Buscando categoría

Tecnología

¿Qué documentos tienen que firmar los empleados?

Author: \ 4 abril, 2024 \ Actualidad, COVID-19, Geolocalización, Otros temas, Proteccion de datos, Publicaciones AEPD, Reglamento europeo, Tecnología, Teletrabajo, Videovigilancia, WhatsApp \ 0 Comentarios

Como empresa o profesional con trabajadores a nuestro cargo, debemos observar la normativa vigente, no solo en materia de protección de datos, RGPD y LOPDGDD, también la legislación laboral, en especial el Estatuto de los Trabajadores.

El Estatuto, en su artículo 5, establece unas normas básicas para los trabajadores que son inherentes a la relación laboral o contractual:

Los trabajadores tienen como deberes básicos:

a) Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad con las reglas de la buena fe y diligencia.

b) Observar las medidas de prevención de riesgos laborales que se adopten.

c) Cumplir las órdenes e instrucciones del empresario en el ejercicio regular de sus facultades directivas.

d) No concurrir con la actividad de la empresa, en los términos fijados en esta ley.

e) Contribuir a la mejora de la productividad.

f) Cuantos se deriven, en su caso, de los respectivos contratos de trabajo.

Como se desprende de la literalidad de este artículo, quedan en el aire muchas cuestiones como la confidencialidad, la competencia desleal, la responsabilidad por mal uso de la información, entre otras. Por ello, en este artículo veremos qué documentación debemos firmar o entregar a los empleados. Se encuentra disponible en su área de clientes. Contacte con el departamento jurídico en caso de duda o escriba a hola@legaldpo.es.

Documentación para empleados

Manual de funciones y obligaciones del personal

En este documento reflejamos no solo los deberes básicos de los empleados, también les ofrecemos información sobre:

  • Normas de uso de dispositivos y documentos.
  • Obligaciones de confidencialidad y la regulación de la competencia desleal,
  • Deber de colaboración en caso de brecha de seguridad en los datos de nuestra empresa.
  • Medidas de seguridad técnica y organizativa que deben aplicar en su día a día.

También se incluye el principio de información a los trabajadores sobre cómo vamos a utilizar sus datos, si los vamos a ceder a terceros o a organismos públicos, si comunicaremos datos de RLC Y RNT (antiguos TC1 y TC2) a posibles empresas contratistas, cómo realizamos el registro de la jornada laboral, sus derechos a la desconexión digital, a recibir comunicaciones, entre otras. Se utilizará para cuestiones como, por ejemplo, la instalación de cámaras de videovigilancia en la empresa y su finalidad, vehículos o móviles llevan instalados  sistemas de geolocalización, qué haremos con el móvil o correo electrónico en caso de baja temporal o permanente. Todo esto se tratará más adelante.

En definitiva, utilizaremos este documento para cumplir con nuestras obligaciones como empresa, pero sobre todo lo utilizaremos para que el trabajador conozca sus deberes y derechos y para regular las cuestiones que fueran relevantes. Este documento se podrá modificar según las necesidades de cada uno, por lo que no dude en contactar con nosotros y actualizarlo en caso que fuera necesario.

NOTA: En caso de que algún empleado se niegue a firmarlo, igualmente le entregaremos el documento o se lo enviaremos por correo electrónico, siendo la prueba de que ha recibido la información. Con ello el trabajador quedará obligado a aquellas cuestiones que no requieran su consentimiento expreso (por ejemplo para publicar sus fotos en redes sociales o para incluir su teléfono personal en un grupo de WhatsApp).

Responsable informático

El empleado que gestione los sistemas informáticos de la empresa deberá cumplir una serie de medidas adicionales por razón de su puesto, ya que podrá tener acceso a la totalidad de la información de nuestra empresa.

En caso de ser realizado por empresa o profesional externo, autónomo, se firmará un contrato de acceso a datos o contrato de encargado del tratamiento que tiene disponible en su área de clientes.

Cláusula informativa para empleados grabados en las instalaciones

Si disponemos de sistemas de videovigilancia que realizan grabaciones en nuestra empresa, será necesario informar a los empleados. No hay que confundir si las cámaras son de seguridad y graban en caso de activación de una alarma, si las grabaciones son con fines de seguridad de las instalaciones o si vamos a emplear también esas grabaciones para control laboral. Lea nuestro artículo sobre esta cuestión en el que detallamos todos los aspectos que debe tener en cuenta.

Política de teletrabajo

Tras la pandemia por COVID-19, el teletrabajo ha pasado a ser algo muy habitual en la mayoría de las empresas españolas. Aunque el Manual de funciones y obligaciones al que hemos hecho referencia contempla las medidas que debe aplicar todo trabajador, realice el trabajo dentro o fuera de las oficinas, es necesario contemplar las condiciones del teletrabajo, horario, qué dispositivos entregamos y obligaciones específicas. En LegalDPO disponemos de un modelo de política de teletrabajo que podrá adaptar a cada caso particular y con el que dará cobertura a todo lo mencionado.

Cesión de derechos de imagen

Es muy habitual que utilicemos imágenes de la empresa para publicarlas en nuestra web o redes sociales con el objetivo de promocionar nuestra actividad. En ocasiones los empleados podrán aparecen en ellas y debemos cumplir ciertos requisitos.

Es necesario solicitar el consentimiento expreso para esta finalidad a través de la cláusula correspondiente.

