Móvil y correo electrónico de los trabajadores

En esta ocasión veremos las cuestiones más relevantes sobre el uso de dispositivos por parte de los trabajadores/as. Tanto móviles de empresa como personales, ordenadores portátiles, tablets, correos electrónicos o cualquier dispositivo o medios que el personal utilice para el desarrollo de sus funciones.

¿Puede el empleado utilizar su móvil o correo personal en el trabajo?

Para uso personal durante la jornada laboral no debería hacerse uso de los dispositivos privados, salvo en los momentos de descanso, por motivos de urgencia o por acuerdo entre empresa y trabajador. Distinguiremos el uso de dispositivo personal y de empresa:

  1. Dispositivos de empresa: podemos limitar el uso de estos para asuntos privativos. Tendremos que indicar a los trabajadores qué pueden o no pueden hacer con los móviles, ordenadores o dispositivos que les facilitamos para la realización de sus funciones.
  2. Dispositivos personales: podemos limitar el uso durante la jornada laboral o acordar con el empleado los criterios de uso. En todo caso, tendremos que respetar la legislación vigente sobre la conciliación de la vida profesional y personal, atender a cuestiones como la existencia de hijos/as, personas dependientes del trabajador/a, derechos a la desconexión digital, entre otras.

Todas estas cuestiones deberían quedar reflejadas en el “manual de funciones y obligaciones” que está disponible en su área de clientes. Contacte con el departamento jurídico en caso de duda o escriba a hola@legaldpo.es.

¿Puedo acceder al móvil de empresa o correo del trabajador para revisarlo?

Tenemos el derecho a controlar y supervisar el uso que hacen los trabajadores. El Estatuto de los Trabajadores nos permite establecer cualquier método o forma de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

En todo caso se deben cumplir dos requisitos para poder implementar estas medidas:

  1. Informar previamente al empleado. No es necesario el consentimiento expreso.
  2. El acceso será siempre proporcional y la supervisión no se realizará de forma indiscriminada, limitándose a la actividad laboral, salvo que exista mala fe en el uso de los dispositivos para asuntos personales.

Cumpliendo todos los requisitos y atendiendo a los límites de esta prerrogativa, las faltas, incumplimientos o incidentes cometidos por el trabajador/a podrán ser motivo de sanción por parte de la empresa.

Otras medias de seguridad

Dispositivos geolocalizados

Otra posibilidad es la de implementar un sistema de localización mediante GPS o, incluso, control de uso, datos, llamadas, etc. Como hemos mencionado, esta medida es posible al amparo del artículo 20.3 del Estatuto de los Trabajadores, siendo necesario informar a los empleados de las medidas aplicadas. Puede consultar información adicional en el artículo publicado en nuestro blog pulsado aquí.

Política de uso y medidas organizativas

Será necesario establecer una política de uso de los dispositivos que entregamos a los empleados, ya sean propiedad de la empresa o personales. Resulta fundamental para dar por cumplido el principio de información y realizar los controles.

Otra cuestión relevante es la garantía del derecho a la desconexión digital, artículo 88 de la LOPDGDD. Esta política deberá comunicarse a los trabajadores, sobre todo en los casos que realicen teletrabajo de forma total o parcial. Contacte con nosotros para obtener más información.

Será necesario tener implementado y que los empleados conozcan el protocolo de actuación frente a brechas de seguridad, ya que en caso de pérdida o robo del dispositivo, de datos, será imprescindible analizar la brecha y comunicarla a la AEPD. Para más información consulte nuestra entrada sobre las brechas de seguridad.

Medidas de seguridad técnicas

Aplicaremos medidas de seguridad técnicas tales como contraseñas en los dispositivos, restricciones o cualquier medida de seguridad básica. Siempre atenderemos al estado de la técnica, económico y la situación real de la empresa o actividad, puesto que en cada caso concreto tendremos que aplicar unas medidas u otras.

Todas las medidas, recomendaciones o requisitos mencionados son de igual aplicación para cuentas de correo electrónico corporativas, aplicaciones de mensajería, así como cualquier recurso puesto a disposición del personal, incluyendo cuentas de Skype, Teams, entre otras. Todo ello es propiedad de la empresa, aunque debemos informar debidamente como venimos diciendo. En caso de que el trabajador/a utilice medios personales de los aquí descritos para la realización de sus funciones, necesitaremos establecer los límites, obligaciones y prohibiciones.

Todo ello quedará reflejado en el manual de funciones y obligaciones del personal. Tenga en cuenta que todas estas recomendaciones y medidas se pueden adaptar a las necesidades de cada empresa o profesional autónomo.

Para poder dar una mejor respuesta, no dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.


.

Dispositivos geolocalizados

En esta entrega os traemos varias cuestiones a tener en cuenta sobre la geolocalización, dispositivos, vehículos o aplicaciones con sistema GPS que utilizamos en nuestra empresa. Veremos que obligaciones establece tanto el RGPD 2016/679, de 27 de abril y la LOPDGDD 3/2018, de 5 diciembre, siempre amparándonos en el artículo 20.3 del Estatuto de los Trabajadores aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre

Geolocalización

En la actualidad, la geolocalización es una herramienta muy valiosa para muchas empresas, ya que permite conocer la ubicación de los usuarios y, por tanto, prestar servicios personalizados y adaptados a sus necesidades. Sin embargo, es importante tener en cuenta que determinar la ubicación implica el tratamiento de datos personales, por lo que las empresas deben cumplir con la normativa de protección de datos.

La geolocalización es una técnica que se utiliza para determinar la ubicación geográfica de un dispositivo, vehículo o persona y se ha vuelto cada vez más común en el mundo digital. Sin embargo, su uso puede tener consecuencias para la privacidad y la protección de datos personales. En primer lugar, es importante tener en cuenta que los datos de ubicación pueden ser muy sensibles, ya que pueden revelar la ubicación de una persona en tiempo real y su historial de ubicación. Esto puede ser utilizado por terceros para finalidades de seguimiento, publicidad dirigida o incluso para la comisión de delitos. Si necesita más información al respecto, no dude en contactar con LegalDPO.

