Registro laboral mediante huella y reconocimiento facial

En noviembre de 2023 la AEPD publicó una nueva guía sobre el tratamiento de datos biométricos, en lo referente al control laboral o registro de la jornada mediante huella dactilar o reconocimiento facial.

Aunque ya hemos hablado sobre las nuevas directrices, queremos hacer un resumen del nuevo criterio seguido por las autoridades de control. Pueden consultar la guía completa en la web de la AEPD pulsando aquí.

Nuevos criterios

  • No hay una prohibición expresa, pero tampoco tenemos habilitación legal: lo que nos dice la AEPD es que la habilitación del art. 20.3 y 34.9 ambos del Estatuto de los Trabajadores no es suficiente para legitimar a la empresa a utilizar este sistema, como tampoco es suficiente el Real Decreto-Ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. Se trata de un cambio de criterios. Esto no impide que una norma con rango de Ley habilite a las empresas, pero actualmente no existe un Ley que no permita este uso sin realizar una Evaluación de Impacto y, en su caso, solicitar autorización a la AEPD.
  • Cambio de criterios: tras la decisión de abril del Comité Europeo de Protección de Datos, tanto la autenticación como la identificación biométrica deben ser considerados datos sensibles.
  • Se trata de una guía: se establecen recomendaciones para realizar esta clase de tratamiento de datos. Ello no significa que sea obligatorio, pero reiteramos una vez que no hay una prohibición expresa, pero el procedimiento que debemos seguir para obtener un tratamiento de datos adaptado a la legislación es muy complejo.
  • Futuras consecuencias: la recomendación que hacemos desde LegalDPO es que se comiencen a implementar sistemas alternativos de registro o control laboral. Por favor, consulten al proveedor del sistema de control o registro para encontrar soluciones alternativas. La mejor opción y más eficaz:
    • Control mediante aplicación móvil o web
    • Control mediante tarjetas
    • Control mediante códigos de seguridad

Por último, recordar la necesidad estar en disposición de adoptar medidas menos intrusivas para los derechos y libertades de los trabajadores[1].


[1] En palabras de la AEPD, p. 29, “Guía sobre tratamientos de control de presencia mediante sistemas biométricos” (https://www.aepd.es/documento/guia-control-presencia-biometrico.pdf.)

Otras cuestiones de la guía

La guía no solo hace referencia al control laboral mediante huella dactilar, un método bastante cómodo para las empresas a la hora de controla el absentismo laboral y el cumplimiento de las obligaciones laborales. También hace referencia a otros usos de datos biométricos para el control de presencia, por ejemplo. Consulte la guía completa si utiliza datos biométricos en sus empresa.

Para más información, puede acceder a su área de clientes pulsando aquí. Si ha olvidado su contraseña, utilice el apartado “ha olvidado su contraseña”. No dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.

Derechos de los clientes

La normativa vigente de protección de datos concede a los interesados una serie de derechos que debemos tramitar. Recogidos en los artículos 15 a 22 del Reglamento Europeo General de Protección de Datos (2016/679 (RGPD) y en los artículos 13 a 18 de la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), los derechos de los interesados son: acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

Transparencia e información

Aunque en ocasiones no se tiene en cuenta, el primer derecho de los interesados o clientes es el derecho a obtener información clara, transparente e inteligible sobre el tratamiento de datos que hacemos. Este derecho se impone como un deber a las empresas o profesionales que tratan datos y es que debemos ofrecer los detalles sobre cómo y para qué vamos a tratar los datos. Este deber se cumple con las cláusulas correspondientes que deberán incluirse en la documentación o formularios que utilicemos. En su área de clientes dispone del principio de información con las cláusulas jurídicas adaptadas a su empresa.

Derechos

Acceso

Se trata de la solicitud para conocer si tratamos o no los datos de un interesado. En caso de tratar los datos, debemos ofrecer la siguiente información: copia de los datos, la finalidad del tratamiento, procedencia, las posibles cesiones o transferencias internacionales, plazo de conservación, la posibilidad de solicitar la rectificación o supresión de los datos, reclamar antes la AEDP, entre otras.

Rectificación

La posibilidad del interesado de solicitar la rectificación de los datos personales que obran en nuestro poder, a la mayor brevedad posible, o que se complete la información incompleta. Este derecho requiere que el interesado haga referencia a los datos inexactos o incompletos, además de acreditar con la documentación correspondiente que lo justifique.

Oposición

El interesado o cliente puede oponerse a que trataremos sus datos, teniendo en cuenta dos supuestos:

  1. Si realizamos el tratamiento con fines de interés público o en base a nuestro interés legítimo (artículos 6.1.c y f RGPD, respectivamente), debemos cesar en el tratamiento de datos salvo que acreditemos motivos suficientes que prevalezcan sobre los intereses y derechos del interesado. Asimismo, podremos seguir tratando los datos para el ejercicio o defensa frente a reclamaciones.
  2. Cuando tratemos los datos con fines de mercadotécnica directa o publicitaria, dejaremos de tratar los datos. Tendremos en cuenta que si se ejerce el derecho solo para esta finalidad, podemos seguir tratando los datos para el resto de finalidades con los que fueron recogidos.

Supresión (olvido)

Supone la posibilidad de que el cliente solicite la supresión de todos sus datos en los siguientes supuestos, que aunque existen otros, la regla general es que debemos tratar de atender el derecho de supresión en la medida de lo posible:

  • Cuando los datos ya no son necesarios para el fin con el que los recogimos
  • Nos retiren el consentimiento prestado siempre que no exista otra base legitimadora del artículo 6 RGPD.
  • Cuando hayamos hecho un tratamiento ilícito
  • Cuando debamos suprimirlos para cumplir con una obligación legal

Por otro lado, encontramos su extensión o denominación como “derecho al olvido” ya que en caso de que nos soliciten este derecho y los datos del interesado los hayamos comunicado o cedido a terceros, tendremos que asegurarnos que esos terceros eliminen los datos, enlaces o cualquier copia sobre los datos del interesado.

Ahora bien, el derecho de supresión no es ilimitado. La supresión no procede o puede no ser factible cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

Limitación del tratamiento

Este derecho apareció con la entrada en vigor del Reglamento Europeo General de Protección de Datos (2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD). Supone que el interesado pueda obtener la limitación del tratamiento de sus datos. No debe confundirse con el bloque de los datos que se regulaba antes de la entrada en vigor de la normativa citada.