Información sobre geolocalización de dispositivos y/o vehículos

Aunque en nuestro artículo sobre dispositivos geolocalizados, que puede leer aquí, ofrecemos información detallada, les recordamos:

  • Es necesario informar a los trabajadores si dispositivos o vehículos llevan sistemas GPS, pero no es necesario su consentimiento expreso si los dispositivos o vehículos son de la empresa, solo se informará.
  • En caso de querer instalar algún sistema en dispositivos o vehículos privados, sí será necesario el consentimiento expreso, aunque no recomendamos hacer esta acción salvo que sea por motivos de seguridad de las personas.
  • Registro de jornada laboral a través de móvil con aplicación que registra la ubicación: si el móvil es de la empresa debemos informar. En caso de dispositivo privado, necesitamos el consentimiento expreso y si no lo obtenemos, tendremos que ofrecer un sistema de registro alternativo.
  • Acceda a información detallada sobre la geolocalización aquí.

Monitorización de los equipos

Cabe la posibilidad de revisar los equipos que utilizan los empleados. Siempre respetando el derecho a la intimidad, recogido en el artículo 87 de la LOPDGDD, tendremos que informar sobre este aspecto y establecer los límites.

Registro de jornada laboral

Aunque ya hemos hecho referencia a este asunto, vamos a establecer las condiciones, límites y obligaciones del registro de la jornada laboral, de acuerdo con el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo  y a la guía del Ministerio de Trabajo y Economía Social. Esta obligación se desprende del artículo 34.9 del Estatuto de los Trabajadores, la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria (…).

Empleados autónomos

Los empleados autónomos, económicamente dependientes o no de nuestra empresa, por su condición de profesional o empresario individual, firmar un contrato de acceso a datos o contrato de encargado del tratamiento. Este contrato es similar al que firmamos con proveedores y que recogen todas las obligaciones sobre el tratamiento de datos.

Por otro lado, será necesario que firmen documentación específica sobre registro de jonda, videovigilancia, cesión de derechos de imagen y todo aquello que sea de aplicación.

Tiene disponible toda la documentación en su área de clientes. Puede acceder pulsando aquí. Si ha olvidado su contraseña, utilice el apartado “ha olvidado su contraseña”. No dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.

Móvil y correo electrónico de los trabajadores

Author: \ 5 marzo, 2024 \ Actualidad, Geolocalización, Otros temas, Proteccion de datos, Publicaciones AEPD, Reglamento europeo, Tecnología, Teletrabajo, WhatsApp \ 0 Comentarios

En esta ocasión veremos las cuestiones más relevantes sobre el uso de dispositivos por parte de los trabajadores/as. Tanto móviles de empresa como personales, ordenadores portátiles, tablets, correos electrónicos o cualquier dispositivo o medios que el personal utilice para el desarrollo de sus funciones.

¿Puede el empleado utilizar su móvil o correo personal en el trabajo?

Para uso personal durante la jornada laboral no debería hacerse uso de los dispositivos privados, salvo en los momentos de descanso, por motivos de urgencia o por acuerdo entre empresa y trabajador. Distinguiremos el uso de dispositivo personal y de empresa:

  1. Dispositivos de empresa: podemos limitar el uso de estos para asuntos privativos. Tendremos que indicar a los trabajadores qué pueden o no pueden hacer con los móviles, ordenadores o dispositivos que les facilitamos para la realización de sus funciones.
  2. Dispositivos personales: podemos limitar el uso durante la jornada laboral o acordar con el empleado los criterios de uso. En todo caso, tendremos que respetar la legislación vigente sobre la conciliación de la vida profesional y personal, atender a cuestiones como la existencia de hijos/as, personas dependientes del trabajador/a, derechos a la desconexión digital, entre otras.

Todas estas cuestiones deberían quedar reflejadas en el “manual de funciones y obligaciones” que está disponible en su área de clientes. Contacte con el departamento jurídico en caso de duda o escriba a hola@legaldpo.es.

¿Puedo acceder al móvil de empresa o correo del trabajador para revisarlo?

Tenemos el derecho a controlar y supervisar el uso que hacen los trabajadores. El Estatuto de los Trabajadores nos permite establecer cualquier método o forma de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

En todo caso se deben cumplir dos requisitos para poder implementar estas medidas:

  1. Informar previamente al empleado. No es necesario el consentimiento expreso.
  2. El acceso será siempre proporcional y la supervisión no se realizará de forma indiscriminada, limitándose a la actividad laboral, salvo que exista mala fe en el uso de los dispositivos para asuntos personales.

Cumpliendo todos los requisitos y atendiendo a los límites de esta prerrogativa, las faltas, incumplimientos o incidentes cometidos por el trabajador/a podrán ser motivo de sanción por parte de la empresa.

Otras medias de seguridad

Dispositivos geolocalizados

Otra posibilidad es la de implementar un sistema de localización mediante GPS o, incluso, control de uso, datos, llamadas, etc. Como hemos mencionado, esta medida es posible al amparo del artículo 20.3 del Estatuto de los Trabajadores, siendo necesario informar a los empleados de las medidas aplicadas. Puede consultar información adicional en el artículo publicado en nuestro blog pulsado aquí.

Política de uso y medidas organizativas

Será necesario establecer una política de uso de los dispositivos que entregamos a los empleados, ya sean propiedad de la empresa o personales. Resulta fundamental para dar por cumplido el principio de información y realizar los controles.

