En
noviembre de 2023 la AEPD publicó una nueva guía sobre el tratamiento de datos
biométricos, en lo referente al control laboral o registro de la jornada
mediante huella dactilar o reconocimiento facial.
Aunque ya hemos hablado sobre las nuevas directrices, queremos hacer un resumen del nuevo criterio seguido por las autoridades de control. Pueden consultar la guía completa en la web de la AEPD pulsando aquí.
Nuevos criterios
No hay una prohibición expresa, pero tampoco tenemos habilitación legal: lo que nos dice la AEPD es que la habilitación del art. 20.3 y 34.9 ambos del Estatuto de los Trabajadores no es suficiente para legitimar a la empresa a utilizar este sistema, como tampoco es suficiente el Real Decreto-Ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. Se trata de un cambio de criterios. Esto no impide que una norma con rango de Ley habilite a las empresas, pero actualmente no existe un Ley que no permita este uso sin realizar una Evaluación de Impacto y, en su caso, solicitar autorización a la AEPD.
Cambio de criterios: tras la decisión de abril del Comité Europeo de Protección de Datos, tanto la autenticación como la identificación biométrica deben ser considerados datos sensibles.
Se trata de una guía: se establecen recomendaciones para realizar esta clase de tratamiento de datos. Ello no significa que sea obligatorio, pero reiteramos una vez que no hay una prohibición expresa, pero el procedimiento que debemos seguir para obtener un tratamiento de datos adaptado a la legislación es muy complejo.
Futuras consecuencias: la recomendación que hacemos desde LegalDPO es que se comiencen a implementar sistemas alternativos de registro o control laboral. Por favor, consulten al proveedor del sistema de control o registro para encontrar soluciones alternativas. La mejor opción y más eficaz:
Control mediante aplicación móvil o web
Control mediante tarjetas
Control mediante códigos de seguridad
Por último, recordar la necesidad estar en disposición de adoptar medidas menos intrusivas para los derechos y libertades de los trabajadores[1].
La guía no solo hace referencia al control laboral mediante huella dactilar, un método bastante cómodo para las empresas a la hora de controla el absentismo laboral y el cumplimiento de las obligaciones laborales. También hace referencia a otros usos de datos biométricos para el control de presencia, por ejemplo. Consulte la guía completa si utiliza datos biométricos en sus empresa.
Para más
información, puede acceder a su área de clientes pulsando aquí. Si ha olvidado
su contraseña, utilice el apartado “ha olvidado su contraseña”. No dude en
contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las
guías y directrices de la AEPD en www.aepd.es.
Todo lo que necesita saber sobre las obligaciones legales en el e-commerce, es crucial entender estas leyes para garantizar una operación legal y ética en el mundo del comercio electrónico, todo ello en base al Reglamento Europeo General de Protección de Datos (2016/679 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE), la Ley General para la Defensa de los Consumidores y Usuarios, así como las guía y directrices de la AEPD.
Política de compra
La política de compra es una guía esencial que
establece las reglas para la interacción entre nuestro negocio y los clientes.
Algunos aspectos que debemos incluir son:
Proceso de compra:
Detalla paso a paso cómo realizar una compra en el
sitio web, desde la selección de productos hasta el pago.
Política de
devoluciones:
Se especifican las condiciones bajo las cuales los
clientes pueden devolver productos y solicitar reembolsos. Esto puede incluir
plazos para devoluciones, estado del producto, etc. Recuerde que en caso de no
indicarlo, la legislación vigente establece que los usuarios o compradores
podrán desistir sin motivo alguno por un plazo de 30 días desde la compra,
salvo las excepciones del artículo
103 de la LGDCU.
Tiempos de entrega:
Establece los plazos de entrega estimados y las
condiciones de envío, incluyendo costos adicionales si los hubiera.
Métodos de pago:
Lista los métodos de pago aceptados y asegúrate de cumplir con los estándares de seguridad de pago en línea, como el uso de certificados de seguridad (SSL), entre otros.
Condiciones generales de contratación
Estas condiciones son el contrato entre nuestro
negocio y nuestros clientes. Deben abordar aspectos como:
Responsabilidades del
vendedor y del comprador:
Especifica claramente quién es responsable de qué en
cada etapa del proceso de compra y entrega.
Derechos y
obligaciones:
Detalla los derechos y obligaciones tanto del cliente
como del vendedor para evitar malentendidos o disputas, así como información
sobre las garantías que ofrecemos al usuario o las que ofrece el proveedor.
Resolución de
conflictos:
Indica cómo se resolverán las disputas entre ambas partes y la jurisdicción aplicable en caso de litigio.