Este derecho se podrá ejercer cuando concurra alguna de las siguientes condiciones:

  • El interesado o cliente impugne la exactitud de los datos personales, durante un plazo que nos permita la exactitud de los mismos.
  • El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.
  • Lo datos del cliente ya no son necesarios para los fines del tratamiento, pero el interesado sí los necesita para el ejercicio o defensa de reclamaciones.
  • El interesado se haya opuesto al tratamiento, mientras verificamos si nuestros motivos deben prevalecer sobre los suyos.

Portabilidad

Este derecho permite a los clientes o interesados cuyos datos son tratados de forma automatizada a recibir o transmitir sus datos a otro responsable en un formato estructurado, de uso común, de lectura mecánica, cuando el tratamiento esté legitimado por el consentimiento expreso del cliente o por ejecución contractual.

Ahora bien, como venimos viendo a lo largo de este artículo, el derecho no se aplicará cuando el tratamiento se realice con fines de interés público o en el ejercicio de poderes públicos conferidos al responsable.

Derecho a no ser objeto de decisiones individuales automatizadas

Este derecho garantiza a los clientes a no ser objeto de decisiones que esté basado exclusivamente en decisiones automatizadas y que produzcan efectos jurídicos, como por ejemplo la predicción de aspectos personales, rendimiento laboral, situación económica, salud, intereses personales o comportamiento.

Las excepciones a este derecho se encuentran en la necesidad de realizar el tratamiento por ejecución de un contrato con el cliente o por haber obtenido el consentimiento expreso de forma previa. En todo caso, debemos garantizar la intervención humana en ambos supuestos.

Características generales de los derechos de los clientes

  • El ejercicio de los derechos debe ser gratuito
  • Cuando el ejercicio del derecho sea repetitivo o excesivo, podremos negarnos a contestar o incluso cobrar un canon
  • Debe responderse en el plazo de un mes, pudiendo ampliarse este plazo cuando el derecho sea complejo o exista un alto número de solicitudes
  • Facilitar a los clientes la información sobre cómo y dónde pueden ejercer sus derechos
  • Cuando el derecho se haya ejercido por medios electrónicos, debemos contestarlo por el mismo medio, salvo que nos soliciten otro medio
  • En todo caso debemos informar de la actuación o no actuación frente al ejercicio
  • Se pueden ejercer los derechos por medio de representante legal o voluntario. En todo caso confirmar dicha representación
  • El derecho podremos contestarlo directamente nosotros o un encargado del tratamiento con el que así lo hayamos pactado

Deberes y obligaciones de las empresas

Además de disponer del protocolo de contestación al ejercicio de derechos, debemos cumplir con el resto de principios de protección de datos del artículo 5 RGPD, que se traduce en diferentes obligaciones sobre el registro de actividades del tratamiento, cláusulas informativas, registro de brechas de seguridad, formación de empleados, entre otras.

Para más información, puede acceder a su área de clientes pulsando aquí. Si ha olvidado su contraseña, utilice el apartado “ha olvidado su contraseña”. No dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.

Obligaciones legales en la página web: Protección de datos, uso de cookies y más

En esta entrega explicaremos las obligaciones legales que debemos cumplir para asegurar el cumplimiento normativo en nuestra página web. Desde la protección de datos hasta el uso de cookies, condiciones generales de contratación y otras cuestiones relevantes. Todas estas cuestiones las analizamos en base a la normativa vigente, tanto el Reglamento Europeo General de Protección de Datos (2016/679 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE), la Ley General para la Defensa de los Consumidores y Usuarios, así como la reciente Guía sobre cookies de la AEPD.

Textos legales necesarios

La primera obligación es facilitar el acceso al aviso legal, política de privacidad, política de cookies y, en su caso, condiciones de compra. Pude servir de ejemplo nuestro sitio web www.legaldpo.es

Aviso legal

Un aviso legal es fundamental y debe incluir información sobre la identidad del titular del sitio web, términos y condiciones de uso del sitio, limitación de responsabilidad, propiedad intelectual, jurisdicción y legislación aplicable, entre otras cuestiones

Política de privacidad

Esta política debe detallar cómo se recopilan, utilizan, protegen y gestionan los datos personales de los usuarios. Debe incluir información sobre el responsable del tratamiento de datos, los derechos de los usuarios y cómo ejercerlos, entre otros aspectos. La política de privacidad sirve como la “información adicional y detallada” sobre el tratamiento de datos que hacemos, dando cumplimiento a los artículos 13 del RGPD y 11 LOPDGDD.

Información por capas

Siguiendo la guía y directrices de la AEPD, es necesario ofrecer a los usuarios la información sobre el tratamiento de datos de dos modos:

Primera capa: será la información básica, de forma clara y sencilla sobre el tratamiento de datos que realizamos. A modo de ejemplo, en un formulario de contacto se podrá incluir mediante un enlace, texto fijo, scroll, imagen o en cualquier formato, la información sobre nuestra empresa, finalidad del uso de los datos, posibles destinatarios, plazos de conservación y ejercicio de derechos. Puede consultar el apartado “contacto” de nuestra web en www.legaldpo.es.

Segunda capa: enlace que estará disponible desde el pie de página y desde la información de primera capa. Detallaremos en profundidad toda la información sobre el tratamiento de datos, de manera lícita, lela y transparente.

Política de cookies

Informa a los usuarios sobre el uso de cookies en tu sitio web, incluyendo qué tipos de cookies utilizas, para qué fines y cómo pueden gestionar sus preferencias de cookies, ya sea para mejorar o recordar su visita al sitio web.

Consentimiento de cookies: debemos obtener el consentimiento explícito de los usuarios antes de utilizar cookies no esenciales en nuestro sitio web. Esto puede hacerse mediante un banner de cookies, pop up o una ventana emergente que informe y solicite el consentimiento. Será necesario ofrecer a los usuarios información sobre estas (analíticas, de publicidad, estadísticas, etc) y ofrecer al usuario la posibilidad de desactivar o activar aquellas cookies que no son necesarias para navegar por el sitio web. Obtenga información adicional sobre el consentimiento para el uso de cookies en la reciente publicación de la AEPD.

Condiciones de compra. Política de e- Commerce

Por último, si realizamos venta electrónica, tenemos la obligación de disponer un unas condiciones de compra completas. Aunque se tratará en otro artículo que puede leer pulsando aquí, esta política es fundamental, no solo para evitar sanciones, sino porque sin ella no podremos obtener ni implementar en nuestra web un TPV o plataforma de pago virtual. Por otro lado, estaremos incumpliendo la Ley General para la Defensa de los Consumidores y Usuarios y, en caso de conflicto, se aplicará íntegramente lo dispuesto en la Ley, sin perjuicio de las infracciones y sanciones que podemos incurrir.