Empleados

En la actualidad, muchas empresas utilizan el GPS para gestionar su flota de vehículos y para monitorizar el trabajo de sus empleados que se desplazan. Sin embargo, es importante tener en cuenta que el tratamiento de datos de geolocalización implica una serie de obligaciones legales.

Geolocalización en dispositivos de la empresa

En primer lugar, la geolocalización de los móviles de los empleados, portátiles, tablets y los vehículos de la empresa debe estar justificada por una necesidad legítima, como puede ser la optimización de rutas o la seguridad de los trabajadores. En ningún caso se puede utilizar la ubicación con fines de control laboral abusivo y, en todo caso, tendremos que informar al trabajador sobre este tratamiento de datos. Esto es de aplicación tanto a un móvil que entreguemos a los trabajadores como a las aplicaciones que utilicemos para el registro de la jornada y que tengan sistema de localización en tiempo real.

Geolocalización en vehículos de la empresa

En cuanto a los vehículos de la empresa, es importante tener en cuenta que la ubicación de los mismos también puede estar sujeta a otras normativas, como la Ley de Prevención de Riesgos Laborales o el Reglamento General de Vehículos. En este sentido, las empresas deben asegurarse de cumplir con todas las obligaciones legales que correspondan. En cuanto a la legalidad de la geolocalización de coches, existen diversas leyes que regulan el uso de dispositivos de seguimiento y localización en vehículos. La LOPDGDD establece que los datos de ubicación solo pueden ser utilizados para fines específicos y legítimos, y que los usuarios deben ser informados de forma clara y concisa sobre el uso que se da a sus datos.

¿Se necesita el consentimiento expreso para realizar el seguimiento de dispositivos o vehículos de mi empresa?

Hemos dicho que la ley, tanto el art. 20.3 del Estatuto de los Trabajadores, así como el 90 de la LOPDGDD nos permiten utilizar este mecanismo cumpliendo varios requisitos:

  1. Informar al trabajador/a de forma previa, indicando la finalidad, legitimación, límites y derechos
  2. Asegurar que los datos de ubicación solo se emplearán durante la jornada laboral

Si carecemos de interés legítimo, por ejemplo para la seguridad de vehículos, control o fichaje laboral a través de una aplicación que rastrea la ubicación u otras, las empresas deben obtener el consentimiento previo y expreso de los trabajadores para el tratamiento de sus datos de localización. Este consentimiento debe ser informado y específico, es decir, debe detallar claramente la finalidad del tratamiento y las consecuencias que puede tener para los trabajadores.

Sistemas de localización en dispositivos o vehículos privados de los trabajadores

Aunque es una cuestión que no debería generar dudas, esta clase de tratamiento resulta del todo desproporcionada con las finalidades que queramos perseguir, aunque es posible.

El supuesto que no plantea problemas es implementar la localización a través de una aplicación para el registro de la jornada laboral, ya que normalmente las aplicaciones de esta clase solo la utilizan el momento de hacer el registro, sin seguimiento.

Para supuestos distintos en los que necesitemos implementar el seguimiento de la ubicación en dispositivos o vehículos privados, contacten con el departamento jurídico de LegalDPO en la dirección de correo juridico@legaldpo.es para analizar cada supuesto y conocer la viabilidad.

Derechos de los trabajadores

Los trabajadores tienen derecho a acceder, rectificar, cancelar y oponerse al tratamiento de sus datos de localización. Las empresas deben garantizar el ejercicio efectivo de estos derechos y ofrecer a los trabajadores las herramientas necesarias para hacerlo. Estos derechos, como hemos visto anteriormente, tienen sus limitaciones, pero será necesario determinar si existe la posibilidad de aplicar medidas de control menos intrusivas antes de la implementación de la geolocalización. El artículo 90 de la LOPDGDD establece que en ningún caso se podrán utilizar los datos obtenidos fuera de la jornada laboral, como límite al uso de este sistema.

En conclusión, la geolocalización de los móviles de los empleados y los vehículos de la empresa puede ser una herramienta muy útil para muchas empresas, pero es necesario cumplir con la normativa de protección de datos y otras normativas aplicables, sin necesidad de obtener el consentimiento expreso, pero siendo necesario cumplir con el principio de información.

Geolocalización de usuarios o clientes

También caben los supuestos de utilizar aplicaciones que rastrean la ubicación de nuestros clientes. Salvo que resulte imprescindible para prestar un servicio, tendremos que obtener el consentimiento expreso.

El ejemplo más habitual es el de los conductores privados o servicios de taxi que utilizan aplicaciones con rastreo en tiempo real, siendo imprescindible para localizar al cliente.

Si tiene dudas al respecto contacte con nosotros para conocer su situación.

Seguridad de la información

En cuanto a la protección de datos, las empresas deben garantizar la seguridad de los datos de geolocalización y evitar su acceso, modificación o destrucción no autorizados. Además, deben limitar el acceso a estos datos únicamente a aquellas personas que necesiten conocerlos para realizar su trabajo.

Esperamos que esta información haya sido de utilidad. Si tienes alguna duda o consulta, no dude en contactar con nosotros, escribiendo a hola@legaldpo.es o llamando al 912 300 312. Asimismo, visite nuestra web www.legaldpo.es para conocer más información sobre nuestros servicios.