Protección de datos
personales:
Se describirán cómo manejamos los datos, con que finalidad, a quién cederemos los datos, la forma de ejercer derechos, entre otras cuestiones. Puede consultar información detallada sobre las obligaciones legales de la página web y la protección de datos en nuestro artículo publicado en el blog pulsando aquí.
Leyes de aplicación
Es fundamental conocer las leyes que regulan el
comercio electrónico. En nuestro caso, encontramos leyes de protección al
consumidor; leyes y disposiciones europeas sobre garantías, desistimiento; normativa
fiscal como la facturación electrónica y el tratamiento del IVA en las ventas
en línea; legislación sobre comercio electrónico transfronterizo si operamos en varios países. Cumplir con
estas obligaciones legales no solo es una obligación, sino que también genera
confianza y credibilidad entre nuestros clientes.
Para más información, puede acceder a su área de
clientes pulsando aquí. Si ha
olvidado su contraseña, utilice el apartado “ha olvidado su contraseña”. No
dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y
directrices de la AEPD en www.aepd.es.
En esta entrega os traemos varias cuestiones a tener en cuenta sobre la
geolocalización, dispositivos, vehículos o aplicaciones con sistema GPS que
utilizamos en nuestra empresa. Veremos que obligaciones establece tanto el RGPD 2016/679, de
27 de abril y la LOPDGDD
3/2018, de 5 diciembre, siempre amparándonos en el artículo 20.3 del Estatuto
de los Trabajadores aprobado por Real Decreto Legislativo 2/2015, de 23 de
octubre
Geolocalización
En la actualidad, la geolocalización es una herramienta muy valiosa para
muchas empresas, ya que permite conocer la ubicación de los usuarios y, por
tanto, prestar servicios personalizados y adaptados a sus necesidades. Sin
embargo, es importante tener en cuenta que determinar la ubicación implica el
tratamiento de datos personales, por lo que las empresas deben cumplir con la
normativa de protección de datos.
La geolocalización es una técnica que se utiliza para determinar la
ubicación geográfica de un dispositivo, vehículo o persona y se ha vuelto cada
vez más común en el mundo digital. Sin embargo, su uso puede tener consecuencias
para la privacidad y la protección de datos personales. En primer lugar, es
importante tener en cuenta que los datos de ubicación pueden ser muy sensibles,
ya que pueden revelar la ubicación de una persona en tiempo real y su historial
de ubicación. Esto puede ser utilizado por terceros para finalidades de seguimiento,
publicidad dirigida o incluso para la comisión de delitos. Si necesita más
información al respecto, no dude en contactar con LegalDPO.
Empleados
En la actualidad, muchas empresas utilizan el GPS para gestionar su
flota de vehículos y para monitorizar el trabajo de sus empleados que se
desplazan. Sin embargo, es importante tener en cuenta que el tratamiento de
datos de geolocalización implica una serie de obligaciones legales.
Geolocalización en dispositivos de la empresa
En primer lugar, la geolocalización de los móviles de los empleados,
portátiles, tablets y los vehículos de la empresa debe estar justificada por
una necesidad legítima, como puede ser la optimización de rutas o la seguridad
de los trabajadores. En ningún caso se puede utilizar la ubicación con fines de
control laboral abusivo y, en todo caso, tendremos que informar al trabajador
sobre este tratamiento de datos. Esto es de aplicación tanto a un móvil que
entreguemos a los trabajadores como a las aplicaciones que utilicemos para el
registro de la jornada y que tengan sistema de localización en tiempo real.
Geolocalización en vehículos de la empresa
En cuanto a los vehículos de la empresa, es importante tener en cuenta
que la ubicación de los mismos también puede estar sujeta a otras normativas,
como la Ley de Prevención de Riesgos Laborales o el Reglamento General de
Vehículos. En este sentido, las empresas deben asegurarse de cumplir con todas
las obligaciones legales que correspondan. En cuanto a la legalidad de la
geolocalización de coches, existen diversas leyes que regulan el uso de
dispositivos de seguimiento y localización en vehículos. La LOPDGDD establece
que los datos de ubicación solo pueden ser utilizados para fines específicos y
legítimos, y que los usuarios deben ser informados de forma clara y concisa
sobre el uso que se da a sus datos.
¿Se necesita el consentimiento expreso para realizar el seguimiento de
dispositivos o vehículos de mi empresa?
Hemos dicho que la ley, tanto el art. 20.3 del Estatuto de los
Trabajadores, así como el 90 de la LOPDGDD nos permiten utilizar este mecanismo
cumpliendo varios requisitos:
Informar al
trabajador/a de forma previa, indicando la finalidad, legitimación, límites y
derechos
Asegurar que los
datos de ubicación solo se emplearán durante la jornada laboral
Si carecemos de interés legítimo, por ejemplo para la seguridad de
vehículos, control o fichaje laboral a través de una aplicación que rastrea la
ubicación u otras, las empresas deben obtener el consentimiento previo y
expreso de los trabajadores para el tratamiento de sus datos de localización.