Otra cuestión relevante es la garantía del derecho a la desconexión digital, artículo 88 de la LOPDGDD. Esta política deberá comunicarse a los trabajadores, sobre todo en los casos que realicen teletrabajo de forma total o parcial. Contacte con nosotros para obtener más información.

Será necesario tener implementado y que los empleados conozcan el protocolo de actuación frente a brechas de seguridad, ya que en caso de pérdida o robo del dispositivo, de datos, será imprescindible analizar la brecha y comunicarla a la AEPD. Para más información consulte nuestra entrada sobre las brechas de seguridad.

Medidas de seguridad técnicas

Aplicaremos medidas de seguridad técnicas tales como contraseñas en los dispositivos, restricciones o cualquier medida de seguridad básica. Siempre atenderemos al estado de la técnica, económico y la situación real de la empresa o actividad, puesto que en cada caso concreto tendremos que aplicar unas medidas u otras.

Todas las medidas, recomendaciones o requisitos mencionados son de igual aplicación para cuentas de correo electrónico corporativas, aplicaciones de mensajería, así como cualquier recurso puesto a disposición del personal, incluyendo cuentas de Skype, Teams, entre otras. Todo ello es propiedad de la empresa, aunque debemos informar debidamente como venimos diciendo. En caso de que el trabajador/a utilice medios personales de los aquí descritos para la realización de sus funciones, necesitaremos establecer los límites, obligaciones y prohibiciones.

Todo ello quedará reflejado en el manual de funciones y obligaciones del personal. Tenga en cuenta que todas estas recomendaciones y medidas se pueden adaptar a las necesidades de cada empresa o profesional autónomo.

Para poder dar una mejor respuesta, no dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.

.

Dispositivos geolocalizados

Author: \ 22 febrero, 2024 \ Actualidad, Geolocalización, Proteccion de datos, Publicaciones AEPD, Reglamento europeo, Tecnología \ 0 Comentarios

En esta entrega os traemos varias cuestiones a tener en cuenta sobre la geolocalización, dispositivos, vehículos o aplicaciones con sistema GPS que utilizamos en nuestra empresa. Veremos que obligaciones establece tanto el RGPD 2016/679, de 27 de abril y la LOPDGDD 3/2018, de 5 diciembre, siempre amparándonos en el artículo 20.3 del Estatuto de los Trabajadores aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre

Geolocalización

En la actualidad, la geolocalización es una herramienta muy valiosa para muchas empresas, ya que permite conocer la ubicación de los usuarios y, por tanto, prestar servicios personalizados y adaptados a sus necesidades. Sin embargo, es importante tener en cuenta que determinar la ubicación implica el tratamiento de datos personales, por lo que las empresas deben cumplir con la normativa de protección de datos.

La geolocalización es una técnica que se utiliza para determinar la ubicación geográfica de un dispositivo, vehículo o persona y se ha vuelto cada vez más común en el mundo digital. Sin embargo, su uso puede tener consecuencias para la privacidad y la protección de datos personales. En primer lugar, es importante tener en cuenta que los datos de ubicación pueden ser muy sensibles, ya que pueden revelar la ubicación de una persona en tiempo real y su historial de ubicación. Esto puede ser utilizado por terceros para finalidades de seguimiento, publicidad dirigida o incluso para la comisión de delitos. Si necesita más información al respecto, no dude en contactar con LegalDPO.

Empleados

En la actualidad, muchas empresas utilizan el GPS para gestionar su flota de vehículos y para monitorizar el trabajo de sus empleados que se desplazan. Sin embargo, es importante tener en cuenta que el tratamiento de datos de geolocalización implica una serie de obligaciones legales.

Geolocalización en dispositivos de la empresa

En primer lugar, la geolocalización de los móviles de los empleados, portátiles, tablets y los vehículos de la empresa debe estar justificada por una necesidad legítima, como puede ser la optimización de rutas o la seguridad de los trabajadores. En ningún caso se puede utilizar la ubicación con fines de control laboral abusivo y, en todo caso, tendremos que informar al trabajador sobre este tratamiento de datos. Esto es de aplicación tanto a un móvil que entreguemos a los trabajadores como a las aplicaciones que utilicemos para el registro de la jornada y que tengan sistema de localización en tiempo real.

Geolocalización en vehículos de la empresa

En cuanto a los vehículos de la empresa, es importante tener en cuenta que la ubicación de los mismos también puede estar sujeta a otras normativas, como la Ley de Prevención de Riesgos Laborales o el Reglamento General de Vehículos. En este sentido, las empresas deben asegurarse de cumplir con todas las obligaciones legales que correspondan. En cuanto a la legalidad de la geolocalización de coches, existen diversas leyes que regulan el uso de dispositivos de seguimiento y localización en vehículos. La LOPDGDD establece que los datos de ubicación solo pueden ser utilizados para fines específicos y legítimos, y que los usuarios deben ser informados de forma clara y concisa sobre el uso que se da a sus datos.

¿Se necesita el consentimiento expreso para realizar el seguimiento de dispositivos o vehículos de mi empresa?

Hemos dicho que la ley, tanto el art. 20.3 del Estatuto de los Trabajadores, así como el 90 de la LOPDGDD nos permiten utilizar este mecanismo cumpliendo varios requisitos:

  1. Informar al trabajador/a de forma previa, indicando la finalidad, legitimación, límites y derechos
  2. Asegurar que los datos de ubicación solo se emplearán durante la jornada laboral

Si carecemos de interés legítimo, por ejemplo para la seguridad de vehículos, control o fichaje laboral a través de una aplicación que rastrea la ubicación u otras, las empresas deben obtener el consentimiento previo y expreso de los trabajadores para el tratamiento de sus datos de localización. Este consentimiento debe ser informado y específico, es decir, debe detallar claramente la finalidad del tratamiento y las consecuencias que puede tener para los trabajadores.