Instrucciones para colocar el cartel de videovigilancia

El uso de las instalaciones de cámaras y videocámaras debe seguir ciertas reglas que rigen todo el proceso desde su captación, almacenamiento, reproducción hasta su cancelación. El responsable deberá tener en cuenta los siguientes principios:

  • Se instalará un cartel (como mínimo) en lugar visible que informe de que se está en un establecimiento videovigilado. LEGALDPO le proveerá del mencionado cartel con todas aquellas estipulaciones exigidas por la legislación.
  • Deberá colocarse un cartel en cada entrada que de paso a una estancia videovigilada. Ej. Tenemos una instalación con 3 entradas y dos de ellas dan paso a un recinto principal videovigilado. Cada entrada deberá tener un cartel. La tercera entrada da paso a una estancia privada para el personal que no está vigilada por cámaras, no necesitará cartel. Sin embargo, la estancia del personal si da paso al recinto principal videovigilado, por lo que si necesitará cartel. En total, debemos colocar 3 carteles.
  • Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en el que se traten los datos.
  • Debe informarse sobre la captación y/o grabación de las imágenes. Ej. Incluso en los casos en los que las videocámaras se utilicen para fines lícitos y legítimos como la seguridad de las instalaciones, se deberá informar igualmente.
  • El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un medio menos invasivo. Ej. No es necesario grabar a los estudiantes de una clase para realizar controles de presencia cuando bastaría el método tradicional de pasar lista.
  • Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos. Ej. Una videocámara utilizada con fines de seguridad privada situada en un edificio no debería tomar imágenes de toda la calle en la que éste se encuentre.
  • Podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. Ej. Si una cámara debe ubicarse necesariamente en la puerta de entrada de una entidad bancaria, o en la esquina de un edificio debería orientarse de modo que la parte de vía pública que recoja se limite al acceso vigilado sin recoger más porción de la imprescindible. No podrán captarse imágenes del resto de la acera o de la calle. Otro ejemplo sería la entrada de un garaje que graba las matrículas de los vehículos y, necesariamente, enfoca a la vía pública. Debería colocarse la cámara de tal forma que capte la matrícula pero enfoque la menor porción posible de la vía pública.

En cualquier caso el uso de sistemas de videovigilancia deberá ser respetuoso con los derechos de las personas y el resto del Ordenamiento jurídico. Ej. No sería admisible la captación de imágenes en espacios protegidos por el derecho a la intimidad como los interiores de viviendas cercanas, en baños o vestuarios o en espacios físicos ajenos al específicamente protegido por la instalación.

Lea nuestro artículos sobre la videovigilancia en las empresas en este enlace.

Tiempo de conservación

Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron. Ej. Como más adelante se señala en esta Guía la Instrucción 1/2006 sobre conservación de las imágenes con fines de vigilancia fija un plazo máximo de un mes. En los casos en que las imágenes se capten a otros efectos se someterá a la legislación específica aplicable.

Videovigilancia en la empresa

Las imágenes obtenida a través de cámaras de vigilancia, de acuerdo con la definición del art. 4 RGPD, supone un tratamiento de datos de carácter personal. Por ello, todo tratamiento con fines de seguridad, control laboral o cualquier otro, deberá ajustarse a los principios del art. 5 RGPD.

En esta entrega nos centraremos en los aspectos básicos sobre el uso de cámaras de videovigilancia en el entorno laboral. Si ya dispone de cámaras, consulte nuestra guía sobre cómo instalar los carteles de videovigilancia. Solicítelos a hola@legaldpo.es

¿Es legal el uso de cámaras en mi empresa?

Sí. El uso de cámaras con fines de videovigilancia y/o control laboral es totalmente legal. Es necesario informar a clientes, trabajadores o personas que accedan a las instalaciones. La recomendación es enviar una circular informativa a los empleados y disponer de un cartel informativo.

NOTA: aquellas cámaras cuya activación esté ligada a la activación de una alarma de seguridad no requieren acciones, salvo los avisos mediante carteles disuasorios.

¿Puedo grabar a mis trabajadores?

Sí. Tenderemos que informarles de estas medidas y hacer una clara distinción de la finalidad:

Seguridad de las instalaciones, personas y/o bienes:

Al amparo de nuestro interés legítimo del artículo 6.1.f) RGPD y el artículo 22 de la LOPDGDD. Informaremos con los carteles de videovigilancia que le facilitamos desde LegalDPO. Estos carteles deberán ubicarse en cada entrada a las zonas videovigiladas. Consulte nuestro artículo sobre la forma de informar y colocar carteles de videovigilancia.

Control laboral:

Al igual que el caso anterior, estamos legitimados para poder realizar control laboral en base a los artículos 20.3 del Estatuto de los Trabajadores y el 89 LOPDGDD. No es necesario obtener el consentimiento expreso, pero sí tendremos que informar sobre la legitimación y la proporcionalidad de esta medida. Contacto con el departamento jurídico de LegalDPO para estudiar su caso si tiene pensado implementar estas medidas.

Visionado en tiempo real:

Será necesario cumplir con los mismos requisitos hasta ahora mencionados.

¿Se puede grabar el audio?

No. Se trata de una medida desproporcionada. El informe jurídico de la AEPD sobre esta cuestión, determinó que las grabaciones de audio o voz, conversaciones de empleados y cualquier persona que acuda a nuestras instalaciones, no cumplen con el principio de proporcionalidad y es del todo una medida intrusiva, para la intimidad y para el derecho a la privacidad o protección de datos.

¿En qué zonas no puedo grabar?

En zonas de descanso o zonas privadas como aseos, cocinas, vestuarios, etc. Se evitará la captación de imágenes en zonas destinadas al descanso de los trabajadores. Adicionalmente, solamente se podrán grabar espacios privados, evitando la captación de la vía pública. En ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores o análogos.

¿Quién podrá visualizar las imágenes?

El acceso a las imágenes solo podrán realizarlo las empresas prestadoras del servicio, el gerente, personal autorizado siempre con acuerdo de confidencialidad o por ser requeridas por las autoridades. y siempre garantizando el derecho a la intimidad.

¿Cuánto tiempo puedo o debo almacenar las imágenes?

Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron. Ej. Como más adelante se señala, la Instrucción 1/2006 sobre conservación de las imágenes con fines de vigilancia fija un plazo máximo de un mes. En los casos en que las imágenes se capten a otros efectos se someterá a la legislación específica aplicable.

El tiempo será de un mes (30 días), que podrá ser superior en caso de haberse producido un incidente y nos ejerciten algún derecho, si no podemos ofrecer la visualización al afectado por aparecer otros terceros, bloquearemos su eliminación e informaremos sobre la necesidad de denunciarlo a las autoridades para que nos soliciten la grabación. En todos los casos, debemos asegurarnos que almacenamos las imágenes disponiendo  de medidas de seguridad suficientes

¿Qué ocurre con las grabaciones a la vía pública?

Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos. Ej. Una videocámara utilizada con fines de seguridad privada situada en un edificio no debería tomar imágenes de toda la calle en la que éste se encuentre.

Podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. Ej. Si una cámara debe ubicarse necesariamente en la puerta de entrada de una entidad bancaria, o en la esquina de un edificio debería orientarse de modo que la parte de vía pública que recoja se limite al acceso vigilado sin recoger más porción de la imprescindible. No podrán captarse imágenes del resto de la acera o de la calle. Otro ejemplo sería la entrada de un garaje que graba las matrículas de los vehículos y, necesariamente, enfoca a la vía pública. Debería colocarse la cámara de tal forma que capte la matrícula pero enfoque la menor porción posible de la vía pública.

Otros casos

¿Se pueden utilizar cámaras ocultas?

No se pueden utilizar cámaras ocultas sin informar, pero sí podemos ocultarlas o mimetizarlas con el entorno, siempre cumpliendo con el principio de información.

Taxis, vehículos VTC, autobuses o transporte de pasajeros

Cámaras de videovigilancia y cámaras on board: es muy usual que en los últimos años se instalen cámaras de vigilancia para la seguridad, ya sea en el interior o en el exterior para la obtención de pruebas en caso de incidente con el vehículo. Es fundamental conocer los límites de las cámaras que graban la vía pública, así como la implementación del cartel de videovigilancia dentro del vehículo cuando utilicemos estas cámaras.

Comunidades de propietarios

Según la Ley de Propiedad Horizontal será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios. Asimismo, las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.

Las plazas de garaje, las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza, previa autorización de la Junta de Propietarios que deberá constar en el acta correspondiente.

Consulte más información sobre comunidades de propietarios a LegalDPO escribiendo al correo hola@lgaldpo.es o en nuestro teléfono 91 230 03 12. Asimismo, dispone de un apartado específico sobre comunidades en la web de la AEPD.

Uso de cámaras por particulares

Las grabaciones realizadas por las videocámaras de particulares escapan al control del RGPD y la LOPDGDD, al tratarse de un tratamiento de datos de uso privativo. Del mismo modo, en palabras de la propia AEPD “está permitido que las personas físicas utilicen videocámaras con la finalidad de preservar la seguridad de personas, bienes e instalaciones, por ejemplo, en la entrada, en la fachada o en la medianería de la vivienda particular. No obstante, estas videocámaras solo podrán captar imágenes de la vía pública en la medida en que resulte imprescindible para esa finalidad o cuando, por razón de la ubicación de las cámaras, sea imposible evitarlo, debiendo limitarse la captación de imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno. En todo caso, no podrán realizarse tratamientos cuando los datos personales afectados sean innecesarios para la finalidad legítima perseguida”.

Tenga en cuenta que todas estas recomendaciones se pueden adaptar a las necesidades de cada empresa o profesional autónomo. Para poder dar una mejor respuesta, no dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.

Brecha de seguridad en los datos

En esta entrega queremos hablaros sobre las brechas de seguridad, qué son, clases, medidas, cómo actuar y las posibles consecuencias.

El Reglamento General de Protección de Datos Europeo (RGPD 2017/679, de 27 de abril) nos da una definición muy amplia sobre este concepto. La brecha de seguridad supone cualquier incidente, pérdida, robo, alteración o destrucción de información personal, comunicación o cesión a terceros sin consentimiento o autorización. En este sentido, podemos catalogar como brecha de seguridad, por ejemplo, los siguientes casos:

  • Pérdida o robo de ordenador, teléfono o cualquier documento o dispositivo que almacene o contenga datos de terceros
  • Envío de documentación personal por error a un tercero que no es destinatario
  • Acceso a nuestros sistemas o documentos por terceros no autorizados
  • Eliminación accidental de documentos con datos personales

¿Qué hago si he sufrido una brecha de seguridad?

En primer lugar, cualquier sospecha de haber sufrido una brecha será necesario analizar y registrar la misma. Dispone del registro en su área de clientes. Si usted es cliente de LegalDPO, contacte con juridico@legaldpo.es para que realicemos el análisis.

Recuerde que es fundamental atender al procedimiento del art. 33 RGPD, siendo necesario actuar en plazo de 72 horas desde que se tienen conocimiento de una brecha de seguridad. Por ello, es fundamental que notifique a LegalDPO la información necesaria en plazo de 24 horas y que podamos realizar el análisis. Puede utilizar el formulario para registro de brechas en su documentación del área de clientes.