Este consentimiento debe ser informado y específico, es decir, debe detallar
claramente la finalidad del tratamiento y las consecuencias que puede tener
para los trabajadores.
Sistemas de localización en dispositivos o vehículos privados de los
trabajadores
Aunque es una cuestión que no debería generar dudas, esta
clase de tratamiento resulta del todo desproporcionada con las finalidades que
queramos perseguir, aunque es posible.
El supuesto que no plantea problemas es implementar la
localización a través de una aplicación para el registro de la jornada laboral,
ya que normalmente las aplicaciones de esta clase solo la utilizan el momento
de hacer el registro, sin seguimiento.
Para supuestos distintos en los que necesitemos implementar
el seguimiento de la ubicación en dispositivos o vehículos privados, contacten
con el departamento jurídico de LegalDPO en la dirección de correo juridico@legaldpo.es para analizar cada
supuesto y conocer la viabilidad.
Derechos de los trabajadores
Los trabajadores tienen derecho a acceder, rectificar, cancelar y
oponerse al tratamiento de sus datos de localización. Las empresas deben
garantizar el ejercicio efectivo de estos derechos y ofrecer a los trabajadores
las herramientas necesarias para hacerlo. Estos derechos, como hemos visto
anteriormente, tienen sus limitaciones, pero será necesario determinar si
existe la posibilidad de aplicar medidas de control menos intrusivas antes de
la implementación de la geolocalización. El artículo 90 de la LOPDGDD establece
que en ningún caso se podrán utilizar los datos obtenidos fuera de la jornada
laboral, como límite al uso de este sistema.
En conclusión, la
geolocalización de los móviles de los empleados y los vehículos de la empresa
puede ser una herramienta muy útil para muchas empresas, pero es necesario
cumplir con la normativa de protección de datos y otras normativas aplicables,
sin necesidad de obtener el consentimiento expreso, pero siendo necesario
cumplir con el principio de información.
Geolocalización de usuarios o clientes
También caben los supuestos de utilizar aplicaciones que
rastrean la ubicación de nuestros clientes. Salvo que resulte imprescindible
para prestar un servicio, tendremos que obtener el consentimiento expreso.
El ejemplo más habitual es el de los conductores privados o
servicios de taxi que utilizan aplicaciones con rastreo en tiempo real, siendo
imprescindible para localizar al cliente.
Si tiene dudas al respecto contacte con nosotros para
conocer su situación.
Seguridad de la información
En cuanto a la protección de datos, las empresas deben garantizar la seguridad de los datos de geolocalización y evitar su acceso, modificación o destrucción no autorizados. Además, deben limitar el acceso a estos datos únicamente a aquellas personas que necesiten conocerlos para realizar su trabajo.
Esperamos que esta
información haya sido de utilidad. Si tienes alguna duda o consulta, no dude en
contactar con nosotros, escribiendo a hola@legaldpo.es
o llamando al 912 300 312. Asimismo, visite nuestra web www.legaldpo.es
para conocer más información sobre nuestros servicios.
El uso de las instalaciones de cámaras y
videocámaras debe seguir ciertas reglas que rigen todo el proceso desde su
captación, almacenamiento, reproducción hasta su cancelación. El responsable
deberá tener en cuenta los siguientes principios:
Se instalará un cartel (como mínimo) en lugar visible que informe de que se está en un establecimiento videovigilado. LEGALDPO le proveerá del mencionado cartel con todas aquellas estipulaciones exigidas por la legislación.
Deberá colocarse
un cartel en cada entrada que de paso a una estancia videovigilada. Ej. Tenemos
una instalación con 3 entradas y dos de ellas dan paso a un recinto principal
videovigilado. Cada entrada deberá tener un cartel. La tercera entrada da paso a
una estancia privada para el personal que no está vigilada por cámaras, no
necesitará cartel. Sin embargo, la estancia del personal si da paso al recinto
principal videovigilado, por lo que si necesitará cartel. En total, debemos
colocar 3 carteles.
Debe existir una
relación de proporcionalidad entre la finalidad perseguida y el modo en el que
se traten los datos.
Debe informarse
sobre la captación y/o grabación de las imágenes. Ej. Incluso en los casos en
los que las videocámaras se utilicen para fines lícitos y legítimos como la
seguridad de las instalaciones, se deberá informar igualmente.
El uso de
instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un
medio menos invasivo. Ej. No es necesario grabar a los estudiantes de una clase
para realizar controles de presencia cuando bastaría el método tradicional de
pasar lista.