Sistemas de localización en dispositivos o vehículos privados de los trabajadores

Aunque es una cuestión que no debería generar dudas, esta clase de tratamiento resulta del todo desproporcionada con las finalidades que queramos perseguir, aunque es posible.

El supuesto que no plantea problemas es implementar la localización a través de una aplicación para el registro de la jornada laboral, ya que normalmente las aplicaciones de esta clase solo la utilizan el momento de hacer el registro, sin seguimiento.

Para supuestos distintos en los que necesitemos implementar el seguimiento de la ubicación en dispositivos o vehículos privados, contacten con el departamento jurídico de LegalDPO en la dirección de correo juridico@legaldpo.es para analizar cada supuesto y conocer la viabilidad.

Derechos de los trabajadores

Los trabajadores tienen derecho a acceder, rectificar, cancelar y oponerse al tratamiento de sus datos de localización. Las empresas deben garantizar el ejercicio efectivo de estos derechos y ofrecer a los trabajadores las herramientas necesarias para hacerlo. Estos derechos, como hemos visto anteriormente, tienen sus limitaciones, pero será necesario determinar si existe la posibilidad de aplicar medidas de control menos intrusivas antes de la implementación de la geolocalización. El artículo 90 de la LOPDGDD establece que en ningún caso se podrán utilizar los datos obtenidos fuera de la jornada laboral, como límite al uso de este sistema.

En conclusión, la geolocalización de los móviles de los empleados y los vehículos de la empresa puede ser una herramienta muy útil para muchas empresas, pero es necesario cumplir con la normativa de protección de datos y otras normativas aplicables, sin necesidad de obtener el consentimiento expreso, pero siendo necesario cumplir con el principio de información.

Geolocalización de usuarios o clientes

También caben los supuestos de utilizar aplicaciones que rastrean la ubicación de nuestros clientes. Salvo que resulte imprescindible para prestar un servicio, tendremos que obtener el consentimiento expreso.

El ejemplo más habitual es el de los conductores privados o servicios de taxi que utilizan aplicaciones con rastreo en tiempo real, siendo imprescindible para localizar al cliente.

Si tiene dudas al respecto contacte con nosotros para conocer su situación.

Seguridad de la información

En cuanto a la protección de datos, las empresas deben garantizar la seguridad de los datos de geolocalización y evitar su acceso, modificación o destrucción no autorizados. Además, deben limitar el acceso a estos datos únicamente a aquellas personas que necesiten conocerlos para realizar su trabajo.

Esperamos que esta información haya sido de utilidad. Si tienes alguna duda o consulta, no dude en contactar con nosotros, escribiendo a hola@legaldpo.es o llamando al 912 300 312. Asimismo, visite nuestra web www.legaldpo.es para conocer más información sobre nuestros servicios.

CANAL DE DENUNCIAS OBLIGATORIO

Author: \ 30 enero, 2024 \ Actualidad, Canal de denuncias, Economía, Medioambiente, Otros temas, Proteccion de datos, Publicaciones AEPD, Redes Sociales, Reglamento europeo, Sin categoría, Tecnología \ 0 Comentarios

Como muchos sabéis, desde el pasado mes de diciembre es de obligado cumplimiento la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, y al amparo del artículo 24 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que incorpora al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019 (Directiva Whistleblowing), para la implementación de un canal de denuncias interno o, también denominado, canal ético de información. En este artículo, queremos hacer un breve resumen sobre quién tiene la obligación de implementarlo, cómo debe gestionarse, qué y quién puede denunciar y demás obligaciones establecidas por la normativa citada.

¿Quién está obligado?

El canal de denuncias es una acción de compliance penal, obligatoria para las empresas que se acogen a determinadas normas ISO y para empresas públicas o privadas en los siguientes casos:

  • Empresas de 50 o más trabajadores
  • Empresas, con independencia del número de trabajadores, sujetos obligados o que aplican la normativa en materia de servicios, productos y mercados financieros; prevención del blanqueo de capitales; seguridad del transporte y; protección del medio ambiente.
  • Partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos
  • Fundaciones o asociaciones sostenidas con fondos públicos
  • Todas las entidades que integran el sector público
  • Empresas que contemplan los artículos 10, 11 y 13 de la Ley 2/2023

Para el resto de empresas el canal tiene carácter voluntario, cuyo objetivo principal es la protección de las personas informantes sobre las infracciones que puedan cometer las empresas o personas vinculadas a éstas.

Ámbito de aplicación material, ¿qué se puede denunciar?

En general, establece el artículo 2 de la Ley 2/2023 en relación con el anexo de la Directiva, cualquier incumplimiento de la normativa vigente que afecte directa o indirectamente a una empresa, sus empleados o terceros colaboradores:

  • Contrataciones irregulares,
  • Incumplimiento de normas de seguridad,
  • Fraude,
  • Incumplimiento de códigos o normas éticas,
  • Tratos vejatorios,
  • Vulneración de normativa medioambiental,
  • Protección y bienestar de los animales,
  • Derechos de los pacientes,
  • Derechos de los consumidores y usuarios,
  • Servicios financieros,
  • Seguridad del transporte,
  • Delitos contra los trabajadores,
  • Delitos contra la Hacienda Pública y Seguridad Social.