Legislación aplicable

Reglamento General de Protección de Datos (RGPD): Si operas en la Unión Europea o recopilas datos de ciudadanos europeos, debes cumplir con el RGPD, que establece normas estrictas sobre el manejo de datos personales.

Ley de Protección de Datos Personales: En otros países, asegúrate de cumplir con la legislación nacional sobre protección de datos personales. Esto puede variar según la región, pero por lo general incluye regulaciones similares al RGPD.

Ley de Servicios de la Sociedad de la Información (LSSI): Si operas en España, la LSSI regula el comercio electrónico y los servicios en línea, incluyendo disposiciones sobre información y contratación electrónica.

Seguridad de datos

Es necesario implementar medidas de seguridad adecuadas para proteger los datos personales de los usuarios, como el cifrado de datos, el acceso restringido y la capacitación del personal. En el “Manual de seguridad técnica” de su documentación dispone de algunas recomendaciones para garantizar un tratamiento de datos seguro. Estas recomendaciones las podrá encontrar en la documentación sobre la página web del área de clientes.

Tiene disponible toda la documentación en su área de clientes. Puede acceder pulsando aquí. Si ha olvidado su contraseña, utilice el apartado “ha olvidado su contraseña”. No dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.

Todo sobre e-Commerce

Todo lo que necesita saber sobre las obligaciones legales en el e-commerce, es crucial entender estas leyes para garantizar una operación legal y ética en el mundo del comercio electrónico, todo ello en base al Reglamento Europeo General de Protección de Datos (2016/679 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE), la Ley General para la Defensa de los Consumidores y Usuarios, así como las guía y directrices de la AEPD.

Política de compra

La política de compra es una guía esencial que establece las reglas para la interacción entre nuestro negocio y los clientes. Algunos aspectos que debemos incluir son:

Proceso de compra:

Detalla paso a paso cómo realizar una compra en el sitio web, desde la selección de productos hasta el pago.

Política de devoluciones:

Se especifican las condiciones bajo las cuales los clientes pueden devolver productos y solicitar reembolsos. Esto puede incluir plazos para devoluciones, estado del producto, etc. Recuerde que en caso de no indicarlo, la legislación vigente establece que los usuarios o compradores podrán desistir sin motivo alguno por un plazo de 30 días desde la compra, salvo las excepciones del artículo 103 de la LGDCU.

Tiempos de entrega:

Establece los plazos de entrega estimados y las condiciones de envío, incluyendo costos adicionales si los hubiera.

Métodos de pago:

Lista los métodos de pago aceptados y asegúrate de cumplir con los estándares de seguridad de pago en línea, como el uso de certificados de seguridad (SSL), entre otros.

Condiciones generales de contratación

Estas condiciones son el contrato entre nuestro negocio y nuestros clientes. Deben abordar aspectos como:

Responsabilidades del vendedor y del comprador:

Especifica claramente quién es responsable de qué en cada etapa del proceso de compra y entrega.

Derechos y obligaciones:

Detalla los derechos y obligaciones tanto del cliente como del vendedor para evitar malentendidos o disputas, así como información sobre las garantías que ofrecemos al usuario o las que ofrece el proveedor.

Resolución de conflictos:

Indica cómo se resolverán las disputas entre ambas partes y la jurisdicción aplicable en caso de litigio.

Protección de datos personales:

Se describirán cómo manejamos los datos, con que finalidad, a quién cederemos los datos, la forma de ejercer derechos, entre otras cuestiones. Puede consultar información detallada sobre las obligaciones legales de la página web y la protección de datos en nuestro artículo publicado en el blog pulsando aquí.

Leyes de aplicación

Es fundamental conocer las leyes que regulan el comercio electrónico. En nuestro caso, encontramos leyes de protección al consumidor; leyes y disposiciones europeas sobre garantías, desistimiento; normativa fiscal como la facturación electrónica y el tratamiento del IVA en las ventas en línea; legislación sobre comercio electrónico transfronterizo  si operamos en varios países. Cumplir con estas obligaciones legales no solo es una obligación, sino que también genera confianza y credibilidad entre nuestros clientes.

Para más información, puede acceder a su área de clientes pulsando aquí. Si ha olvidado su contraseña, utilice el apartado “ha olvidado su contraseña”. No dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.


[1] Reglamento Europeo General de Protección de Datos (2016/679 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE), la Ley General para la Defensa de los Consumidores y Usuarios, así como las guía y directrices de la AEPD.

¿Qué documentos tienen que firmar los empleados?

Como empresa o profesional con trabajadores a nuestro cargo, debemos observar la normativa vigente, no solo en materia de protección de datos, RGPD y LOPDGDD, también la legislación laboral, en especial el Estatuto de los Trabajadores.

El Estatuto, en su artículo 5, establece unas normas básicas para los trabajadores que son inherentes a la relación laboral o contractual:

Los trabajadores tienen como deberes básicos:

a) Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad con las reglas de la buena fe y diligencia.

b) Observar las medidas de prevención de riesgos laborales que se adopten.

c) Cumplir las órdenes e instrucciones del empresario en el ejercicio regular de sus facultades directivas.

d) No concurrir con la actividad de la empresa, en los términos fijados en esta ley.

e) Contribuir a la mejora de la productividad.

f) Cuantos se deriven, en su caso, de los respectivos contratos de trabajo.

Como se desprende de la literalidad de este artículo, quedan en el aire muchas cuestiones como la confidencialidad, la competencia desleal, la responsabilidad por mal uso de la información, entre otras. Por ello, en este artículo veremos qué documentación debemos firmar o entregar a los empleados. Se encuentra disponible en su área de clientes. Contacte con el departamento jurídico en caso de duda o escriba a hola@legaldpo.es.

Documentación para empleados

Manual de funciones y obligaciones del personal

En este documento reflejamos no solo los deberes básicos de los empleados, también les ofrecemos información sobre:

  • Normas de uso de dispositivos y documentos.
  • Obligaciones de confidencialidad y la regulación de la competencia desleal,
  • Deber de colaboración en caso de brecha de seguridad en los datos de nuestra empresa.
  • Medidas de seguridad técnica y organizativa que deben aplicar en su día a día.