Las cámaras y
videocámaras instaladas en espacios privados no podrán obtener imágenes de
espacios públicos. Ej. Una videocámara utilizada con fines de seguridad privada
situada en un edificio no debería tomar imágenes de toda la calle en la que
éste se encuentre.
Podrían tomarse
imágenes parciales y limitadas de vías públicas cuando resulte imprescindible
para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo
por razón de la ubicación de aquéllas. Ej. Si una cámara debe ubicarse
necesariamente en la puerta de entrada de una entidad bancaria, o en la esquina
de un edificio debería orientarse de modo que la parte de vía pública que
recoja se limite al acceso vigilado sin recoger más porción de la
imprescindible. No podrán captarse imágenes del resto de la acera o de la
calle. Otro ejemplo sería la entrada de un garaje que graba las matrículas de
los vehículos y, necesariamente, enfoca a la vía pública. Debería colocarse la
cámara de tal forma que capte la matrícula pero enfoque la menor porción
posible de la vía pública.
En cualquier caso el uso de sistemas de videovigilancia deberá ser respetuoso con los derechos de las personas y el resto del Ordenamiento jurídico. Ej. No sería admisible la captación de imágenes en espacios protegidos por el derecho a la intimidad como los interiores de viviendas cercanas, en baños o vestuarios o en espacios físicos ajenos al específicamente protegido por la instalación.
Lea nuestro artículos sobre la videovigilancia en las empresas en este enlace.
Tiempo de conservación
Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron. Ej. Como más adelante se señala en esta Guía la Instrucción 1/2006 sobre conservación de las imágenes con fines de vigilancia fija un plazo máximo de un mes. En los casos en que las imágenes se capten a otros efectos se someterá a la legislación específica aplicable.
En esta entrega queremos hablaros sobre las brechas de seguridad, qué son, clases, medidas, cómo actuar y las posibles consecuencias.
El Reglamento General de Protección de Datos Europeo (RGPD 2017/679, de 27 de abril) nos da una definición muy amplia sobre este concepto. La brecha de seguridad supone cualquier incidente, pérdida, robo, alteración o destrucción de información personal, comunicación o cesión a terceros sin consentimiento o autorización. En este sentido, podemos catalogar como brecha de seguridad, por ejemplo, los siguientes casos:
Pérdida o robo de ordenador, teléfono o
cualquier documento o dispositivo que almacene o contenga datos de terceros
Envío de documentación personal por error a
un tercero que no es destinatario
Acceso a nuestros sistemas o documentos por
terceros no autorizados
Eliminación accidental de documentos con
datos personales
¿Qué hago si he sufrido una brecha de
seguridad?
En primer lugar, cualquier sospecha
de haber sufrido una brecha será necesario analizar y registrar la misma. Dispone
del registro en su área de clientes.
Si usted es cliente de LegalDPO, contacte con juridico@legaldpo.es para que realicemos
el análisis.
Recuerde que es fundamental atender al procedimiento del art. 33
RGPD, siendo necesario actuar en plazo de 72 horas desde que se tienen conocimiento
de una brecha de seguridad. Por ello, es fundamental que notifique a LegalDPO
la información necesaria en plazo de 24 horas y que podamos realizar el análisis.
Puede utilizar el formulario para registro de brechas en su documentación
del área de clientes.
La información que necesitamos y
deberá remitir al departamento jurídico:
Breve descripción de los hechos
Naturaleza de la brecha: si un tercero no
autorizado a accedido a información personal, si ha sido robado o perdido un
dispositivo o documentación, si se ha alterado información original, se han
bloqueado el acceso a los datos. La naturaleza de la brecha se clasificará en
brecha de confidencialidad, integridad o disponibilidad.
Origen de la amenaza: si ha sido interna
(personal de la empresa) o externa (tercero), así como la intencionalidad:
error humano, error técnico, intencionada o accidental.
Medios por los que se ha materializado la
brecha: hacking, datos enviados por error, robo, eliminación incorrecta,
publicación no intencionada, revelación verbal, pérdida de dispositivo.
Sujetos afectados: clientes, alumnos,
empleados, usuarios de la web, proveedores y número aproximado de personas que
se han visto afectadas por la brecha.
Categoría de datos afectados: la clase de
datos que han sido objeto de la brecha, tales como datos de contacto, datos
bancarios, datos sensibles (salud, biométricos, etc.), información patrimonial,
datos de menores, personas vulnerables, etc.
Medidas de seguridad previas a la brecha:
descripción de las medidas existentes hasta la materialización o sospecha de la
brecha de seguridad, tales como contraseñas en dispositivos, registro de
entrada/salida de soportes, cifrado de datos, copias de seguridad, formación de
empleados, entre otras.