Ámbito de aplicación personal, ¿quién puede hacer uso del canal?

La Ley establece en su artículo 3 quién puede hacer uso del canal de denuncias, sin embargo, cualquier persona podrá hacer uso del canal debido a que debemos garantizar la posibilidad de presentar una denuncia de forma anónima: becarios, voluntarios, empleados, clientes, proveedores, colaboradores, trabajadores autónomos, familiares y, en definitiva, cualquier persona que tenga conocimiento de alguna vulneración por parte de la empresa o contra ella, sus directivos, empleados o cualquier persona física o jurídica relacionada con éstos.

Los artículos 7.3 y  17 de la Ley 2/2023, establecen que el informante, aunque sea anónimo, podrá facilitar un medio de comunicación. En todo caso se deberá comunicar al denunciante o afectado la resolución del procedimiento, debiendo garantizar el anonimato del infórmate en todo momento. Plazo de días 10 para resolver desde que se registra la denuncia y comunicación en plazo de 5 desde la resolución.

¿Cómo se puede denunciar?

Se podrán presentar denuncias por escrito o de forma verbal. Asimismo, estas podrán ser de manera física o telemática, incluida la vía telefónica o mediante entrevista personal reservada. La legislación establece la obligación de establecer al menos un modo, siempre que podamos garantizar el acceso al canal a las personas con discapacidad.

Protocolo interno

Será obligatorio disponer de un protocolo interno en el que se establezca la normativa de aplicación, personal designado para la gestión ya sea interno o empresa externa, procedimiento de actuación frente a denuncias, acuerdos de confidencialidad y demás obligaciones recogidas por el art. 9 de la Ley 2/2023

Contacte con LegalDPO si necesita gestionar el canal de denuncia, escribiendo a hola@legaldpo.es o llamando al 912 300 312. Asimismo, visite nuestra web www.legaldpo.es para conocer más información sobre nuestros servicios.

WhatsApp en la empresa

Author: \ 26 enero, 2024 \ Actualidad, Proteccion de datos, Publicaciones AEPD, Reglamento europeo, Tecnología, Teletrabajo, WhatsApp \ 0 Comentarios

Como usar el WhatsApp con clientes, empleados, proveedores y resto de comunicaciones en nuestro día a día

Desde el equipo de LegalDPO queremos facilitaros de una forma sencilla y clara sobre las posibilidades que tenemos a la hora de utilizar la aplicación WhatsApp en nuestra actividad empresarial. Para ello, vamos a conocer qué podemos hacer con esta aplicación y su uso en nuestro día a día.

¿Qué podemos hacer a través de WhatsApp?

El uso de esta aplicación es muy común para la gestión de nuestros servicios, contacto con el cliente, recordatorio de citas y, en ocasiones, envío de publicidad. Para ello, tenemos que considerar algunos aspectos fundamentales:

Clientes o antiguos clientes:

  • SE PUEDE contactar con los clientes cuando tengamos o hayamos tenido relación contractual. Ya sea para gestionar un servicio, comunicaciones relacionadas con este o con nuestros productos, recordatorios de citas y, en general, cualquier comunicación sin fines publicitarios. En ningún caso deberá utilizarse para facilitar información de carácter personal o para enviar documentación, deberán utilizarse otros medios más seguros.

Estas comunicaciones no necesitan consentimiento expreso, pero sí es necesario informar con la cláusula correspondiente en el momento en que recogemos los datos.

  • NO SE DEBE enviar publicidad. Salvo que nos autoricen expresamente marcando la casilla de aceptación, no debemos enviar publicidad a través de WhatsApp. Para realizar campañas publicitarias debemos obtener el consentimiento expreso.

A los dos puntos anteriores es de aplicación una cuestión muy importante: ofrecer al usuario la posibilidad de oponerse al tratamiento de sus datos en cualquier momento o darse de baja para las comunicaciones vía WhatsApp.

Clientes potenciales

En este caso sí será necesario que el cliente potencial acepte las comunicaciones por WhtsApp, sobre todo si queremos enviar publicidad. Distinto será que se pongan en contacto directamente con nosotros, en cuyo caso solo tendremos que informar sobre el tratamiento de sus datos, pero sin la posibilidad de enviar información comercial, salvo autorización expresa.

Empleados:

Las comunicaciones relacionadas con la actividad laboral también están permitidas, siempre que el trabajador/a no se oponga. Será fundamental informarle sobre esta finalidad, garantizando en todo caso el derecho a la desconexión digital. Esto lo haremos con la firma del “Manual de funciones y obligaciones”, que tiene a su disposición en el área de clientes.

Teléfonos de empresa: si ponemos nuestros teléfonos a disposición de los empleados, se les informará sobre la utilización de WhatsApp, además de la posibilidad de ser incluidos en un grupo, pero no es necesario el consentimiento expreso.

Teléfonos personales: distinguimos entre comunicaciones individuales que podamos hacer al empleado, siendo necesario informar y, la posibilidad de ser incluido en un grupo, para lo que necesitaremos el consentimiento expreso.

WhatsApp Business como herramienta comercial

Toda la información que hemos ofrecido es recomendable aplicarla y realizarla a través de WhatsApp Business (Google Play o App Store). Esta herramienta ha sido creada para ser utilizada por las empresas en su actividad comercial, ofreciendo herramientas para gestionar el contacto con los clientes de manera efectiva. Sin embargo, los condiciones de uso son idénticas y las causas de exclusión o vulneración de derechos como spam, contactos no autorizados, publicidad mediante procesos automáticos, etc., se mantienen para esta versión.