También se incluye el principio de información a los trabajadores sobre cómo vamos a utilizar sus datos, si los vamos a ceder a terceros o a organismos públicos, si comunicaremos datos de RLC Y RNT (antiguos TC1 y TC2) a posibles empresas contratistas, cómo realizamos el registro de la jornada laboral, sus derechos a la desconexión digital, a recibir comunicaciones, entre otras. Se utilizará para cuestiones como, por ejemplo, la instalación de cámaras de videovigilancia en la empresa y su finalidad, vehículos o móviles llevan instalados  sistemas de geolocalización, qué haremos con el móvil o correo electrónico en caso de baja temporal o permanente. Todo esto se tratará más adelante.

En definitiva, utilizaremos este documento para cumplir con nuestras obligaciones como empresa, pero sobre todo lo utilizaremos para que el trabajador conozca sus deberes y derechos y para regular las cuestiones que fueran relevantes. Este documento se podrá modificar según las necesidades de cada uno, por lo que no dude en contactar con nosotros y actualizarlo en caso que fuera necesario.

NOTA: En caso de que algún empleado se niegue a firmarlo, igualmente le entregaremos el documento o se lo enviaremos por correo electrónico, siendo la prueba de que ha recibido la información. Con ello el trabajador quedará obligado a aquellas cuestiones que no requieran su consentimiento expreso (por ejemplo para publicar sus fotos en redes sociales o para incluir su teléfono personal en un grupo de WhatsApp).

Responsable informático

El empleado que gestione los sistemas informáticos de la empresa deberá cumplir una serie de medidas adicionales por razón de su puesto, ya que podrá tener acceso a la totalidad de la información de nuestra empresa.

En caso de ser realizado por empresa o profesional externo, autónomo, se firmará un contrato de acceso a datos o contrato de encargado del tratamiento que tiene disponible en su área de clientes.

Cláusula informativa para empleados grabados en las instalaciones

Si disponemos de sistemas de videovigilancia que realizan grabaciones en nuestra empresa, será necesario informar a los empleados. No hay que confundir si las cámaras son de seguridad y graban en caso de activación de una alarma, si las grabaciones son con fines de seguridad de las instalaciones o si vamos a emplear también esas grabaciones para control laboral. Lea nuestro artículo sobre esta cuestión en el que detallamos todos los aspectos que debe tener en cuenta.

Política de teletrabajo

Tras la pandemia por COVID-19, el teletrabajo ha pasado a ser algo muy habitual en la mayoría de las empresas españolas. Aunque el Manual de funciones y obligaciones al que hemos hecho referencia contempla las medidas que debe aplicar todo trabajador, realice el trabajo dentro o fuera de las oficinas, es necesario contemplar las condiciones del teletrabajo, horario, qué dispositivos entregamos y obligaciones específicas. En LegalDPO disponemos de un modelo de política de teletrabajo que podrá adaptar a cada caso particular y con el que dará cobertura a todo lo mencionado.

Cesión de derechos de imagen

Es muy habitual que utilicemos imágenes de la empresa para publicarlas en nuestra web o redes sociales con el objetivo de promocionar nuestra actividad. En ocasiones los empleados podrán aparecen en ellas y debemos cumplir ciertos requisitos.

Es necesario solicitar el consentimiento expreso para esta finalidad a través de la cláusula correspondiente.

Información sobre geolocalización de dispositivos y/o vehículos

Aunque en nuestro artículo sobre dispositivos geolocalizados, que puede leer aquí, ofrecemos información detallada, les recordamos:

  • Es necesario informar a los trabajadores si dispositivos o vehículos llevan sistemas GPS, pero no es necesario su consentimiento expreso si los dispositivos o vehículos son de la empresa, solo se informará.
  • En caso de querer instalar algún sistema en dispositivos o vehículos privados, sí será necesario el consentimiento expreso, aunque no recomendamos hacer esta acción salvo que sea por motivos de seguridad de las personas.
  • Registro de jornada laboral a través de móvil con aplicación que registra la ubicación: si el móvil es de la empresa debemos informar. En caso de dispositivo privado, necesitamos el consentimiento expreso y si no lo obtenemos, tendremos que ofrecer un sistema de registro alternativo.
  • Acceda a información detallada sobre la geolocalización aquí.

Monitorización de los equipos

Cabe la posibilidad de revisar los equipos que utilizan los empleados. Siempre respetando el derecho a la intimidad, recogido en el artículo 87 de la LOPDGDD, tendremos que informar sobre este aspecto y establecer los límites.

Registro de jornada laboral

Aunque ya hemos hecho referencia a este asunto, vamos a establecer las condiciones, límites y obligaciones del registro de la jornada laboral, de acuerdo con el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo  y a la guía del Ministerio de Trabajo y Economía Social. Esta obligación se desprende del artículo 34.9 del Estatuto de los Trabajadores, la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria (…).

Empleados autónomos

Los empleados autónomos, económicamente dependientes o no de nuestra empresa, por su condición de profesional o empresario individual, firmar un contrato de acceso a datos o contrato de encargado del tratamiento. Este contrato es similar al que firmamos con proveedores y que recogen todas las obligaciones sobre el tratamiento de datos.

Por otro lado, será necesario que firmen documentación específica sobre registro de jonda, videovigilancia, cesión de derechos de imagen y todo aquello que sea de aplicación.

Tiene disponible toda la documentación en su área de clientes. Puede acceder pulsando aquí. Si ha olvidado su contraseña, utilice el apartado “ha olvidado su contraseña”. No dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.

Móvil y correo electrónico de los trabajadores

En esta ocasión veremos las cuestiones más relevantes sobre el uso de dispositivos por parte de los trabajadores/as. Tanto móviles de empresa como personales, ordenadores portátiles, tablets, correos electrónicos o cualquier dispositivo o medios que el personal utilice para el desarrollo de sus funciones.

¿Puede el empleado utilizar su móvil o correo personal en el trabajo?

Para uso personal durante la jornada laboral no debería hacerse uso de los dispositivos privados, salvo en los momentos de descanso, por motivos de urgencia o por acuerdo entre empresa y trabajador. Distinguiremos el uso de dispositivo personal y de empresa:

  1. Dispositivos de empresa: podemos limitar el uso de estos para asuntos privativos. Tendremos que indicar a los trabajadores qué pueden o no pueden hacer con los móviles, ordenadores o dispositivos que les facilitamos para la realización de sus funciones.
  2. Dispositivos personales: podemos limitar el uso durante la jornada laboral o acordar con el empleado los criterios de uso. En todo caso, tendremos que respetar la legislación vigente sobre la conciliación de la vida profesional y personal, atender a cuestiones como la existencia de hijos/as, personas dependientes del trabajador/a, derechos a la desconexión digital, entre otras.