Actuación ante las brechas de seguridad
Una vez analizada la brecha de
seguridad y las consecuencias, nos encontraremos varios escenarios:
Necesidad de denunciar ante las autoridades
Contactar con los afectados
Comunicar la brecha a la Agencia Española de
Protección de Datos (AEPD), de acuerdo al artículo 33 del RGPD.
Implementación de medidas correctoras o
mejora de las existentes
Estas acciones dependerán del análisis
previo. En la mayoría de ocasiones son acumulativas, aunque la implementación
de medidas correctoras o mejora de éstas siempre estará presente.
Estas acciones se llevarán a cabo
en plazo máximo de 48 horas desde que notifique a LegalDPO la información
necesaria.
Infracciones y consecuencias
Un error muy común es la falsa
creencia o el miedo de comunicar una brecha a la AEPD. No debemos olvidar que
los errores humanos, técnicos así como los hackeos
estarán siempre presentes. La Agencia no va a sancionar siempre que hayamos
hecho todo lo posible para prevenir y evitar una brecha de seguridad, pero es
imposible asegurar que no se produzcan. Es importante que cuando sea necesario,
se notifique a la Autoridad. Siempre será más beneficioso comunicar que no
hacerlo por miedo a las consecuencias.
La vulneración del procedimiento descrito en el art. 33 RGPD es constitutivo de una infracción grave contemplada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), en concreto del art. 73.r), cuya sanción podrá ascender hasta los 10 millones de euros o el 2% del volumen total del negocio. En cualquier caso, atendiendo a las Directrices 04/2022 sobre el cálculo de las multas bajo el RGPD, para empresas cuya facturación sea inferior a 2 millones de euros, la cuantía de la sanción podrá ser de 4.000 a 40.000 euros y para facturaciones superior a 2 millones de euros podrán ascender hasta los 200.000 euros.
Medidas tras una brecha de seguridad
Una vez que damos por concluida
la brecha de seguridad, salvo que lo hayamos hecho previamente, tendremos que
revisar las medidas de seguridad que tenemos implementadas.
Estas medidas podrán ser muy
diversas: desde la formación y sensibilización al personal en materia de protección
de datos, actualización de protocolos de actuación, cambio en los períodos de
realización de copias de seguridad, cifrado de datos, entre otras.
Junto al departamento jurídico de LegalDPO se realizará un nuevo análisis de riesgos y se decidirán las mejoras o actualizaciones que deben implementarse, siempre atendiendo a lo dispuesto en el art. 25 del RGPD, teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.
Artículo 25.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
No olvide contactar con LegalDPO si tiene cualquier duda o quiere ampliar esta información a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es. Puede consultar nuestros servicios en las páginas web, aplicables en toda España.
Por último, puede ampliar toda esta información desde el apartado «brechas de seguridad» en el sitio web de la AEPD.
La política de cookies de nuestro sitio web es obligatoria. Debido a que suele ser la gran olvidada, desde LegalDPO queremos recordaros la importancia que tiene y que, por ser clientes, tenéis a vuestra disposición esta documentación para incluir en la página web y un equipo que os ayudará en su implementación.
Nueva guía sobre el uso de cookies en la página web
Para ofrecer información práctica
y adaptarla a la normativa europea sobre uso de cookies aprobadas por las Directrices
03/2022, la AEPD ha publicado una nueva guía, haciendo alusión a las
distintas clases de cookies,
funciones, obligaciones, forma de ofrecer la información a los usuarios, modo
de aceptación y rechazo, disposición del pop
up, entre otras cuestiones relevantes, todo en colaboración con distintos
organismos y asociaciones.
Puede acceder al contenido de la guía pulsando aquí. Desde el equipo de
LegalDPO queremos acercaros la información de forma resumida y sencilla.
¿Qué es una cookies?
Es un archivo que crean las
páginas web, se instalan en los equipos de los usuarios y nos ayudan a obtener
información de éstos cuando navegan por nuestra página.
Como norma general, estos archivos cumplen dos funciones: por una lado
ayudan al usuario a navegar más fácilmente
y, por otro lado, obtener información de lo que hace el usuario en
nuestra web.
¿Estoy obligado a disponer de política de cookies en mi web?
La realidad es que es fundamental
disponer del apartado con información adicional sobre las cookies, sus funciones, proveedor, destino de los datos y tiempo de
almacenamiento. Este apartado se encuentra regulado por la Ley de Servicios de
la Sociedad de la Información y de Comercio Electrónico (LSSI), modificada
posteriormente por el Real Decreto-Ley 13/2012, así como por las Directrices
europeas anteriormente mencionadas.