Tenga en cuenta que todas estas recomendaciones se pueden adaptar a las necesidades de cada empresa o profesional autónomo. Para poder dar una mejor respuesta, no dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.

¿De quién nos fiamos más a la hora de ceder nuestros datos?

Author: \ 18 mayo, 2020 \ Actualidad, Coronavirus, COVID-19, Reglamento europeo, Sanidad, Sin categoría, Tecnología \ 0 Comentarios

Los últimos acontecimientos demuestran que los españoles se fían más de Google o Amazon que del Estado

 

No creo que a nadie le coja por sorpresa el hecho de que esos pequeños aparatos que llevamos a todas partes con nosotros son una gran fuente de información. Todos los teléfonos móviles captan la geolocalización de su usuario, ¿esto qué quiere decir? Explicado de forma sencilla, significa que mientras estás paseando puede aparecerte un anuncio en tu móvil sobre algún comercio o servicio que está a muy pocos metros de donde tú te encuentras. ¿Casualidad? No, es puro control de datos.

 

Pero esto no es todo, otro término importante para entender todo esto es “big data” (que básicamente se traduciría como tratamiento masivo de datos). Con toda esa información que empresas como Google o Amazon recopilan, en el futuro podrían darse situaciones como que una entidad bancaria valore la concesión de créditos haciendo uso del big data y no solo fijándose en las nóminas de sus clientes.

 

Todo esto así contado parece bastante invasivo y preocupante, ¿verdad? Pues está demostrado que a los españoles no nos inquieta esto, o por lo menos no de igual manera que cuando nuestros datos van a ser controlados por el Estado.

 

Hace unos meses, el Instituto Nacional de Estadística (INE) anunciaba un acuerdo con tres grandes compañías telefónicas para tener acceso a datos móviles durante 8 días. El objetivo de este organismo público era realizar un estudio acerca de la movilidad de la sociedad española. El revuelo en redes sociales no tardó en llegar, de hecho se pronunció hasta la Agencia de Protección de Datos para asegurarse de que el INE cumplía los protocolos.

 

Pero ante todo este suceso, la verdadera pregunta es: ¿De quién nos fiamos más a la hora de ceder nuestros datos? A la vista está la respuesta.

En este caso que venimos contando, el INE únicamente iba a recibir las posiciones de los móviles en esos días y sus movimientos, de forma anónima y haciendo imposible que pudiera identificar a los usuarios o saber más datos sobre ellos. Pero esta promesa de anonimato no parece suficiente, de hecho las personas nos sentimos excesivamente vigiladas y controladas en situaciones como estas.

 

Expertos en este ámbito comentan lo paradójico de esta situación: “La ciudadanía se alarma de que la información esté disponible y no del uso que se hace de ella: al menos conocemos el uso del INE, que es estadístico, cuando hay muchas empresas que hacen un uso ilegítimo de la información”, afirma José Rosell, experto en ciberseguridad. Por otro lado, hay un hecho que es muy importante, tal y como comenta Eduardo Blasi, experto en Derecho Digital, “la transparencia es vital cuando hay tratamientos de este tipo que afectan a muchos ciudadanos”.

 

Y aunque visto con perspectiva pueda parecer todo muy obvio, la realidad es que todos aceptamos que traten nuestros datos cuando usamos diferentes aplicaciones del móvil y lo hacemos sin darle mayor importancia. A la conclusión que han llegado los expertos es a que, lo que realmente ocurre, es que las personas somos más tolerantes y permisivas cuando recibimos algo a cambio. Si tienes que dejar que Google tenga acceso a todos tus movimientos a cambio de poder usar Maps para llegar a ese sitio que no sabes cómo ir, lo pasas por alto, o si para hacerte con ese producto rebajado que tanto tiempo llevabas buscando tienes que consentir que Amazon tengan acceso a algunos de tus datos, pues es un sacrificio a cambio de un beneficio, ¿no? En definitiva, lo que el INE pretendía era mejorar la toma de decisiones públicas, pero eso no es tangible para los ciudadanos y por eso “no merecía la pena” la intrusión.

 

Al final la conclusión es que no es tanto la preocupación por que tengan nuestros datos, sino por el uso que hagan de ellos. ¿Estamos dispuestos a sacrificar nuestra intimidad por una mejora en calidad de vida? ¿Merece la pena que la tecnología ayude por una parte, pero perjudique por otra? ¿Dónde poner el límite? Todo son preguntas sin una respuesta correcta, cada persona tendrá una opinión, pero lo que está claro es que poco podemos hacer si seguimos usando el teléfono móvil como una extensión de nuestro brazo. Y tú, ¿qué opinas de todo esto?

Aplicaciones móviles para luchar contra el COVID-19

Author: \ 14 mayo, 2020 \ Actualidad, Coronavirus, COVID-19, Economía, Otros temas, Redes Sociales, Tecnología \ 0 Comentarios

Que el COVID-19 ha cambiado nuestra forma de vivir por completo no es ninguna novedad. El mundo se ha visto paralizado por una pandemia y todos hemos tenido que afrontar un desafío sin precedentes. Ha sido en una situación como esta cuando se ha vuelto a demostrar que la tecnología, bien utilizada, puede ser de gran ayuda. Por esta razón, a lo largo de estas semanas hemos ido viendo como diferentes países de todo el mundo (no solo de la Unión Europea) han ido creando y lanzando al mercado numerosas aplicaciones con un fin común: colaborar en la lucha contra el coronavirus.