La información que necesitamos y deberá remitir al departamento jurídico:

  • Breve descripción de los hechos
  • Naturaleza de la brecha: si un tercero no autorizado a accedido a información personal, si ha sido robado o perdido un dispositivo o documentación, si se ha alterado información original, se han bloqueado el acceso a los datos. La naturaleza de la brecha se clasificará en brecha de confidencialidad, integridad o disponibilidad.
  • Origen de la amenaza: si ha sido interna (personal de la empresa) o externa (tercero), así como la intencionalidad: error humano, error técnico, intencionada o accidental.
  • Medios por los que se ha materializado la brecha: hacking, datos enviados por error, robo, eliminación incorrecta, publicación no intencionada, revelación verbal, pérdida de dispositivo.
  • Sujetos afectados: clientes, alumnos, empleados, usuarios de la web, proveedores y número aproximado de personas que se han visto afectadas por la brecha.
  • Categoría de datos afectados: la clase de datos que han sido objeto de la brecha, tales como datos de contacto, datos bancarios, datos sensibles (salud, biométricos, etc.), información patrimonial, datos de menores, personas vulnerables, etc.
  • Medidas de seguridad previas a la brecha: descripción de las medidas existentes hasta la materialización o sospecha de la brecha de seguridad, tales como contraseñas en dispositivos, registro de entrada/salida de soportes, cifrado de datos, copias de seguridad, formación de empleados, entre otras.

Actuación ante las brechas de seguridad

Una vez analizada la brecha de seguridad y las consecuencias, nos encontraremos varios escenarios:

  • Necesidad de denunciar ante las autoridades
  • Contactar con los afectados
  • Comunicar la brecha a la Agencia Española de Protección de Datos (AEPD), de acuerdo al artículo 33 del RGPD.
  • Implementación de medidas correctoras o mejora de las existentes

Estas acciones dependerán del análisis previo. En la mayoría de ocasiones son acumulativas, aunque la implementación de medidas correctoras o mejora de éstas siempre estará presente.

Estas acciones se llevarán a cabo en plazo máximo de 48 horas desde que notifique a LegalDPO la información necesaria.

Infracciones y consecuencias

Un error muy común es la falsa creencia o el miedo de comunicar una brecha a la AEPD. No debemos olvidar que los errores humanos, técnicos así como los hackeos estarán siempre presentes. La Agencia no va a sancionar siempre que hayamos hecho todo lo posible para prevenir y evitar una brecha de seguridad, pero es imposible asegurar que no se produzcan. Es importante que cuando sea necesario, se notifique a la Autoridad. Siempre será más beneficioso comunicar que no hacerlo por miedo a las consecuencias.

La vulneración del procedimiento descrito en el art. 33 RGPD es constitutivo de una infracción grave contemplada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), en concreto del art. 73.r), cuya sanción podrá ascender hasta los 10 millones de euros o el 2% del volumen total del negocio. En cualquier caso, atendiendo a las Directrices 04/2022 sobre el cálculo de las multas bajo el RGPD, para empresas cuya facturación sea inferior a 2 millones de euros, la cuantía de la sanción podrá ser de 4.000 a 40.000 euros y para facturaciones superior a 2 millones de euros podrán ascender hasta los 200.000 euros.

Medidas tras una brecha de seguridad

Una vez que damos por concluida la brecha de seguridad, salvo que lo hayamos hecho previamente, tendremos que revisar las medidas de seguridad que tenemos implementadas.

Estas medidas podrán ser muy diversas: desde la formación y sensibilización al personal en materia de protección de datos, actualización de protocolos de actuación, cambio en los períodos de realización de copias de seguridad, cifrado de datos, entre otras.

Junto al departamento jurídico de LegalDPO se realizará un nuevo análisis de riesgos y se decidirán las mejoras o actualizaciones que deben implementarse, siempre atendiendo a lo dispuesto en el art. 25 del RGPD, teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.

Artículo 25.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

No olvide contactar con LegalDPO si tiene cualquier duda o quiere ampliar esta información a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es. Puede consultar nuestros servicios en las páginas web, aplicables en toda España.

Por último, puede ampliar toda esta información desde el apartado «brechas de seguridad» en el sitio web de la AEPD.

https://www.aepd.es/preguntas-frecuentes/2-rgpd/11-brechas-de-datos-personales

Uso de Cookies y obligaciones en la página web

La política de cookies de nuestro sitio web es obligatoria. Debido a que suele ser la gran olvidada, desde LegalDPO queremos recordaros la importancia que tiene y que, por ser clientes, tenéis a vuestra disposición esta documentación para incluir en la página web y un equipo que os ayudará en su implementación.

Nueva guía sobre el uso de cookies en la página web

Para ofrecer información práctica y adaptarla a la normativa europea sobre uso de cookies aprobadas por las Directrices 03/2022, la AEPD ha publicado una nueva guía, haciendo alusión a las distintas clases de cookies, funciones, obligaciones, forma de ofrecer la información a los usuarios, modo de aceptación y rechazo, disposición del pop up, entre otras cuestiones relevantes, todo en colaboración con distintos organismos y asociaciones.

Puede acceder al contenido de la guía pulsando aquí. Desde el equipo de LegalDPO queremos acercaros la información de forma resumida y sencilla.

¿Qué es una cookies?

Es un archivo que crean las páginas web, se instalan en los equipos de los usuarios y nos ayudan a obtener información de éstos cuando navegan por nuestra página.

Como norma general, estos archivos cumplen dos funciones: por una lado ayudan al usuario a navegar más fácilmente  y, por otro lado, obtener información de lo que hace el usuario en nuestra web.

¿Estoy obligado a disponer de política de cookies en mi web?

La realidad es que es fundamental disponer del apartado con información adicional sobre las cookies, sus funciones, proveedor, destino de los datos y tiempo de almacenamiento. Este apartado se encuentra regulado por la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), modificada posteriormente por el Real Decreto-Ley 13/2012, así como por las Directrices europeas anteriormente mencionadas.

Las cookies técnicas y necesarias para el normal funcionamiento de la web están excluidas de la exigencia de aceptar o rechazar su instalación y obtener el consentimiento, siendo necesario disponer de pop up de cookies en caso de emplear analíticas, de publicidad, seguimiento, entre otras, ya sean propias o de terceros.

En ambos casos necesitamos implementar la información sobre las cookies, pero en caso de utilizar otras distintas a las técnicas y necesarias, será necesario que el usuario acepte o rechace su instalación y, de este modo, preste su consentimiento.