Todas estas cuestiones deberían quedar reflejadas en el “manual de funciones y obligaciones” que está disponible en su área de clientes. Contacte con el departamento jurídico en caso de duda o escriba a hola@legaldpo.es.

¿Puedo acceder al móvil de empresa o correo del trabajador para revisarlo?

Tenemos el derecho a controlar y supervisar el uso que hacen los trabajadores. El Estatuto de los Trabajadores nos permite establecer cualquier método o forma de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

En todo caso se deben cumplir dos requisitos para poder implementar estas medidas:

  1. Informar previamente al empleado. No es necesario el consentimiento expreso.
  2. El acceso será siempre proporcional y la supervisión no se realizará de forma indiscriminada, limitándose a la actividad laboral, salvo que exista mala fe en el uso de los dispositivos para asuntos personales.

Cumpliendo todos los requisitos y atendiendo a los límites de esta prerrogativa, las faltas, incumplimientos o incidentes cometidos por el trabajador/a podrán ser motivo de sanción por parte de la empresa.

Otras medias de seguridad

Dispositivos geolocalizados

Otra posibilidad es la de implementar un sistema de localización mediante GPS o, incluso, control de uso, datos, llamadas, etc. Como hemos mencionado, esta medida es posible al amparo del artículo 20.3 del Estatuto de los Trabajadores, siendo necesario informar a los empleados de las medidas aplicadas. Puede consultar información adicional en el artículo publicado en nuestro blog pulsado aquí.

Política de uso y medidas organizativas

Será necesario establecer una política de uso de los dispositivos que entregamos a los empleados, ya sean propiedad de la empresa o personales. Resulta fundamental para dar por cumplido el principio de información y realizar los controles.

Otra cuestión relevante es la garantía del derecho a la desconexión digital, artículo 88 de la LOPDGDD. Esta política deberá comunicarse a los trabajadores, sobre todo en los casos que realicen teletrabajo de forma total o parcial. Contacte con nosotros para obtener más información.

Será necesario tener implementado y que los empleados conozcan el protocolo de actuación frente a brechas de seguridad, ya que en caso de pérdida o robo del dispositivo, de datos, será imprescindible analizar la brecha y comunicarla a la AEPD. Para más información consulte nuestra entrada sobre las brechas de seguridad.

Medidas de seguridad técnicas

Aplicaremos medidas de seguridad técnicas tales como contraseñas en los dispositivos, restricciones o cualquier medida de seguridad básica. Siempre atenderemos al estado de la técnica, económico y la situación real de la empresa o actividad, puesto que en cada caso concreto tendremos que aplicar unas medidas u otras.

Todas las medidas, recomendaciones o requisitos mencionados son de igual aplicación para cuentas de correo electrónico corporativas, aplicaciones de mensajería, así como cualquier recurso puesto a disposición del personal, incluyendo cuentas de Skype, Teams, entre otras. Todo ello es propiedad de la empresa, aunque debemos informar debidamente como venimos diciendo. En caso de que el trabajador/a utilice medios personales de los aquí descritos para la realización de sus funciones, necesitaremos establecer los límites, obligaciones y prohibiciones.

Todo ello quedará reflejado en el manual de funciones y obligaciones del personal. Tenga en cuenta que todas estas recomendaciones y medidas se pueden adaptar a las necesidades de cada empresa o profesional autónomo.

Para poder dar una mejor respuesta, no dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.


.

Dispositivos geolocalizados

En esta entrega os traemos varias cuestiones a tener en cuenta sobre la geolocalización, dispositivos, vehículos o aplicaciones con sistema GPS que utilizamos en nuestra empresa. Veremos que obligaciones establece tanto el RGPD 2016/679, de 27 de abril y la LOPDGDD 3/2018, de 5 diciembre, siempre amparándonos en el artículo 20.3 del Estatuto de los Trabajadores aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre

Geolocalización

En la actualidad, la geolocalización es una herramienta muy valiosa para muchas empresas, ya que permite conocer la ubicación de los usuarios y, por tanto, prestar servicios personalizados y adaptados a sus necesidades. Sin embargo, es importante tener en cuenta que determinar la ubicación implica el tratamiento de datos personales, por lo que las empresas deben cumplir con la normativa de protección de datos.

La geolocalización es una técnica que se utiliza para determinar la ubicación geográfica de un dispositivo, vehículo o persona y se ha vuelto cada vez más común en el mundo digital. Sin embargo, su uso puede tener consecuencias para la privacidad y la protección de datos personales. En primer lugar, es importante tener en cuenta que los datos de ubicación pueden ser muy sensibles, ya que pueden revelar la ubicación de una persona en tiempo real y su historial de ubicación. Esto puede ser utilizado por terceros para finalidades de seguimiento, publicidad dirigida o incluso para la comisión de delitos. Si necesita más información al respecto, no dude en contactar con LegalDPO.

Empleados

En la actualidad, muchas empresas utilizan el GPS para gestionar su flota de vehículos y para monitorizar el trabajo de sus empleados que se desplazan. Sin embargo, es importante tener en cuenta que el tratamiento de datos de geolocalización implica una serie de obligaciones legales.

Geolocalización en dispositivos de la empresa

En primer lugar, la geolocalización de los móviles de los empleados, portátiles, tablets y los vehículos de la empresa debe estar justificada por una necesidad legítima, como puede ser la optimización de rutas o la seguridad de los trabajadores. En ningún caso se puede utilizar la ubicación con fines de control laboral abusivo y, en todo caso, tendremos que informar al trabajador sobre este tratamiento de datos. Esto es de aplicación tanto a un móvil que entreguemos a los trabajadores como a las aplicaciones que utilicemos para el registro de la jornada y que tengan sistema de localización en tiempo real.

Geolocalización en vehículos de la empresa

En cuanto a los vehículos de la empresa, es importante tener en cuenta que la ubicación de los mismos también puede estar sujeta a otras normativas, como la Ley de Prevención de Riesgos Laborales o el Reglamento General de Vehículos. En este sentido, las empresas deben asegurarse de cumplir con todas las obligaciones legales que correspondan. En cuanto a la legalidad de la geolocalización de coches, existen diversas leyes que regulan el uso de dispositivos de seguimiento y localización en vehículos. La LOPDGDD establece que los datos de ubicación solo pueden ser utilizados para fines específicos y legítimos, y que los usuarios deben ser informados de forma clara y concisa sobre el uso que se da a sus datos.