Ante este nuevo panorama, a principios de abril la Comisión Europea decidió adoptar lo que llamaron ‘Recomendación’ sobre la utilización de la tecnología y los datos, con el objetivo de combatir el virus. ¿La finalidad? Crear un enfoque común, entre los miembros de la Unión Europea, para el uso de estas aplicaciones.

Una vez han estado sentadas las bases con esa ‘Recomendación’, la Comisión ha publicado las Orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia del COVID-19. Con esto pretende ayudar a las autoridades sanitarias de cada país de la Unión Europea a la contención y el seguimiento, sobre todo en el proceso de desescalada del confinamiento. Además, desde la Comisión consideran que algunas de estas aplicaciones pueden ayudar a los ciudadanos con consejos y hacer más sencillo su día a día.

Características y requisitos

Una de las primeras cosas en las que se centra la Comisión en estas ‘Orientaciones’ es en el cumplimiento de la legislación de la UE en cuanto a la protección de la intimidad y los datos personales. Para ello establece cuáles deben ser las características y los requisitos de las aplicaciones móviles (aunque estos no son vinculantes jurídicamente).

 

Por lo tanto, las aplicaciones móviles para luchar contra el COVID-19 deben tener una o varias de las siguientes funciones:

  • Facilitar información exacta a las personas sobre la pandemia de COVID-19.
  • Cuestionarios para la comprobación de síntomas.
  • Avisar a los usuarios de si han estado cerca de una persona con el virus y darles información de cómo deben actuar (rastreo de contactos).
  • Foro para médicos y pacientes para que puedan comunicarse de forma telemática.

 

Aportación de las apps a la lucha contra el COVID-19

De las funciones anteriormente señaladas hay dos que son muy útiles en cuanto a su aportación. Es el caso de la herramienta de comprobación de síntomas o la de rastreo. En ambos casos, las autoridades sanitarias pueden dar información a los ciudadanos sobre cómo actuar, cuándo deben solicitar atención sanitaria o cómo evitar la propagación del virus.

 

Pero no es la única aportación. Por otro lado, estas funciones también actúan como grandes fuentes de datos. De esta forma las autoridades sanitarias pueden intercambiar esta información con las autoridades epidemiológicas nacionales, así como con el Centro Europeo para la Prevención y el Control de las Enfermedades.

 

Sin intrusión y cumpliendo la protección de datos

 

Aunque todo esto tiene grandes beneficios, también hay que aumentar el control en lo respectivo a la intrusión de dichas aplicaciones y a que estas cumplan con la ley de protección de datos de la Unión Europea. Para ello, la Comisión establece los elementos que orientarán esas limitaciones:

 

  • Las autoridades sanitarias nacionales (o entidades con esa misión) serán las responsables del tratamiento de los datos, así como de que se cumpla el Reglamento General de Protección de Datos.
  • Las aplicaciones deberán garantizar que cada usuario tenga el control de sus datos, para así generar más confianza. Y para que esto se cumpla la Comisión establece las siguientes condiciones:

 

  1. La descarga de la aplicación será voluntaria.
  2. Cada función de la aplicación requerirá el consentimiento específico por parte del usuario.
  3. Si se usan datos de proximidad (que son aquellos que se generan a través de señales de Bluetooth) estos se tendrán que almacenar en el móvil del usuario y que sea este el que de su permiso para que se compartan con las autoridades sanitarias.
  4. Cada individuo deberá tener toda la información que necesite sobre el tratamiento de sus datos.
  5. Todos los usuarios podrán ejercer sus derechos derivados del Reglamento General de Protección de Datos 2016.
  6. Cuando la pandemia se declare como ‘controlada’ las aplicaciones se desactivarán solas.

 

  • En cuanto al tratamiento de los datos por parte de las autoridades sanitarias nacionales, la Comisión dice que cada país debe establecer medidas concretas que protejan los derechos y libertades de los titulares de los datos.
  • Por último, la Comisión refleja la importancia de que las autoridades de protección de datos estén involucradas y se acuda a ellas siempre que sea necesario para cumplir correctamente con la ley.

La Agencia Española de Protección de Datos multa con 10.000€ a un particular por difundir fotos en WhatsApp

Author: \ 28 febrero, 2020 \ Actualidad, Publicaciones AEPD, Redes Sociales, Reglamento europeo, Tecnología \ 0 Comentarios

Con fecha 18 de diciembre de 2019, la Agencia Española de Protección de Datos (en adelante, AEPD) hacía uso de su potestad sancionadora y multaba con 10.000€ a un particular que, a través de los ‘’estados de WhatsApp’’ publicó fotos personales de dos compañeros de su trabajo y que, previamente, obtuvo de un dispositivo USB que había sustraído. Aunque no es el primer caso en el que la AEPD sanciona a un particular como veremos más adelante, si es un caso especial por la polémica generada por la aplicación del RGPD (Reglamento Europeo de Protección de Datos 2016/679, de 27 de abril) y de la LOPDGDD (Ley Orgánica de Protección de Datos y garantía de los derechos digitales 3/2018, de 5 de diciembre) a una actividad personal o doméstica, como se deduce de la resolución y que, por lo tanto, queda excluida su aplicación al caso que nos ocupa, debiendo haber actuado la jurisdicción penal.

