no en un determinado servicio web y ni siquiera esto cuando se quiere relacionar con un Estado. Esto supone que tenemos que dar todos los datos que se nos solicitan si hemos de establecer relaciones legalmente válidas ante esta entidad o Estado y carecemos de todo control acerca de como se usan o como estos se custodian.
Este sistema de gestión de la identidad centralizada encuentra graves problemas cuando lo trasladamos al mundo digital.
En nuestras relaciones “on line” proliferan de forma masiva técnicas para detectar nuestro rastro digital siendo un ejemplo de ello las denominadas “cookies” y muchas otras que permiten identificarnos sin que resulte siquiera preciso conocer nuestro nombre real para clasificarnos, elaborar nuestro perfil y poder adoptar decisiones sobre nosotros muchas veces sin nuestro conocimiento.
Es por ello por lo que se están abriendo paso otro tipo de sistemas de gestión de la identidad de carácter descentralizado merced a los cuales una sola Entidad no tiene toda la información sobre una persona sino que solamente tiene una parte de esta.
Este tipo de sistemas descentralizados permiten además lo que se conoce como “identidades digitales soberanas autogestionadas” mediante las cuales podemos establecer qué tipo de datos queremos compartir de forma tal que solo revelemos aquellos que sean los estrictamente necesarios para obtener un determinado servicio.
Además estos datos no se conservan todos juntos en una base de datos centralizada sino que se utiliza para ello la tecnología de bases de datos distribuidas (esta replicada en distintos “nodos” o “servidores”) con lo que su custodia resulta mucho más segura.

LAS DOS DIMENSIONES DE LA INFORMACIÓN Y DE LOS DATOS – Roberto L. Ferrer Serrano

Podemos observar dos dimensiones a considerar al tratar la información:

  • Cuando esta afecta a personas físicas, debemos ser extremadamente cuidadosos a la hora de transmitir esta información y pensar que puede afectar a terceros de formas que puede ser que no imaginemos en el momento en que vamos a compartir, pero que debemos respetar. Si creamos ese marco de convivencia lograremos que los demás no compartan informaciones que vayan a afectarnos a nosotros o a las personas que tenemos más cerca.

Aquí la norma de referencia será el Reglamento (UE) 2016/67 del Parlamento Europeo y del Consejo  de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y en España la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

  • Cuando esta afecta simplemente a datos que no pueden vincularse a personas, en este caso la cuestión cambia considerablemente y el principio que debe aplicarse es el de la máxima libertad y facilidad para que los datos circulen libremente.

En este caso la norma de referencia será el  REGLAMENTO (UE) 2018/1807 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de noviembre de 2018 relativo a un marco para la libre circulación de datos no personales en la Unión Europea, conocido como “Free Flow of non-personal Data”.

El principio de libre circulación de datos se ha definido como la «quinta libertad» del mercado único de la UE, junto con la libertad de movimiento de bienes, servicios, personas y capital como afirma la Secretaría de Estado para el Avance Digital. El libre flujo de datos es un requisito esencial para impulsar el crecimiento de la economía de datos dentro de la Unión Europea y el uso de la computación en la nube, por lo que es necesario garantizar que empresas y administraciones públicas puedan almacenar y procesar datos en cualquier lugar de la Unión Europea.

VIDEOVIGILANCIA EN EL ÁMBITO LABORAL Y NUEVA LEY NACIONAL DE PROTECCIÓN DE DATOS – Roberto L. Ferrer Serrano

Cada vez se encuentra más generalizada en las empresas, incluso en las de más reducido tamaño la utilización de sistemas de videovigilancia que pueden servir para mejorar la seguridad de los bienes o instalaciones de estas, pero también como medida de control de la actividad laboral de los trabajadores y empleados públicos, lo cual además puede incluir la captación de sonidos, incluidas las conversaciones de estos.

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales autoriza tal captación de imágenes y sonidos para el ejercicio de estas funciones de control.

Hay que saber que en este caso se establece la supresión de estos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. No existe una fijación expresa de este plazo en el caso de las imágenes lo que lleva a plantearse si será de aplicación este mismo plazo o bien habrá de estarse a las obligaciones generales de supresión previstas en el Reglamento Europeo de Protección de Datos en su artículo 17.

Debemos tener en cuenta que habitualmente las organizaciones realizarán el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones de forma conjunta con la del control laboral, si bien podrán hacerlo de forma exclusiva con fines de seguridad o bien solamente se podrán captar con fines estrictamente de control laboral.