¿Se necesita el consentimiento expreso para realizar el seguimiento de dispositivos o vehículos de mi empresa?

Hemos dicho que la ley, tanto el art. 20.3 del Estatuto de los Trabajadores, así como el 90 de la LOPDGDD nos permiten utilizar este mecanismo cumpliendo varios requisitos:

  1. Informar al trabajador/a de forma previa, indicando la finalidad, legitimación, límites y derechos
  2. Asegurar que los datos de ubicación solo se emplearán durante la jornada laboral

Si carecemos de interés legítimo, por ejemplo para la seguridad de vehículos, control o fichaje laboral a través de una aplicación que rastrea la ubicación u otras, las empresas deben obtener el consentimiento previo y expreso de los trabajadores para el tratamiento de sus datos de localización. Este consentimiento debe ser informado y específico, es decir, debe detallar claramente la finalidad del tratamiento y las consecuencias que puede tener para los trabajadores.

Sistemas de localización en dispositivos o vehículos privados de los trabajadores

Aunque es una cuestión que no debería generar dudas, esta clase de tratamiento resulta del todo desproporcionada con las finalidades que queramos perseguir, aunque es posible.

El supuesto que no plantea problemas es implementar la localización a través de una aplicación para el registro de la jornada laboral, ya que normalmente las aplicaciones de esta clase solo la utilizan el momento de hacer el registro, sin seguimiento.

Para supuestos distintos en los que necesitemos implementar el seguimiento de la ubicación en dispositivos o vehículos privados, contacten con el departamento jurídico de LegalDPO en la dirección de correo juridico@legaldpo.es para analizar cada supuesto y conocer la viabilidad.

Derechos de los trabajadores

Los trabajadores tienen derecho a acceder, rectificar, cancelar y oponerse al tratamiento de sus datos de localización. Las empresas deben garantizar el ejercicio efectivo de estos derechos y ofrecer a los trabajadores las herramientas necesarias para hacerlo. Estos derechos, como hemos visto anteriormente, tienen sus limitaciones, pero será necesario determinar si existe la posibilidad de aplicar medidas de control menos intrusivas antes de la implementación de la geolocalización. El artículo 90 de la LOPDGDD establece que en ningún caso se podrán utilizar los datos obtenidos fuera de la jornada laboral, como límite al uso de este sistema.

En conclusión, la geolocalización de los móviles de los empleados y los vehículos de la empresa puede ser una herramienta muy útil para muchas empresas, pero es necesario cumplir con la normativa de protección de datos y otras normativas aplicables, sin necesidad de obtener el consentimiento expreso, pero siendo necesario cumplir con el principio de información.

Geolocalización de usuarios o clientes

También caben los supuestos de utilizar aplicaciones que rastrean la ubicación de nuestros clientes. Salvo que resulte imprescindible para prestar un servicio, tendremos que obtener el consentimiento expreso.

El ejemplo más habitual es el de los conductores privados o servicios de taxi que utilizan aplicaciones con rastreo en tiempo real, siendo imprescindible para localizar al cliente.

Si tiene dudas al respecto contacte con nosotros para conocer su situación.

Seguridad de la información

En cuanto a la protección de datos, las empresas deben garantizar la seguridad de los datos de geolocalización y evitar su acceso, modificación o destrucción no autorizados. Además, deben limitar el acceso a estos datos únicamente a aquellas personas que necesiten conocerlos para realizar su trabajo.

Esperamos que esta información haya sido de utilidad. Si tienes alguna duda o consulta, no dude en contactar con nosotros, escribiendo a hola@legaldpo.es o llamando al 912 300 312. Asimismo, visite nuestra web www.legaldpo.es para conocer más información sobre nuestros servicios.

Instrucciones para colocar el cartel de videovigilancia

El uso de las instalaciones de cámaras y videocámaras debe seguir ciertas reglas que rigen todo el proceso desde su captación, almacenamiento, reproducción hasta su cancelación. El responsable deberá tener en cuenta los siguientes principios:

  • Se instalará un cartel (como mínimo) en lugar visible que informe de que se está en un establecimiento videovigilado. LEGALDPO le proveerá del mencionado cartel con todas aquellas estipulaciones exigidas por la legislación.
  • Deberá colocarse un cartel en cada entrada que de paso a una estancia videovigilada. Ej. Tenemos una instalación con 3 entradas y dos de ellas dan paso a un recinto principal videovigilado. Cada entrada deberá tener un cartel. La tercera entrada da paso a una estancia privada para el personal que no está vigilada por cámaras, no necesitará cartel. Sin embargo, la estancia del personal si da paso al recinto principal videovigilado, por lo que si necesitará cartel. En total, debemos colocar 3 carteles.
  • Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en el que se traten los datos.
  • Debe informarse sobre la captación y/o grabación de las imágenes. Ej. Incluso en los casos en los que las videocámaras se utilicen para fines lícitos y legítimos como la seguridad de las instalaciones, se deberá informar igualmente.
  • El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un medio menos invasivo. Ej. No es necesario grabar a los estudiantes de una clase para realizar controles de presencia cuando bastaría el método tradicional de pasar lista.
  • Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos. Ej. Una videocámara utilizada con fines de seguridad privada situada en un edificio no debería tomar imágenes de toda la calle en la que éste se encuentre.
  • Podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. Ej. Si una cámara debe ubicarse necesariamente en la puerta de entrada de una entidad bancaria, o en la esquina de un edificio debería orientarse de modo que la parte de vía pública que recoja se limite al acceso vigilado sin recoger más porción de la imprescindible. No podrán captarse imágenes del resto de la acera o de la calle. Otro ejemplo sería la entrada de un garaje que graba las matrículas de los vehículos y, necesariamente, enfoca a la vía pública. Debería colocarse la cámara de tal forma que capte la matrícula pero enfoque la menor porción posible de la vía pública.

En cualquier caso el uso de sistemas de videovigilancia deberá ser respetuoso con los derechos de las personas y el resto del Ordenamiento jurídico. Ej. No sería admisible la captación de imágenes en espacios protegidos por el derecho a la intimidad como los interiores de viviendas cercanas, en baños o vestuarios o en espacios físicos ajenos al específicamente protegido por la instalación.

Lea nuestro artículos sobre la videovigilancia en las empresas en este enlace.