Cookies obligadas

Cuando utilizamos cookies, tenemos las siguientes obligaciones:

  1. Pop up que se visualice cuando el usuario acceda a la web, le permita conocer información de primera capa, aceptar o denegar las cookies o personalizar su instalación
  2. Apartado de la política en el pie de página o en lugar visible y que el usuario pueda acceder desde cualquier pestaña de la página web.
  3. Informar a los usuarios de qué son las cookies, para qué se utilizan, cuáles usamos en nuestra web, con qué finalidad y de quién proceden (propias o de terceros).En

Cookies de pago

Es una práctica habitual que está de moda. Mucha gente se pregunta si para rechazar las cookies nos pueden exigir un pago o una suscripción, lo que se denomina denegación total o parcial del servicio.

La realidad es que sí. Es una práctica habitual en revistas o periódicos digitales. Estos medios pueden pedir una suscripción o pago para poder rechazar la instalación de determinadas cookies, sobre todo publicitarias, pues los ingresos de estas empresas son fundamentalmente publicitarios. Para ello, se tendrá que informar debidamente al usuario, ofrecerle información sobre esta finalidad. Aunque las nuevas directrices sobre uso de cookies parezcan más restrictivas, ahora se podrá cobrar al usuario para no instalarlas.

Ahora bien, habrá que tener en cuenta que no será posible denegar el acceso si nuestra web es el único medio que empleamos, por ejemplo, para el ejercicio de derechos o para el canal de denuncias. Puede acceder a nuestro artículo sobre el canal obligatorio de denuncias.

Recuerde que si es cliente de LegalDPO, le facilitamos toda la documentación con los requisitos legales, disponible en su área de clientes. Contacte con nosotros en el correo hola@legaldpo.es o visite nuestra web en www.legaldpo.es. Consulte nuestras tarifas y servicios que prestamos en toda España.

CANAL DE DENUNCIAS OBLIGATORIO

Como muchos sabéis, desde el pasado mes de diciembre es de obligado cumplimiento la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, y al amparo del artículo 24 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que incorpora al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019 (Directiva Whistleblowing), para la implementación de un canal de denuncias interno o, también denominado, canal ético de información. En este artículo, queremos hacer un breve resumen sobre quién tiene la obligación de implementarlo, cómo debe gestionarse, qué y quién puede denunciar y demás obligaciones establecidas por la normativa citada.

¿Quién está obligado?

El canal de denuncias es una acción de compliance penal, obligatoria para las empresas que se acogen a determinadas normas ISO y para empresas públicas o privadas en los siguientes casos:

  • Empresas de 50 o más trabajadores
  • Empresas, con independencia del número de trabajadores, sujetos obligados o que aplican la normativa en materia de servicios, productos y mercados financieros; prevención del blanqueo de capitales; seguridad del transporte y; protección del medio ambiente.
  • Partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos
  • Fundaciones o asociaciones sostenidas con fondos públicos
  • Todas las entidades que integran el sector público
  • Empresas que contemplan los artículos 10, 11 y 13 de la Ley 2/2023

Para el resto de empresas el canal tiene carácter voluntario, cuyo objetivo principal es la protección de las personas informantes sobre las infracciones que puedan cometer las empresas o personas vinculadas a éstas.

Ámbito de aplicación material, ¿qué se puede denunciar?

En general, establece el artículo 2 de la Ley 2/2023 en relación con el anexo de la Directiva, cualquier incumplimiento de la normativa vigente que afecte directa o indirectamente a una empresa, sus empleados o terceros colaboradores:

  • Contrataciones irregulares,
  • Incumplimiento de normas de seguridad,
  • Fraude,
  • Incumplimiento de códigos o normas éticas,
  • Tratos vejatorios,
  • Vulneración de normativa medioambiental,
  • Protección y bienestar de los animales,
  • Derechos de los pacientes,
  • Derechos de los consumidores y usuarios,
  • Servicios financieros,
  • Seguridad del transporte,
  • Delitos contra los trabajadores,
  • Delitos contra la Hacienda Pública y Seguridad Social.

Ámbito de aplicación personal, ¿quién puede hacer uso del canal?

La Ley establece en su artículo 3 quién puede hacer uso del canal de denuncias, sin embargo, cualquier persona podrá hacer uso del canal debido a que debemos garantizar la posibilidad de presentar una denuncia de forma anónima: becarios, voluntarios, empleados, clientes, proveedores, colaboradores, trabajadores autónomos, familiares y, en definitiva, cualquier persona que tenga conocimiento de alguna vulneración por parte de la empresa o contra ella, sus directivos, empleados o cualquier persona física o jurídica relacionada con éstos.

Los artículos 7.3 y  17 de la Ley 2/2023, establecen que el informante, aunque sea anónimo, podrá facilitar un medio de comunicación. En todo caso se deberá comunicar al denunciante o afectado la resolución del procedimiento, debiendo garantizar el anonimato del infórmate en todo momento. Plazo de días 10 para resolver desde que se registra la denuncia y comunicación en plazo de 5 desde la resolución.

¿Cómo se puede denunciar?

Se podrán presentar denuncias por escrito o de forma verbal. Asimismo, estas podrán ser de manera física o telemática, incluida la vía telefónica o mediante entrevista personal reservada. La legislación establece la obligación de establecer al menos un modo, siempre que podamos garantizar el acceso al canal a las personas con discapacidad.

Protocolo interno

Será obligatorio disponer de un protocolo interno en el que se establezca la normativa de aplicación, personal designado para la gestión ya sea interno o empresa externa, procedimiento de actuación frente a denuncias, acuerdos de confidencialidad y demás obligaciones recogidas por el art. 9 de la Ley 2/2023

Contacte con LegalDPO si necesita gestionar el canal de denuncia, escribiendo a hola@legaldpo.es o llamando al 912 300 312. Asimismo, visite nuestra web www.legaldpo.es para conocer más información sobre nuestros servicios.

