VIDEOVIGILANCIA EN EL ÁMBITO LABORAL Y NUEVA LEY NACIONAL DE PROTECCIÓN DE DATOS – Roberto L. Ferrer Serrano

Cada vez se encuentra más generalizada en las empresas, incluso en las de más reducido tamaño la utilización de sistemas de videovigilancia que pueden servir para mejorar la seguridad de los bienes o instalaciones de estas, pero también como medida de control de la actividad laboral de los trabajadores y empleados públicos, lo cual además puede incluir la captación de sonidos, incluidas las conversaciones de estos.

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales autoriza tal captación de imágenes y sonidos para el ejercicio de estas funciones de control.

Hay que saber que en este caso se establece la supresión de estos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. No existe una fijación expresa de este plazo en el caso de las imágenes lo que lleva a plantearse si será de aplicación este mismo plazo o bien habrá de estarse a las obligaciones generales de supresión previstas en el Reglamento Europeo de Protección de Datos en su artículo 17.

Debemos tener en cuenta que habitualmente las organizaciones realizarán el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones de forma conjunta con la del control laboral, si bien podrán hacerlo de forma exclusiva con fines de seguridad o bien solamente se podrán captar con fines estrictamente de control laboral.

Parece evidente que en el caso de que la captación se efectué con una finalidad conjunta el plazo de conservación de las imágenes será de un mes tal y como establece el Artículo 22,3 del Reglamento Europeo de Protección de Datos, surgiendo la duda de si la captación se realiza exclusivamente con finalidades de control laboral deberá suprimirse antes o después de dicho plazo al deber atenderse a los criterios generales de supresión de los datos personales.

Para determinar esta cuestión deberá también tenerse en cuenta la política de privacidad de la Entidad y los plazos de supresión que la misma haya previsto en el Registro de Actividades por lo que la conservación de las imágenes nunca podría superar aquellos previstos en dicho registro.

 Finalmente hay que tener en cuenta que habitualmente la grabación de sonidos vendrá asociada habitualmente a grabaciones de imágenes ya que entre imagen y sonido puede establecerse una relación de complementariedad que supone establecer con mayor perfección la situación que ha de registrarse permitiendo mayores cotas de transparencia.

En este caso carecería de lógica entender que las imágenes con sonido tuvieran que suprimirse en un plazo inferior a un mes y deber conservarse solamente el sonido.

Teniendo en cuenta además que la captación de imágenes con finalidades de control laboral, una vez generadas pueden estar sujetas al derecho de limitación que permite también al interesado evitar su borrado en caso necesario, debemos entender que tal tratamiento de datos no siempre supondrá una intrusión en la vida personal de este, sino que podrá utilizarse por el mismo para acreditar aquellas cuestiones que puedan resultar oportunas.

Dado que no tendría tampoco lógica alguna que las imágenes sin sonido tuvieran que suprimirse en un plazo inferior a las que sí que tienen sonido deberemos concluir que estas imágenes sin sonido captadas exclusivamente con finalidades de control laboral  podrán sujetarse al plazo máximo de un mes para su supresión y que solamente en aquellos casos en los que las grabaciones carezcan de sonido, y son necesarias en relación con los fines para las que fueron recogidas o tratadas de otro modo, deberán de conservarse durante un plazo superior.

Conclusiones de la Jornada sobre la nueva LOPDGDD del pasado día 31 de Enero en el R. e I. Colegio de Abogados de Zaragoza – Roberto L. Ferrer Serrano

De las cuestiones analizadas en la Jornada podemos concluir lo siguiente:

1. Privacidad e intimidad son dos conceptos jurídicos autónomos. Ver http://dej.rae.es/#/entry-id/E192150 y http://dej.rae.es/#/entry-id/E145530
2. La nueva LOPDGDD no establece criterios suficientes para determinar con exactitud el alcance de la expresión “intimidad” a que se refieren los artículos 87, 89 y 90 de la LOPDGDD.
3. La introducción del término “intimidad” en el articulado lleva a confusión, en el caso de que se pretendiese incluir las informaciones privadas, y en el caso de que se pretenda limitar a los conceptos meramente íntimos se trataría de una restricción injustificada de los derechos de protección de datos de los trabajadores.
4. En la mayoría de los casos podrá entenderse que “intimidad” se corresponde con un concepto ampliado que incluye informaciones meramente privadas que tendrá que analizarse en cada supuesto concreto.