¿Puede la AEPD multar a particulares?

La polémica que ha generado este caso deriva de lo establecido en el artículo 2.2.c) del RGPD, así como en su considerando 18 y el 2.2.a) de la LOPDGDD. Ambos artículos establecen que ninguna de las dos normas será de aplicación ‘’al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas’’. Sin embargo, estos preceptos chocarían con el objeto principal del propio Reglamento que en su artículo 1.2 establece el objeto principal: proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de datos. A esta protección hay que añadir el derecho fundamental de las personas físicas en los que respecta al tratamiento de sus datos personales, amparado por el artículo 18.4 de la Constitución Española.

La opinión generalizada es que la AEPD no puede sancionar a particulares puesto que el RGPD fue concebido para proteger a los ciudadanos del tratamiento de datos que realizan las empresas, ya sea en el marco de una relación contractual o no. Sin embargo, la AEPD ya dejó claro en varias ocasiones que si era competente para conocer y resolver estos casos.

Precedentes

Hay que remontarse al año 2017 para encontrar un caso similar. En este caso, una mujer grabó con su teléfono móvil a un agente de la policía local que, supuestamente, estaba realizando un acto de violencia de género durante la prestación de los servicios policiales. La mujer alegó que grabó el vídeo con la única pretensión de que la agredida pudiera utilizar el vídeo como prueba en un proceso judicial, hecho que no ocurrió. La mujer autora del vídeo envió el mismo a varios de sus contactos vía WhatsApp, con lo que infringió el deber de solicitar el consentimiento del afectado y siendo sancionada por ello con multa de 2.000 euros. Estando todavía vigente la LOPD 15/1999 para este caso concreto, recordemos que en su artículo 2.2.a) establecía que la LOPD no sería de aplicación a los, tan famosos, ficheros mantenidos por personas en el ejercicio de actividades meramente personales o domésticas. Pese a ello, en este procedimiento sancionador PS/00576/2017 la AEPD se consideró plenamente competente para resolver el caso, al amparo del artículo 37 de la antigua LOPD en el que se establecen las funciones de la AEPD que, entre otras, recoge la atención de las reclamaciones y peticiones formuladas por las personas afectadas.

Nuevo Reglamento, pero pocos cambios

En la actualidad hemos sufrido un cambio normativo muy grande en materia de protección de datos, sin embargo, los preceptos antes mencionados se mantienen prácticamente iguales. El caso que nos ocupa, sobre la sanción de 10.000 euros impuesta al hombre que difundió por WhatsApp mensajes íntimos de dos compañeros de trabajo, la AEPD ha hecho uso de los mismos fundamentos ya mencionados. La Directora de la AEPD se considera competente al amparo de los artículos 58.2 del RGPD y 47 y 48 de la actual LOPDGDD. En este sentido, termina por sancionar con 10.000 euros por infringir el artículo 6.1 del RGPD conforme a los establecido en el 83.5.b) del mismo reglamento y difundir los mensajes sin el consentimiento de los afectados.

¿Sanción administrativa o delito?

Otro debate que genera este caso es la vulneración del artículo 197.1 del Código Penal, relativo al descubrimiento de secretos o violación de la intimidad. Aunque no es nuestra materia, este es un delito privado y que se persigue a instancia de parte, por lo que es necesaria la interposición de querella por parte del agraviado, salvo lo dispuesto en el artículo 201 del Código Penal que podrá actuar el Ministerio Fiscal: cuando se trate de menores de edad o se vean afectados los intereses generales o una pluralidad de personas.

Canales de denuncia

La Agencia dispone, además de un canal ordinario, de un canal urgente de denuncia, cuya finalidad es que personas que vean perjudicados sus derechos a la intimidad o al honor, por publicaciones en Internet o redes sociales cuyo contenido tenga carácter violento o sexual, puedan solicitar la eliminación del mismo de forma ‘’inmediata’’.

En relación con este canal urgente de denuncia, junto al ordinario, comprenden herramientas eficaces para que los ciudadanos puedan protegerse ellos mismos por violaciones de sus derechos en materia de protección de datos. Pero hay que recordar que la AEPD puede iniciar de oficio procedimientos sancionadores y viendo que las sanciones a particulares prosperan, es razón de peso ahora más que nunca cuidar todo aquello que compartimos en la red, WhatsApp o cualquier red social. Las sanciones de la AEPD no tienen bonificación como otras que muchos conocemos, además de que el impago de la posible multa impuesta será causa de embargo de la cantidad requerida.

Datos biométricos: tratamiento de la huella dactilar conforme al RGPD

Author: \ 17 diciembre, 2018 \ Actualidad, Otros temas, Reglamento europeo, Tecnología \ 0 Comentarios

El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, RGPD),  integra los datos biométricos como categoría especial de datos personales, estableciéndolo en tal sentido en su artículo 9.1 del RGPD

Qué es Big Data y como afecta en la protección de datos de carácter personal

Author: \ 27 abril, 2018 \ Actualidad, Tecnología \ 0 Comentarios

Hablar de Big Data supone hablar del inexorable progreso tecnológico, que por lo que parece, solo es la punta del iceberg de lo que está por llegar. ¿Por qué digo esto? Es sencillo, se ha pasado de tratar los datos de carácter personal de forma manual y no automatizada a dar un salto cualitativo y cuantitativo asombroso en los últimos cincuenta años.