Las cookies técnicas y necesarias para el normal
funcionamiento de la web están excluidas de la exigencia de aceptar o rechazar su
instalación y obtener el consentimiento, siendo necesario disponer de pop up de cookies en caso de emplear analíticas, de publicidad, seguimiento,
entre otras, ya sean propias o de terceros.
En ambos casos necesitamos implementar la información sobre las cookies, pero en caso de utilizar otras
distintas a las técnicas y necesarias, será necesario que el usuario acepte o
rechace su instalación y, de este modo, preste su consentimiento.
Cookies obligadas
Cuando utilizamos cookies,
tenemos las siguientes obligaciones:
Pop up que se visualice cuando el
usuario acceda a la web, le permita conocer información de primera capa,
aceptar o denegar las cookies o
personalizar su instalación
Apartado
de la política en el pie de página o en lugar visible y que el usuario pueda
acceder desde cualquier pestaña de la página web.
Informar
a los usuarios de qué son las cookies,
para qué se utilizan, cuáles usamos en nuestra web, con qué finalidad y de
quién proceden (propias o de terceros).En
Cookies de pago
Es una práctica habitual que está
de moda. Mucha gente se pregunta si para rechazar las cookies nos pueden exigir un pago o una suscripción, lo que se
denomina denegación total o parcial del servicio.
La realidad es que sí. Es una
práctica habitual en revistas o periódicos digitales. Estos medios pueden pedir
una suscripción o pago para poder rechazar la instalación de determinadas cookies, sobre todo publicitarias, pues
los ingresos de estas empresas son fundamentalmente publicitarios. Para ello, se
tendrá que informar debidamente al usuario, ofrecerle información sobre esta
finalidad. Aunque las nuevas directrices sobre uso de cookies parezcan más restrictivas, ahora se podrá cobrar al usuario
para no instalarlas.
Ahora bien, habrá que tener en
cuenta que no será posible denegar el acceso si nuestra web es el único medio
que empleamos, por ejemplo, para el ejercicio de derechos o para el canal de
denuncias. Puede acceder a nuestro artículo
sobre el canal obligatorio de denuncias.
Recuerde que si es cliente de LegalDPO,
le facilitamos toda la documentación con los requisitos legales, disponible en
su área de clientes.
Contacte con nosotros en el correo hola@legaldpo.es
o visite nuestra web en www.legaldpo.es.
Consulte nuestras tarifas y servicios que prestamos en toda España.
Como muchos sabéis, desde el pasado mes de diciembre es de obligado cumplimiento la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, y al amparo del artículo 24 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que incorpora al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019 (Directiva Whistleblowing), para la implementación de un canal de denuncias interno o, también denominado, canal ético de información. En este artículo, queremos hacer un breve resumen sobre quién tiene la obligación de implementarlo, cómo debe gestionarse, qué y quién puede denunciar y demás obligaciones establecidas por la normativa citada.
¿Quién está obligado?
El canal de denuncias es una acción de compliance penal, obligatoria para las empresas que se acogen a
determinadas normas ISO y para empresas públicas o privadas en los siguientes
casos:
Empresas de 50 o más
trabajadores
Empresas, con independencia
del número de trabajadores, sujetos obligados o que aplican la normativa en
materia de servicios, productos y mercados financieros; prevención del blanqueo
de capitales; seguridad del transporte y; protección del medio ambiente.
Partidos políticos, los sindicatos, las organizaciones empresariales
y las fundaciones creadas por unos y otros, siempre que reciban o gestionen
fondos públicos
Fundaciones o asociaciones
sostenidas con fondos públicos
Todas las entidades que
integran el sector público
Empresas que contemplan los
artículos 10, 11 y 13 de la Ley 2/2023
Para el resto de
empresas el canal tiene carácter voluntario, cuyo objetivo principal es la
protección de las personas informantes sobre las infracciones que puedan
cometer las empresas o personas vinculadas a éstas.
Ámbito de aplicación material, ¿qué se puede denunciar?
En general, establece
el artículo 2 de la Ley 2/2023 en relación con el anexo de la Directiva, cualquier
incumplimiento de la normativa vigente que afecte directa o indirectamente a
una empresa, sus empleados o terceros colaboradores:
Contrataciones irregulares,
Incumplimiento de normas de seguridad,
Fraude,
Incumplimiento de códigos o normas éticas,
Tratos vejatorios,
Vulneración de normativa medioambiental,
Protección y bienestar de los animales,
Derechos de los pacientes,
Derechos de los consumidores y usuarios,
Servicios financieros,
Seguridad del transporte,
Delitos contra los trabajadores,
Delitos contra la Hacienda Pública y Seguridad Social.
Ámbito de aplicación personal, ¿quién puede hacer
uso del canal?
