+34 976 22 41 41 aralegis@aralegis.es

EL PLAN DE TRABAJO A DISTANCIA

Trabajo a distancia y mejora de la competitividad deberían comenzar a sonar como conceptos algo más que complementarios.
Detrás de su adopción como solución de urgencia y tras unos primeros pasos un tanto caóticos es ahora el momento de asumir la nueva realidad y especialmente es el momento de “profesionalizar” los sistemas utilizados de modo que resulten más eficientes, más competitivos y también mas seguros.
Para eso y siguiendo la experiencia que hemos compartido con diferentes empresas, lo esencial es establecer un PLAN DE TRABAJO A DISTANCIA. Ni todas las empresas y organizaciones pueden utilizar este sistema ni aquellas en las que si que es posible pueden permitirse hacerlo indefinidamente sin orden o sin objetivos.
Para definir ese plan deben participar personas con un perfil de profesionales relacionados con el tratamiento de datos y/o con el derecho laboral, incluso tratándose de microempresas.
Si la empresa no puede hacerlo por sí misma, es mejor consultar con especialistas que, en general por unos pocos cientos de euros, en la mayoría de los casos nos va a permitir incorporarnos con solvencia a esta posibilidad.
Este plan, que requiere algo de tiempo y de recursos, puede convertirse en una de las mejores inversiones que la empresa realice por su rápido retorno tanto económico como social.
La planificación deberá contemplar los siguientes aspectos:
FORMAR UN GRUPO DE TRABAJO PARA IMPLEMENTAR EL TELETRABAJO.
Este grupo debe tener las siguientes características:

a)Ser multidisciplinar abarcando todos los departamentos afectados, e incluir aspectos legales y financieros.
b)Coordinarse con cada área de negocio o departamento de la empresa.
c) Destinar recursos económicos y humanos para la gestión del teletrabajo
Si la empresa no puede hacerlo por sí misma es una buena idea rodearse de los profesionales antes mencionados
ESTABLECER SISTEMAS ADECUADOS PARA CONTROLAR EL RENDIMIENTO LABORAL que no se basen necesariamente en la presencia de la persona teletrabajadora ante un dispositivo sino generar criterios de control en función de resultados u objetivos.
ESTABLECER UNOS CRITERIOS BÁSICOS DE SEGURIDAD que incluyan entre otras cosas cuestiones como el traslado de la documentación desde el centro de trabajo hasta el lugar donde vaya a teletrabajar el personal, cuidar que se hagan copias de seguridad periódicamente y que existan sistemas de protección como antivirus, anti troyanos, así como seguridad de la conexión wifi, etc.
Esta política básica de seguridad variará en función de si se teletrabaja con medios empresariales o si se usan medios de que dispone el personal en sus propios domicilios.
Es muy importante asumir 2 cuestiones fundamentales:
– Se deberá formar a las personas teletrabajadoras en seguridad y en el uso del software utilizado.
– Se deberá evitar que la seguridad dependa del personal sino que deberá automatizarse en lo posible por parte de la empresa, sin que los empleados puedan modificar las configuraciones de seguridad que se les proporcionen.
Finalmente hay que tener en cuenta que vivimos en un entorno dinámico por lo que deberemos ir mejorando los sistemas de trabajo revisando lo que sea necesario.
Todo lo expuesto nos permitirá avanzar en una actividad más competitiva y si bien los resultados no son inmediatos, no es menos cierto que en el caso del teletrabajo los retornos aparecen de forma mucho más rápida que en otro tipo de inversiones.

LA PROTECCIÓN DE DATOS COMO EXCUSA

El Derecho de protección de datos es tan importante que a veces se utiliza en situaciones en las que no tiene nada que ver. A veces se invoca para negarse a dar información ante el temor de incumplir una norma de la que pueda derivarse una importante sanción, en otras ocasiones, es la mala excusa perfecta para no dar unos datos que no interesa revelar.
Es por eso por lo que parece interesante aclarar algunas dudas para evitar, por un lado tales temores infundados, y de otro lado y de forma muy especial, para saber distinguir a aquellos que esgrimen la protección de datos de forma  poco rigurosa y a veces malintencionada.

Dicho esto, hay que saber que la protección de datos no puede utilizarse para negarse a dar datos de empresas o instituciones. Este Derecho solo se aplica a las personas físicas y por tanto no dar una información de una empresa basándose en la protección de datos, sencillamente no es correcto.

(más…)

NUEVAS FORMAS DE ENTENDER LA IDENTIDAD EN UN MUNDO DIGITAL

La identidad es hoy para nosotros un concepto que nos vincula a nuestro propio nombre de forma única. Ciertamente puede haber coincidencia de nuestro nombre con el de otras personas pero para ello el Estado nos ha dotado de otros identificadores (por ejemplo el número de DNI) que nos permiten diferenciarnos también de esas personas.