Tiempo de conservación

Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron. Ej. Como más adelante se señala en esta Guía la Instrucción 1/2006 sobre conservación de las imágenes con fines de vigilancia fija un plazo máximo de un mes. En los casos en que las imágenes se capten a otros efectos se someterá a la legislación específica aplicable.

Videovigilancia en la empresa

Las imágenes obtenida a través de cámaras de vigilancia, de acuerdo con la definición del art. 4 RGPD, supone un tratamiento de datos de carácter personal. Por ello, todo tratamiento con fines de seguridad, control laboral o cualquier otro, deberá ajustarse a los principios del art. 5 RGPD.

En esta entrega nos centraremos en los aspectos básicos sobre el uso de cámaras de videovigilancia en el entorno laboral. Si ya dispone de cámaras, consulte nuestra guía sobre cómo instalar los carteles de videovigilancia. Solicítelos a hola@legaldpo.es

¿Es legal el uso de cámaras en mi empresa?

Sí. El uso de cámaras con fines de videovigilancia y/o control laboral es totalmente legal. Es necesario informar a clientes, trabajadores o personas que accedan a las instalaciones. La recomendación es enviar una circular informativa a los empleados y disponer de un cartel informativo.

NOTA: aquellas cámaras cuya activación esté ligada a la activación de una alarma de seguridad no requieren acciones, salvo los avisos mediante carteles disuasorios.

¿Puedo grabar a mis trabajadores?

Sí. Tenderemos que informarles de estas medidas y hacer una clara distinción de la finalidad:

Seguridad de las instalaciones, personas y/o bienes:

Al amparo de nuestro interés legítimo del artículo 6.1.f) RGPD y el artículo 22 de la LOPDGDD. Informaremos con los carteles de videovigilancia que le facilitamos desde LegalDPO. Estos carteles deberán ubicarse en cada entrada a las zonas videovigiladas. Consulte nuestro artículo sobre la forma de informar y colocar carteles de videovigilancia.

Control laboral:

Al igual que el caso anterior, estamos legitimados para poder realizar control laboral en base a los artículos 20.3 del Estatuto de los Trabajadores y el 89 LOPDGDD. No es necesario obtener el consentimiento expreso, pero sí tendremos que informar sobre la legitimación y la proporcionalidad de esta medida. Contacto con el departamento jurídico de LegalDPO para estudiar su caso si tiene pensado implementar estas medidas.

Visionado en tiempo real:

Será necesario cumplir con los mismos requisitos hasta ahora mencionados.

¿Se puede grabar el audio?

No. Se trata de una medida desproporcionada. El informe jurídico de la AEPD sobre esta cuestión, determinó que las grabaciones de audio o voz, conversaciones de empleados y cualquier persona que acuda a nuestras instalaciones, no cumplen con el principio de proporcionalidad y es del todo una medida intrusiva, para la intimidad y para el derecho a la privacidad o protección de datos.

¿En qué zonas no puedo grabar?

En zonas de descanso o zonas privadas como aseos, cocinas, vestuarios, etc. Se evitará la captación de imágenes en zonas destinadas al descanso de los trabajadores. Adicionalmente, solamente se podrán grabar espacios privados, evitando la captación de la vía pública. En ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores o análogos.

¿Quién podrá visualizar las imágenes?

El acceso a las imágenes solo podrán realizarlo las empresas prestadoras del servicio, el gerente, personal autorizado siempre con acuerdo de confidencialidad o por ser requeridas por las autoridades. y siempre garantizando el derecho a la intimidad.

¿Cuánto tiempo puedo o debo almacenar las imágenes?

Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron. Ej. Como más adelante se señala, la Instrucción 1/2006 sobre conservación de las imágenes con fines de vigilancia fija un plazo máximo de un mes. En los casos en que las imágenes se capten a otros efectos se someterá a la legislación específica aplicable.

El tiempo será de un mes (30 días), que podrá ser superior en caso de haberse producido un incidente y nos ejerciten algún derecho, si no podemos ofrecer la visualización al afectado por aparecer otros terceros, bloquearemos su eliminación e informaremos sobre la necesidad de denunciarlo a las autoridades para que nos soliciten la grabación. En todos los casos, debemos asegurarnos que almacenamos las imágenes disponiendo  de medidas de seguridad suficientes

¿Qué ocurre con las grabaciones a la vía pública?

Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos. Ej. Una videocámara utilizada con fines de seguridad privada situada en un edificio no debería tomar imágenes de toda la calle en la que éste se encuentre.

Podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. Ej. Si una cámara debe ubicarse necesariamente en la puerta de entrada de una entidad bancaria, o en la esquina de un edificio debería orientarse de modo que la parte de vía pública que recoja se limite al acceso vigilado sin recoger más porción de la imprescindible. No podrán captarse imágenes del resto de la acera o de la calle. Otro ejemplo sería la entrada de un garaje que graba las matrículas de los vehículos y, necesariamente, enfoca a la vía pública. Debería colocarse la cámara de tal forma que capte la matrícula pero enfoque la menor porción posible de la vía pública.

Otros casos

¿Se pueden utilizar cámaras ocultas?

No se pueden utilizar cámaras ocultas sin informar, pero sí podemos ocultarlas o mimetizarlas con el entorno, siempre cumpliendo con el principio de información.

Taxis, vehículos VTC, autobuses o transporte de pasajeros

Cámaras de videovigilancia y cámaras on board: es muy usual que en los últimos años se instalen cámaras de vigilancia para la seguridad, ya sea en el interior o en el exterior para la obtención de pruebas en caso de incidente con el vehículo. Es fundamental conocer los límites de las cámaras que graban la vía pública, así como la implementación del cartel de videovigilancia dentro del vehículo cuando utilicemos estas cámaras.

Comunidades de propietarios

Según la Ley de Propiedad Horizontal será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios. Asimismo, las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.

Las plazas de garaje, las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza, previa autorización de la Junta de Propietarios que deberá constar en el acta correspondiente.

Consulte más información sobre comunidades de propietarios a LegalDPO escribiendo al correo hola@lgaldpo.es o en nuestro teléfono 91 230 03 12. Asimismo, dispone de un apartado específico sobre comunidades en la web de la AEPD.