Parece evidente que en el caso de que la captación se efectué con una finalidad conjunta el plazo de conservación de las imágenes será de un mes tal y como establece el Artículo 22,3 del Reglamento Europeo de Protección de Datos, surgiendo la duda de si la captación se realiza exclusivamente con finalidades de control laboral deberá suprimirse antes o después de dicho plazo al deber atenderse a los criterios generales de supresión de los datos personales.

Para determinar esta cuestión deberá también tenerse en cuenta la política de privacidad de la Entidad y los plazos de supresión que la misma haya previsto en el Registro de Actividades por lo que la conservación de las imágenes nunca podría superar aquellos previstos en dicho registro.

 Finalmente hay que tener en cuenta que habitualmente la grabación de sonidos vendrá asociada habitualmente a grabaciones de imágenes ya que entre imagen y sonido puede establecerse una relación de complementariedad que supone establecer con mayor perfección la situación que ha de registrarse permitiendo mayores cotas de transparencia.

En este caso carecería de lógica entender que las imágenes con sonido tuvieran que suprimirse en un plazo inferior a un mes y deber conservarse solamente el sonido.

Teniendo en cuenta además que la captación de imágenes con finalidades de control laboral, una vez generadas pueden estar sujetas al derecho de limitación que permite también al interesado evitar su borrado en caso necesario, debemos entender que tal tratamiento de datos no siempre supondrá una intrusión en la vida personal de este, sino que podrá utilizarse por el mismo para acreditar aquellas cuestiones que puedan resultar oportunas.

Dado que no tendría tampoco lógica alguna que las imágenes sin sonido tuvieran que suprimirse en un plazo inferior a las que sí que tienen sonido deberemos concluir que estas imágenes sin sonido captadas exclusivamente con finalidades de control laboral  podrán sujetarse al plazo máximo de un mes para su supresión y que solamente en aquellos casos en los que las grabaciones carezcan de sonido, y son necesarias en relación con los fines para las que fueron recogidas o tratadas de otro modo, deberán de conservarse durante un plazo superior.

Nuevas obligaciones de registro y control de la jornada de los trabajadores – Guillermo Andaluz Carnicer

Obligación establecida con efectos del 12 de mayo de 2019. El pasado día 12 de marzo de 2019, se publicó en el Boletín Oficial del Estado el Real Decreto-Ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y lucha contra la precariedad laboral en la jornada de trabajo, mediante el cual se modifica el artículo 34 del Estatuto de los Trabajadores,  disponiendo  que “la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este mismo artículo”. Esta nueva obligación será exigible a partir de los dos meses de su publicación en el Boletín Oficial del Estado, es decir, desde el 12 de mayo de 2019.

  • A quien afecta esta medida: A todas las empresas, cualquiera que sea el número de personas trabajadoras de su plantilla.
  • Desde qué fecha es exigible: Desde el 12 de mayo de 2019
  • A qué personas trabajadoras se aplica: A todas las personas trabajadoras, cualquiera que sea la jornada que realicen, a tiempo parcial o a tiempo completo.
  • Forma y sistema del registro de la jornada: Hasta que no exista una regulación específica, será válido cualquier sistema que garantice su fiabilidad, que deberá negociarse con la representación legal de los trabajadores.
  • Incumplimiento de la obligación del registro de la jornada diaria: El incumplimiento será considerado como falta grave, sancionable con multa de 626 a 6.250 euros.
  • Conservación de los registros: Se deberán conservar durante cuatro años, y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección Provincial de Trabajo y Seguridad Social.

En definitiva, que además de la obligación que ya tienen las empresas de llevar un registro de la jornada de las personas trabajadoras contratadas a tiempo parcial, y también el registro de las horas extraordinarias realizadas y totalizadas mensualmente, ahora la obligación se extiende al registro de la jornada de todas las personas trabajadoras (nueva expresión utilizada en el Real Decreto-Ley), con independencia de la jornada que realicen. Esta nueva normativa también faculta al Gobierno para establecer especialidades en las obligaciones de registro de jornada, para aquellos sectores, trabajos y categorías profesionales que por sus peculiaridades así lo requieran. Siendo deseable que estas especialidades se produjeran con la mayor celeridad, pues ciertamente hay ocupaciones y categorías profesionales que requieren un tratamiento diferenciador, como es el caso de repartidores, transportistas, reparaciones a domicilio, comerciales, etc.