WhatsApp en la empresa

Como usar el WhatsApp con clientes, empleados, proveedores y resto de comunicaciones en nuestro día a día

Desde el equipo de LegalDPO queremos facilitaros de una forma sencilla y clara sobre las posibilidades que tenemos a la hora de utilizar la aplicación WhatsApp en nuestra actividad empresarial. Para ello, vamos a conocer qué podemos hacer con esta aplicación y su uso en nuestro día a día.

¿Qué podemos hacer a través de WhatsApp?

El uso de esta aplicación es muy común para la gestión de nuestros servicios, contacto con el cliente, recordatorio de citas y, en ocasiones, envío de publicidad. Para ello, tenemos que considerar algunos aspectos fundamentales:

Clientes o antiguos clientes:

  • SE PUEDE contactar con los clientes cuando tengamos o hayamos tenido relación contractual. Ya sea para gestionar un servicio, comunicaciones relacionadas con este o con nuestros productos, recordatorios de citas y, en general, cualquier comunicación sin fines publicitarios. En ningún caso deberá utilizarse para facilitar información de carácter personal o para enviar documentación, deberán utilizarse otros medios más seguros.

Estas comunicaciones no necesitan consentimiento expreso, pero sí es necesario informar con la cláusula correspondiente en el momento en que recogemos los datos.

  • NO SE DEBE enviar publicidad. Salvo que nos autoricen expresamente marcando la casilla de aceptación, no debemos enviar publicidad a través de WhatsApp. Para realizar campañas publicitarias debemos obtener el consentimiento expreso.

A los dos puntos anteriores es de aplicación una cuestión muy importante: ofrecer al usuario la posibilidad de oponerse al tratamiento de sus datos en cualquier momento o darse de baja para las comunicaciones vía WhatsApp.

Clientes potenciales

En este caso sí será necesario que el cliente potencial acepte las comunicaciones por WhtsApp, sobre todo si queremos enviar publicidad. Distinto será que se pongan en contacto directamente con nosotros, en cuyo caso solo tendremos que informar sobre el tratamiento de sus datos, pero sin la posibilidad de enviar información comercial, salvo autorización expresa.

Empleados:

Las comunicaciones relacionadas con la actividad laboral también están permitidas, siempre que el trabajador/a no se oponga. Será fundamental informarle sobre esta finalidad, garantizando en todo caso el derecho a la desconexión digital. Esto lo haremos con la firma del “Manual de funciones y obligaciones”, que tiene a su disposición en el área de clientes.

Teléfonos de empresa: si ponemos nuestros teléfonos a disposición de los empleados, se les informará sobre la utilización de WhatsApp, además de la posibilidad de ser incluidos en un grupo, pero no es necesario el consentimiento expreso.

Teléfonos personales: distinguimos entre comunicaciones individuales que podamos hacer al empleado, siendo necesario informar y, la posibilidad de ser incluido en un grupo, para lo que necesitaremos el consentimiento expreso.

WhatsApp Business como herramienta comercial

Toda la información que hemos ofrecido es recomendable aplicarla y realizarla a través de WhatsApp Business (Google Play o App Store). Esta herramienta ha sido creada para ser utilizada por las empresas en su actividad comercial, ofreciendo herramientas para gestionar el contacto con los clientes de manera efectiva. Sin embargo, los condiciones de uso son idénticas y las causas de exclusión o vulneración de derechos como spam, contactos no autorizados, publicidad mediante procesos automáticos, etc., se mantienen para esta versión.

Tenga en cuenta que todas estas recomendaciones se pueden adaptar a las necesidades de cada empresa o profesional autónomo. Para poder dar una mejor respuesta, no dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.

Roban 9 millones de datos de clientes a EasyJet en un ciberataque

A finales de enero de este año la aerolínea low cost, EasyJet, sufrió un robo masivo tras un ciberataque que se saldó con 9 millones de datos sustraídos. Pero, ¿qué se encontraba exactamente entre esta información que se extrajo? Pues, tal y como ha comunicado la compañía, entre esa información se encontraban detalles de los viajes de sus clientes, direcciones de correo electrónico e incluso números de tarjetas de crédito, esto último más concretamente de 2.208 clientes. Más de dos mil números de tarjetas de crédito que quedan a disposición de los ladrones para hacer con ellas cualquier tipo de operación.

 

Sin duda, noticias como esta nos hacen plantearnos hasta qué punto están a salvo nuestros datos cuando hacemos cualquier compra por internet, incluso en páginas web que, a priori, pueden parecer seguras. Desde la aerolínea señalaron que se trató de un ataque muy sofisticado y que ya están trabajando en las soluciones. Pero, ¿qué solución puede haber ante un problema de seguridad como este? A veces hay situaciones que son irreversibles, pero lo importante es actuar de la mejor manera posible. En este caso, desde EasyJet se comunicó que se pondrían en contacto con cada uno de los usuarios afectados por este ciberataque, para informarles sobre los datos que habían sido sustraídos y poder poner una rápida solución.

 

A pesar del riesgo de este tipo de robos en el que después se puede usar la información para estafar a las personas (delito conocido como phishing), la aerolínea en su comunicado señalaba que «no hay evidencia de que ninguna información personal de ninguna naturaleza haya sido mal utilizada».

 

¿Qué es y en qué consiste el phising?

 

Para entender mejor qué es exactamente lo que le ha ocurrido a la aerolínea low cost tenemos que conocer el concepto phising. Este término se usa para hablar de los métodos que usan los delincuentes a través de internet para hacerse con información confidencial de forma fraudulenta.

 

El ladrón o estafador se hace pasar por un ente de confianza (suplanta una identidad falsa), se pone en contacto con una gran cantidad de usuarios a través de vías como un correo electrónico y tan solo le queda esperar a que quienes lo reciban caigan en su trampa y de esa forma consiga todos sus datos.