Uso de cámaras por particulares

Las grabaciones realizadas por las videocámaras de particulares escapan al control del RGPD y la LOPDGDD, al tratarse de un tratamiento de datos de uso privativo. Del mismo modo, en palabras de la propia AEPD “está permitido que las personas físicas utilicen videocámaras con la finalidad de preservar la seguridad de personas, bienes e instalaciones, por ejemplo, en la entrada, en la fachada o en la medianería de la vivienda particular. No obstante, estas videocámaras solo podrán captar imágenes de la vía pública en la medida en que resulte imprescindible para esa finalidad o cuando, por razón de la ubicación de las cámaras, sea imposible evitarlo, debiendo limitarse la captación de imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno. En todo caso, no podrán realizarse tratamientos cuando los datos personales afectados sean innecesarios para la finalidad legítima perseguida”.

Tenga en cuenta que todas estas recomendaciones se pueden adaptar a las necesidades de cada empresa o profesional autónomo. Para poder dar una mejor respuesta, no dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.

Brecha de seguridad en los datos

En esta entrega queremos hablaros sobre las brechas de seguridad, qué son, clases, medidas, cómo actuar y las posibles consecuencias.

El Reglamento General de Protección de Datos Europeo (RGPD 2017/679, de 27 de abril) nos da una definición muy amplia sobre este concepto. La brecha de seguridad supone cualquier incidente, pérdida, robo, alteración o destrucción de información personal, comunicación o cesión a terceros sin consentimiento o autorización. En este sentido, podemos catalogar como brecha de seguridad, por ejemplo, los siguientes casos:

  • Pérdida o robo de ordenador, teléfono o cualquier documento o dispositivo que almacene o contenga datos de terceros
  • Envío de documentación personal por error a un tercero que no es destinatario
  • Acceso a nuestros sistemas o documentos por terceros no autorizados
  • Eliminación accidental de documentos con datos personales

¿Qué hago si he sufrido una brecha de seguridad?

En primer lugar, cualquier sospecha de haber sufrido una brecha será necesario analizar y registrar la misma. Dispone del registro en su área de clientes. Si usted es cliente de LegalDPO, contacte con juridico@legaldpo.es para que realicemos el análisis.

Recuerde que es fundamental atender al procedimiento del art. 33 RGPD, siendo necesario actuar en plazo de 72 horas desde que se tienen conocimiento de una brecha de seguridad. Por ello, es fundamental que notifique a LegalDPO la información necesaria en plazo de 24 horas y que podamos realizar el análisis. Puede utilizar el formulario para registro de brechas en su documentación del área de clientes.

La información que necesitamos y deberá remitir al departamento jurídico:

  • Breve descripción de los hechos
  • Naturaleza de la brecha: si un tercero no autorizado a accedido a información personal, si ha sido robado o perdido un dispositivo o documentación, si se ha alterado información original, se han bloqueado el acceso a los datos. La naturaleza de la brecha se clasificará en brecha de confidencialidad, integridad o disponibilidad.
  • Origen de la amenaza: si ha sido interna (personal de la empresa) o externa (tercero), así como la intencionalidad: error humano, error técnico, intencionada o accidental.
  • Medios por los que se ha materializado la brecha: hacking, datos enviados por error, robo, eliminación incorrecta, publicación no intencionada, revelación verbal, pérdida de dispositivo.
  • Sujetos afectados: clientes, alumnos, empleados, usuarios de la web, proveedores y número aproximado de personas que se han visto afectadas por la brecha.
  • Categoría de datos afectados: la clase de datos que han sido objeto de la brecha, tales como datos de contacto, datos bancarios, datos sensibles (salud, biométricos, etc.), información patrimonial, datos de menores, personas vulnerables, etc.
  • Medidas de seguridad previas a la brecha: descripción de las medidas existentes hasta la materialización o sospecha de la brecha de seguridad, tales como contraseñas en dispositivos, registro de entrada/salida de soportes, cifrado de datos, copias de seguridad, formación de empleados, entre otras.

Actuación ante las brechas de seguridad

Una vez analizada la brecha de seguridad y las consecuencias, nos encontraremos varios escenarios:

  • Necesidad de denunciar ante las autoridades
  • Contactar con los afectados
  • Comunicar la brecha a la Agencia Española de Protección de Datos (AEPD), de acuerdo al artículo 33 del RGPD.
  • Implementación de medidas correctoras o mejora de las existentes

Estas acciones dependerán del análisis previo. En la mayoría de ocasiones son acumulativas, aunque la implementación de medidas correctoras o mejora de éstas siempre estará presente.

Estas acciones se llevarán a cabo en plazo máximo de 48 horas desde que notifique a LegalDPO la información necesaria.

Infracciones y consecuencias

Un error muy común es la falsa creencia o el miedo de comunicar una brecha a la AEPD. No debemos olvidar que los errores humanos, técnicos así como los hackeos estarán siempre presentes. La Agencia no va a sancionar siempre que hayamos hecho todo lo posible para prevenir y evitar una brecha de seguridad, pero es imposible asegurar que no se produzcan. Es importante que cuando sea necesario, se notifique a la Autoridad. Siempre será más beneficioso comunicar que no hacerlo por miedo a las consecuencias.

La vulneración del procedimiento descrito en el art. 33 RGPD es constitutivo de una infracción grave contemplada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), en concreto del art. 73.r), cuya sanción podrá ascender hasta los 10 millones de euros o el 2% del volumen total del negocio. En cualquier caso, atendiendo a las Directrices 04/2022 sobre el cálculo de las multas bajo el RGPD, para empresas cuya facturación sea inferior a 2 millones de euros, la cuantía de la sanción podrá ser de 4.000 a 40.000 euros y para facturaciones superior a 2 millones de euros podrán ascender hasta los 200.000 euros.

Medidas tras una brecha de seguridad

Una vez que damos por concluida la brecha de seguridad, salvo que lo hayamos hecho previamente, tendremos que revisar las medidas de seguridad que tenemos implementadas.

Estas medidas podrán ser muy diversas: desde la formación y sensibilización al personal en materia de protección de datos, actualización de protocolos de actuación, cambio en los períodos de realización de copias de seguridad, cifrado de datos, entre otras.

Junto al departamento jurídico de LegalDPO se realizará un nuevo análisis de riesgos y se decidirán las mejoras o actualizaciones que deben implementarse, siempre atendiendo a lo dispuesto en el art. 25 del RGPD, teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.

Artículo 25.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

No olvide contactar con LegalDPO si tiene cualquier duda o quiere ampliar esta información a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es. Puede consultar nuestros servicios en las páginas web, aplicables en toda España.

Por último, puede ampliar toda esta información desde el apartado «brechas de seguridad» en el sitio web de la AEPD.

https://www.aepd.es/preguntas-frecuentes/2-rgpd/11-brechas-de-datos-personales