La coexistencia cada vez mayor entre nuestro mundo físico tradicional con un mundo digital genera importantes contradicciones con este concepto ya que mientras que en el mundo físico tenemos una identidad única (1:1) que nos asigna el Estado del que somos nacionales, en el ámbito digital podemos tener infinitas identidades (1:infinito) y pueden asignarse por otros actores digitales (Por ejemplo una red social), pudiéndose disponer en una misma red social varias identidades diferentes.
Tanto en el mundo físico como en el digital se utilizan sistemas de gestión de la identidad centralizados en los que una entidad otorga la identificación bajo sus propias reglas a las que tenemos que someternos si queremos interactuar dentro de esa entidad, sea esta un Estado, una red social o una plataforma de compras “on line”.
En estos casos, nos podemos encontrar además con la posibilidad de que distintas entidades reconozcan la identificación que han realizado otras entidades. Un ejemplo de esto en el mundo físico sería la expedición de pasaportes que se reconocen por los diferentes Estados o en el mundo digital la identificación ante un determinado sitio web usando la identificación que ya hemos efectuado en alguna red social (Facebook, Google, etc.). Este tipo de reconocimiento se conoce como identidades federadas o delegadas.
En este tipo de identidades centralizadas el individuo tiene un papel muy limitado ya que como mucho puede optar entre identificarse o no en un determinado servicio web y ni siquiera esto cuando se quiere relacionar con un Estado. Esto supone que tenemos que dar todos los datos que se nos solicitan si hemos de establecer relaciones legalmente válidas ante esta entidad o Estado y carecemos de todo control acerca de como se usan o como estos se custodian.
Este sistema de gestión de la identidad centralizada encuentra graves problemas cuando lo trasladamos al mundo digital.
En nuestras relaciones “on line” proliferan de forma masiva técnicas para detectar nuestro rastro digital siendo un ejemplo de ello las denominadas “cookies” y muchas otras que permiten identificarnos sin que resulte siquiera preciso conocer nuestro nombre real para clasificarnos, elaborar nuestro perfil y poder adoptar decisiones sobre nosotros muchas veces sin nuestro conocimiento.
Es por ello por lo que se están abriendo paso otro tipo de sistemas de gestión de la identidad de carácter descentralizado merced a los cuales una sola Entidad no tiene toda la información sobre una persona sino que solamente tiene una parte de esta.
Este tipo de sistemas descentralizados permiten además lo que se conoce como “identidades digitales soberanas autogestionadas” mediante las cuales podemos establecer qué tipo de datos queremos compartir de forma tal que solo revelemos aquellos que sean los estrictamente necesarios para obtener un determinado servicio.
Además estos datos no se conservan todos juntos en una base de datos centralizada sino que se utiliza para ello la tecnología de bases de datos distribuidas (esta replicada en distintos “nodos” o “servidores”) con lo que su custodia resulta mucho más segura.

LAS DOS DIMENSIONES DE LA INFORMACIÓN Y DE LOS DATOS – Roberto L. Ferrer Serrano

Podemos observar dos dimensiones a considerar al tratar la información:

  • Cuando esta afecta a personas físicas, debemos ser extremadamente cuidadosos a la hora de transmitir esta información y pensar que puede afectar a terceros de formas que puede ser que no imaginemos en el momento en que vamos a compartir, pero que debemos respetar. Si creamos ese marco de convivencia lograremos que los demás no compartan informaciones que vayan a afectarnos a nosotros o a las personas que tenemos más cerca.

Aquí la norma de referencia será el Reglamento (UE) 2016/67 del Parlamento Europeo y del Consejo  de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y en España la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

  • Cuando esta afecta simplemente a datos que no pueden vincularse a personas, en este caso la cuestión cambia considerablemente y el principio que debe aplicarse es el de la máxima libertad y facilidad para que los datos circulen libremente.

En este caso la norma de referencia será el  REGLAMENTO (UE) 2018/1807 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de noviembre de 2018 relativo a un marco para la libre circulación de datos no personales en la Unión Europea, conocido como “Free Flow of non-personal Data”.

El principio de libre circulación de datos se ha definido como la «quinta libertad» del mercado único de la UE, junto con la libertad de movimiento de bienes, servicios, personas y capital como afirma la Secretaría de Estado para el Avance Digital. El libre flujo de datos es un requisito esencial para impulsar el crecimiento de la economía de datos dentro de la Unión Europea y el uso de la computación en la nube, por lo que es necesario garantizar que empresas y administraciones públicas puedan almacenar y procesar datos en cualquier lugar de la Unión Europea.