La Ley establece
en su artículo 3 quién puede hacer uso del canal de denuncias, sin embargo, cualquier
persona podrá hacer uso del canal debido a que debemos garantizar la
posibilidad de presentar una denuncia de forma anónima: becarios,
voluntarios, empleados, clientes, proveedores, colaboradores, trabajadores
autónomos, familiares y, en definitiva, cualquier persona que tenga
conocimiento de alguna vulneración por parte de la empresa o contra ella, sus
directivos, empleados o cualquier persona física o jurídica relacionada con
éstos.
Los artículos 7.3
y 17 de la Ley 2/2023, establecen que el
informante, aunque sea anónimo, podrá facilitar un medio de comunicación. En
todo caso se deberá comunicar al denunciante o afectado la resolución del
procedimiento, debiendo garantizar el anonimato del infórmate en todo momento.
Plazo de días 10 para resolver desde que se registra la denuncia y comunicación
en plazo de 5 desde la resolución.
¿Cómo se puede denunciar?
Se podrán presentar denuncias por escrito o de forma verbal.
Asimismo, estas podrán ser de manera física o telemática, incluida la vía
telefónica o mediante entrevista personal reservada. La legislación establece
la obligación de establecer al menos un modo, siempre que podamos garantizar el
acceso al canal a las personas con discapacidad.
Protocolo interno
Será obligatorio disponer de un protocolo interno en el que
se establezca la normativa de aplicación, personal designado para la gestión ya
sea interno o empresa externa, procedimiento de actuación frente a denuncias,
acuerdos de confidencialidad y demás obligaciones recogidas por el art. 9 de la
Ley 2/2023
Contacte con LegalDPO si necesita gestionar el canal de denuncia, escribiendo a hola@legaldpo.es o llamando al 912 300 312. Asimismo, visite nuestra web www.legaldpo.es para conocer más información sobre nuestros servicios.
Como usar el WhatsApp con clientes, empleados, proveedores y resto de comunicaciones en nuestro día a día
Desde el equipo de LegalDPO queremos facilitaros de una forma sencilla y clara sobre las posibilidades que tenemos a la hora de utilizar la aplicación WhatsApp en nuestra actividad empresarial. Para ello, vamos a conocer qué podemos hacer con esta aplicación y su uso en nuestro día a día.
¿Qué podemos hacer a través de WhatsApp?
El uso de esta
aplicación es muy común para la gestión de nuestros servicios, contacto con el
cliente, recordatorio de citas y, en ocasiones, envío de publicidad. Para ello,
tenemos que considerar algunos aspectos fundamentales:
Clientes o antiguos clientes:
SE PUEDE contactar con los clientes cuando tengamos o hayamos tenido relación contractual. Ya sea para gestionar un servicio, comunicaciones relacionadas con este o con nuestros productos, recordatorios de citas y, en general, cualquier comunicación sin fines publicitarios. En ningún caso deberá utilizarse para facilitar información de carácter personal o para enviar documentación, deberán utilizarse otros medios más seguros.
Estas comunicaciones no necesitan consentimiento expreso, pero sí es necesario informar con la cláusula correspondiente en el momento en que recogemos los datos.
NO SE DEBE enviar publicidad. Salvo que nos autoricen expresamente marcando la casilla de aceptación, no debemos enviar publicidad a través de WhatsApp. Para realizar campañas publicitarias debemos obtener el consentimiento expreso.
A los dos
puntos anteriores es de aplicación una cuestión muy importante: ofrecer al usuario la
posibilidad de oponerse al tratamiento de sus datos en cualquier
momento o darse de baja para las comunicaciones vía WhatsApp.
Clientes potenciales
En este caso
sí será necesario que el cliente potencial acepte las comunicaciones por WhtsApp, sobre todo si queremos enviar
publicidad. Distinto será que se pongan en contacto directamente con nosotros,
en cuyo caso solo tendremos que informar sobre el tratamiento de sus datos,
pero sin la posibilidad de enviar información comercial, salvo autorización
expresa.
Empleados:
Las
comunicaciones relacionadas con la actividad laboral también están permitidas,
siempre que el trabajador/a no se oponga. Será fundamental informarle sobre
esta finalidad, garantizando en todo caso el derecho a la desconexión digital. Esto
lo haremos con la firma del “Manual de funciones y obligaciones”, que tiene a
su disposición en el área de
clientes.
Teléfonos de empresa: si ponemos
nuestros teléfonos a disposición de los empleados, se les informará sobre la
utilización de WhatsApp, además de la
posibilidad de ser incluidos en un grupo, pero no es necesario el
consentimiento expreso.