Nos encontramos en nuestra opinión de una nueva muestra de cómo una redacción precipitada de una norma introduce mayor inseguridad jurídica que la que existía antes de su alumbramiento.

EL DELEGADO DE PROTECCIÓN DE DATOS (II) – Roberto L. Ferrer Serrano

Se encuentran obligadas al nombramiento de un DPO las empresas que realizan tratamiento de datos como actividad principal de organización, por tanto, debemos conocer los tipos de empresas que requieren contratarlo:

        A) Empresas que realizan un tratamiento relevante de datos

El Considerando 91 del Reglamento proporciona algunas orientaciones acerca del concepto de “relevante” pero no es posible dar un número preciso con respecto a la cantidad de datos tratados o al número de personas afectadas.

Según el Grupo de Trabajo para la privacidad de la Unión Europea se pueden tener en cuenta los siguientes factores para determinar si el tratamiento se realiza a gran escala:

  • El número de sujetos
  • El volumen de datos que se están procesando
  • La duración o permanencia de la actividad de procesamiento de datos
  • La extensión geográfica de la actividad de procesamiento

 

Ejemplos de procesamiento relevante:

  • procesamiento de datos de pacientes en el curso regular de los negocios por un hospital
  • procesamiento de datos de viaje de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, seguimiento a través de tarjetas de viaje)
  • procesamiento de datos geolocalización en tiempo real de los clientes de una cadena internacional de comida rápida para fines estadísticos por un procesador especializado
  • procesamiento de datos de clientes en el curso normal de los negocios por una compañía de seguros o un banco
  • procesamiento de datos personales para publicidad conductual mediante un motor de búsqueda
  • procesamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet

         B) Monitorización regular y sistemática de actividades personales

La noción de control periódico y sistemático de los datos no está definida en el Reglamento, aunque:

 

  1. El concepto de “control del comportamiento de los interesados” se menciona en el Considerando 24 e
  2. Incluye todas las formas de seguimiento y perfiles en Internet o realizados con fines de publicidad conductual

 

El Grupo de Trabajo interpreta ‘regular’ como:

  • Repetido a intervalos particulares durante un período determinado
  • Recurrentes o repetidos en horarios fijos
  • Constantemente o periódicamente

 

E interpreta “sistemático” como:

  • Propio de un sistema
  • Preparado, organizado o metódico
  • Realizado en el marco de un plan general de recogida de datos
  • Realizado como parte de una estrategia empresarial

         C) Empresas que tratan categorías especiales de datos y datos relacionados con las actividades delictivas

En este supuesto se encuentran los tratamientos de datos de salud, orientación sexual, creencias, ideología, etc. El Reglamento en su artículo 37 se refiere:

  1. al tratamiento de categorías especiales de datos de conformidad con el artículo 9 y
  2. a los datos personales relativos a las condenas penales y los delitos enunciados en el artículo 10.

        D) Autoridades u organismos públicos

Se engloban tanto autoridades nacionales, regionales y locales, como otros organismos de derecho público donde la presencia de un DPO puede ser necesaria para proporcionar una protección adicional a los interesados.

 

Como ejemplos encontramos:

  1. servicios de transporte público
  2. suministro de agua y energía
  3. infraestructuras viarias o
  4. los colegios profesionales

EL DELEGADO DE PROTECCIÓN DE DATOS (I) – Roberto L. Ferrer Serrano

El nombramiento del Delegado de protección de datos (DPO por sus siglas en inglés) es una obligación de las empresas, en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Antes de realizar tratamientos de datos cuando exista un alto riesgo para los derechos y libertades de las personas físicas las empresas deberán:

  • Consultar a su Delegado de Protección de Datos (que estará dotado de inmunidad en sus funciones) y,
  • Realizar una evaluación del impacto de dichas operaciones

La función principal de esta figura consiste en participar en todas las cuestiones relativas a la protección de datos personales:

A) de forma adecuada y

B) en tiempo oportuno

Existen estimaciones que elevan entre 50000 a 75000 Delegados en la Unión Europea.