VIDEOVIGILANCIA EN EL ÁMBITO LABORAL Y NUEVA LEY NACIONAL DE PROTECCIÓN DE DATOS – Roberto L. Ferrer Serrano

Cada vez se encuentra más generalizada en las empresas, incluso en las de más reducido tamaño la utilización de sistemas de videovigilancia que pueden servir para mejorar la seguridad de los bienes o instalaciones de estas, pero también como medida de control de la actividad laboral de los trabajadores y empleados públicos, lo cual además puede incluir la captación de sonidos, incluidas las conversaciones de estos.

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales autoriza tal captación de imágenes y sonidos para el ejercicio de estas funciones de control.

Hay que saber que en este caso se establece la supresión de estos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. No existe una fijación expresa de este plazo en el caso de las imágenes lo que lleva a plantearse si será de aplicación este mismo plazo o bien habrá de estarse a las obligaciones generales de supresión previstas en el Reglamento Europeo de Protección de Datos en su artículo 17.

Debemos tener en cuenta que habitualmente las organizaciones realizarán el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones de forma conjunta con la del control laboral, si bien podrán hacerlo de forma exclusiva con fines de seguridad o bien solamente se podrán captar con fines estrictamente de control laboral.

Parece evidente que en el caso de que la captación se efectué con una finalidad conjunta el plazo de conservación de las imágenes será de un mes tal y como establece el Artículo 22,3 del Reglamento Europeo de Protección de Datos, surgiendo la duda de si la captación se realiza exclusivamente con finalidades de control laboral deberá suprimirse antes o después de dicho plazo al deber atenderse a los criterios generales de supresión de los datos personales.

Para determinar esta cuestión deberá también tenerse en cuenta la política de privacidad de la Entidad y los plazos de supresión que la misma haya previsto en el Registro de Actividades por lo que la conservación de las imágenes nunca podría superar aquellos previstos en dicho registro.

 Finalmente hay que tener en cuenta que habitualmente la grabación de sonidos vendrá asociada habitualmente a grabaciones de imágenes ya que entre imagen y sonido puede establecerse una relación de complementariedad que supone establecer con mayor perfección la situación que ha de registrarse permitiendo mayores cotas de transparencia.

En este caso carecería de lógica entender que las imágenes con sonido tuvieran que suprimirse en un plazo inferior a un mes y deber conservarse solamente el sonido.

Teniendo en cuenta además que la captación de imágenes con finalidades de control laboral, una vez generadas pueden estar sujetas al derecho de limitación que permite también al interesado evitar su borrado en caso necesario, debemos entender que tal tratamiento de datos no siempre supondrá una intrusión en la vida personal de este, sino que podrá utilizarse por el mismo para acreditar aquellas cuestiones que puedan resultar oportunas.

Dado que no tendría tampoco lógica alguna que las imágenes sin sonido tuvieran que suprimirse en un plazo inferior a las que sí que tienen sonido deberemos concluir que estas imágenes sin sonido captadas exclusivamente con finalidades de control laboral  podrán sujetarse al plazo máximo de un mes para su supresión y que solamente en aquellos casos en los que las grabaciones carezcan de sonido, y son necesarias en relación con los fines para las que fueron recogidas o tratadas de otro modo, deberán de conservarse durante un plazo superior.

Conclusiones de la Jornada sobre la nueva LOPDGDD del pasado día 31 de Enero en el R. e I. Colegio de Abogados de Zaragoza – Roberto L. Ferrer Serrano

De las cuestiones analizadas en la Jornada podemos concluir lo siguiente:

1. Privacidad e intimidad son dos conceptos jurídicos autónomos. Ver http://dej.rae.es/#/entry-id/E192150 y http://dej.rae.es/#/entry-id/E145530
2. La nueva LOPDGDD no establece criterios suficientes para determinar con exactitud el alcance de la expresión “intimidad” a que se refieren los artículos 87, 89 y 90 de la LOPDGDD.
3. La introducción del término “intimidad” en el articulado lleva a confusión, en el caso de que se pretendiese incluir las informaciones privadas, y en el caso de que se pretenda limitar a los conceptos meramente íntimos se trataría de una restricción injustificada de los derechos de protección de datos de los trabajadores.
4. En la mayoría de los casos podrá entenderse que “intimidad” se corresponde con un concepto ampliado que incluye informaciones meramente privadas que tendrá que analizarse en cada supuesto concreto.

Nos encontramos en nuestra opinión de una nueva muestra de cómo una redacción precipitada de una norma introduce mayor inseguridad jurídica que la que existía antes de su alumbramiento.