 

Una vez se hacen con los datos las consecuencias suelen ser siempre las mismas:

  • Uso de la tarjeta de crédito o cuenta bancaria para hacerse con dinero.
  • Venta de datos personales.
  • Suplantación de identidad.

Las aerolíneas como foco de los ciberataques

 

Aunque el caso de EasyJet sea el más reciente no es, ni de lejos, el único en el que una aerolínea sufre un robo de datos.

 

Hace dos años, entre los meses de agosto y septiembre, British Airways fue víctima del robo de todas las reservas que se hicieron en ese periodo de tiempo y sus correspondientes datos, más de 300.000. Esto dejó como resultado la sustracción de miles de nombres, apellidos, correos electrónicos, tarjetas de crédito y sus correspondientes códigos de seguridad, etc. En este caso, la compañía tuvo que asumir una multa de 183 millones de libras impuesta por La Oficina del Comisionado de Información de Reino Unido (ICO).

 

Otros ataques hacia compañías de vuelos fueron el de Transavia, afectando a más de 80.000 clientes, y el de Cathay Pacific, quien en su caso vio quebrantado su sistema afectando a más de 9 millones de usuarios.

 

La conclusión que extraemos de todo esto es que cuanto más digitalizada está nuestra vida más riesgos corremos con nuestros datos personales. Como decían nuestras abuelas, toda precaución es poca. Y con esto no queremos decir que tengamos que volvernos paranoicos y dejar de hacer uso de estos servicios, sino que tenemos que andar con ojo y fijándonos siempre en toda situación que pueda resultar anómala y plausible de ser poco fiable.

¿De quién nos fiamos más a la hora de ceder nuestros datos?

Los últimos acontecimientos demuestran que los españoles se fían más de Google o Amazon que del Estado

 

No creo que a nadie le coja por sorpresa el hecho de que esos pequeños aparatos que llevamos a todas partes con nosotros son una gran fuente de información. Todos los teléfonos móviles captan la geolocalización de su usuario, ¿esto qué quiere decir? Explicado de forma sencilla, significa que mientras estás paseando puede aparecerte un anuncio en tu móvil sobre algún comercio o servicio que está a muy pocos metros de donde tú te encuentras. ¿Casualidad? No, es puro control de datos.

 

Pero esto no es todo, otro término importante para entender todo esto es “big data” (que básicamente se traduciría como tratamiento masivo de datos). Con toda esa información que empresas como Google o Amazon recopilan, en el futuro podrían darse situaciones como que una entidad bancaria valore la concesión de créditos haciendo uso del big data y no solo fijándose en las nóminas de sus clientes.

 

Todo esto así contado parece bastante invasivo y preocupante, ¿verdad? Pues está demostrado que a los españoles no nos inquieta esto, o por lo menos no de igual manera que cuando nuestros datos van a ser controlados por el Estado.

 

Hace unos meses, el Instituto Nacional de Estadística (INE) anunciaba un acuerdo con tres grandes compañías telefónicas para tener acceso a datos móviles durante 8 días. El objetivo de este organismo público era realizar un estudio acerca de la movilidad de la sociedad española. El revuelo en redes sociales no tardó en llegar, de hecho se pronunció hasta la Agencia de Protección de Datos para asegurarse de que el INE cumplía los protocolos.

 

Pero ante todo este suceso, la verdadera pregunta es: ¿De quién nos fiamos más a la hora de ceder nuestros datos? A la vista está la respuesta.

En este caso que venimos contando, el INE únicamente iba a recibir las posiciones de los móviles en esos días y sus movimientos, de forma anónima y haciendo imposible que pudiera identificar a los usuarios o saber más datos sobre ellos. Pero esta promesa de anonimato no parece suficiente, de hecho las personas nos sentimos excesivamente vigiladas y controladas en situaciones como estas.

 

Expertos en este ámbito comentan lo paradójico de esta situación: “La ciudadanía se alarma de que la información esté disponible y no del uso que se hace de ella: al menos conocemos el uso del INE, que es estadístico, cuando hay muchas empresas que hacen un uso ilegítimo de la información”, afirma José Rosell, experto en ciberseguridad. Por otro lado, hay un hecho que es muy importante, tal y como comenta Eduardo Blasi, experto en Derecho Digital, “la transparencia es vital cuando hay tratamientos de este tipo que afectan a muchos ciudadanos”.

 

Y aunque visto con perspectiva pueda parecer todo muy obvio, la realidad es que todos aceptamos que traten nuestros datos cuando usamos diferentes aplicaciones del móvil y lo hacemos sin darle mayor importancia. A la conclusión que han llegado los expertos es a que, lo que realmente ocurre, es que las personas somos más tolerantes y permisivas cuando recibimos algo a cambio. Si tienes que dejar que Google tenga acceso a todos tus movimientos a cambio de poder usar Maps para llegar a ese sitio que no sabes cómo ir, lo pasas por alto, o si para hacerte con ese producto rebajado que tanto tiempo llevabas buscando tienes que consentir que Amazon tengan acceso a algunos de tus datos, pues es un sacrificio a cambio de un beneficio, ¿no? En definitiva, lo que el INE pretendía era mejorar la toma de decisiones públicas, pero eso no es tangible para los ciudadanos y por eso “no merecía la pena” la intrusión.

 

Al final la conclusión es que no es tanto la preocupación por que tengan nuestros datos, sino por el uso que hagan de ellos. ¿Estamos dispuestos a sacrificar nuestra intimidad por una mejora en calidad de vida? ¿Merece la pena que la tecnología ayude por una parte, pero perjudique por otra? ¿Dónde poner el límite? Todo son preguntas sin una respuesta correcta, cada persona tendrá una opinión, pero lo que está claro es que poco podemos hacer si seguimos usando el teléfono móvil como una extensión de nuestro brazo. Y tú, ¿qué opinas de todo esto?