Supuestos de empresas afectadas

Se trata de empresas que tengan como actividad principal de organización el tratamiento de los datos y las actividades principales de un responsable del tratamiento se refieren a “actividades principales” y debemos tener en cuenta que:

a) Son las operaciones clave necesarias para alcanzar las metas de la organización de que se trate y

b) No deben interpretarse en el sentido de excluir las actividades en las que el tratamiento de datos forma parte inseparable de la actividad del responsable del tratamiento o del procesador. Pensemos, por ejemplo, en un hospital cuya actividad principal es proporcionar atención médica y necesita procesar datos de salud con el fin de dar el debido cuidado médico a los pacientes. Por lo tanto, el procesamiento de estos datos médicos requerirá la figura del DPO.

 

 

FUNCIONES DEL DELEGADO DE PROTECCIÓN DE DATOS – Roberto L. Ferrer Serrano

Tras centrarnos en las actividades y en los tipos de empresas que requerían contratar un Delegado de Protección de datos (DPO), vamos a tratar las funciones que desarrolla el DPO y que las empresas respaldarán facilitando:   

  • recursos necesarios para el desempeño de las mismas
  • acceso a los datos personales y a las operaciones de tratamiento
  • mantenimiento de conocimientos especializados
  • garantizarán que no reciba ninguna instrucción en el desempeño de sus funciones y no será destituido ni sancionado por el responsable o el encargado
  • solo rendirá cuentas directamente al más alto nivel jerárquico de la empresa

Entre las funciones figuran:

a) informar y asesorar al responsable o al encargado del tratamiento y a sus empleados de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros

b) supervisar el cumplimiento de lo dispuesto en las anteriores normas y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del Reglamento

d) cooperar con la autoridad de control (En España la Agencia Española de Protección de Datos)

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del Reglamento, y realizar consultas

¿QUIÉN PUEDE DESARROLLAR LAS FUNCIONES DE DELEGADO DE PROTECCIÓN DE DATOS? – Roberto L. Ferrer Serrano

Ésta es una de las dudas que se nos plantean puesto que se trata de una función que puede ser asumida por:  

  1. trabajadores de la empresa o  
  2. por profesionales especializados mediante un régimen de contratación de arrendamiento de servicios (como un Abogado), pudiéndose optar por equipos interdisciplinares en los que se combinen diferentes habilidades individuales que, trabajando en equipo, puedan servir más eficientemente a la organización.  

En cualquier caso, el artículo 37, apartado 5, del Reglamento Europeo dispone que el DPO será designado atendiendo a:

  • sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho
  • la práctica en materia de protección de datos y
  • a su capacidad para desempeñar las funciones indicadas en el artículo 39 del Reglamento

Se deberán atender los siguientes aspectos:

A) Nivel de experiencia

Es una cuestión que debe ser proporcional a la complejidad y cantidad de datos que una organización procesa.

Y existe una diferencia en función de si la organización transfiere sistemáticamente datos personales fuera de la Unión Europea o si son ocasionales

B) Cualidades profesionales

  • Experiencia en leyes y prácticas nacionales y europeas de protección de datos, y conocimiento del Reglamento Europeo de Protección de Datos y del sector empresarial
  • Comprensión de las operaciones de procesamiento de datos realizadas, de los sistemas de información y de las necesidades de seguridad de los datos

 

C) Capacidad para realizar sus tareas

La capacidad para cumplir las tareas se refiere tanto a sus cualidades y conocimientos personales, como a su puesto dentro de la organización.

Este sitio web utiliza cookies propias y de terceros para analizar el tráfico de la red, así como poder personalizar la información que ofrece a sus usuarios o promover sus servicios. Seguir navegando en este sitio implica aceptar su uso. Información para cambiar esta configuración y obtener más detalles sobre nuestra política de cookies en el botón "leer más"

LEER MÁS ACEPTAR
Aviso de cookies