Teléfonos personales: distinguimos entre comunicaciones individuales que podamos hacer al empleado, siendo necesario informar y, la posibilidad de ser incluido en un grupo, para lo que necesitaremos el consentimiento expreso.
WhatsApp Business como herramienta comercial
Toda la
información que hemos ofrecido es recomendable aplicarla y realizarla a través
de WhatsApp Business (Google Play o App Store). Esta herramienta ha sido creada para ser utilizada
por las empresas en su actividad comercial, ofreciendo herramientas para
gestionar el contacto con los clientes de manera efectiva. Sin embargo, los
condiciones de uso son idénticas y las causas de exclusión o vulneración de
derechos como spam, contactos no
autorizados, publicidad mediante procesos automáticos, etc., se mantienen para
esta versión.
Tenga en cuenta que todas estas recomendaciones se pueden adaptar a las necesidades de cada empresa o profesional autónomo. Para poder dar una mejor respuesta, no dude en contactar con el equipo de LegalDPO a través del correo hola@legaldpo.es, en nuestra web www.legaldpo.es o consulte las guías y directrices de la AEPD en www.aepd.es.
Con fecha 18 de diciembre de 2019, la Agencia Española de Protección de Datos (en adelante, AEPD) hacía uso de su potestad sancionadora y multaba con 10.000€ a un particular que, a través de los ‘’estados de WhatsApp’’ publicó fotos personales de dos compañeros de su trabajo y que, previamente, obtuvo de un dispositivo USB que había sustraído. Aunque no es el primer caso en el que la AEPD sanciona a un particular como veremos más adelante, si es un caso especial por la polémica generada por la aplicación del RGPD (Reglamento Europeo de Protección de Datos 2016/679, de 27 de abril) y de la LOPDGDD (Ley Orgánica de Protección de Datos y garantía de los derechos digitales 3/2018, de 5 de diciembre) a una actividad personal o doméstica, como se deduce de la resolucióny que, por lo tanto,queda excluida su aplicación al caso que nos ocupa, debiendo haber actuado la jurisdicción penal.
¿Puede la AEPD multar a particulares?
La polémica que ha generado este caso deriva de lo establecido en el artículo 2.2.c) del RGPD, así como en su considerando 18 y el 2.2.a) de la LOPDGDD. Ambos artículos establecen que ninguna de las dos normas será de aplicación ‘’al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas’’. Sin embargo, estos preceptos chocarían con el objeto principal del propio Reglamento que en su artículo 1.2 establece el objeto principal: proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de datos. A esta protección hay que añadir el derecho fundamental de las personas físicas en los que respecta al tratamiento de sus datos personales, amparado por el artículo 18.4 de la Constitución Española.
La opinión generalizada es que la AEPD no puede sancionar a particulares puesto que el RGPD fue concebido para proteger a los ciudadanos del tratamiento de datos que realizan las empresas, ya sea en el marco de una relación contractual o no. Sin embargo, la AEPD ya dejó claro en varias ocasiones que si era competente para conocer y resolver estos casos.
Precedentes
Hay que remontarse al año 2017 para encontrar un caso similar. En este caso, una mujer grabó con su teléfono móvil a un agente de la policía local que, supuestamente, estaba realizando un acto de violencia de género durante la prestación de los servicios policiales. La mujer alegó que grabó el vídeo con la única pretensión de que la agredida pudiera utilizar el vídeo como prueba en un proceso judicial, hecho que no ocurrió. La mujer autora del vídeo envió el mismo a varios de sus contactos vía WhatsApp, con lo que infringió el deber de solicitar el consentimiento del afectado y siendo sancionada por ello con multa de 2.000 euros. Estando todavía vigente la LOPD 15/1999 para este caso concreto, recordemos que en su artículo 2.2.a) establecía que la LOPD no sería de aplicación a los, tan famosos, ficheros mantenidos por personas en el ejercicio de actividades meramente personales o domésticas. Pese a ello, en este procedimiento sancionador PS/00576/2017la AEPD se consideró plenamente competente para resolver el caso, al amparo del artículo 37 de la antigua LOPD en el que se establecen las funciones de la AEPD que, entre otras, recoge la atención de las reclamaciones y peticiones formuladas por las personas afectadas.
Nuevo Reglamento, pero pocos cambios
En la actualidad hemos sufrido un cambio normativo muy grande en materia de protección de datos, sin embargo, los preceptos antes mencionados se mantienen prácticamente iguales. El caso que nos ocupa, sobre la sanción de 10.000 euros impuesta al hombre que difundió por WhatsApp mensajes íntimos de dos compañeros de trabajo, la AEPD ha hecho uso de los mismos fundamentos ya mencionados. La Directora de la AEPD se considera competente al amparo de los artículos 58.2 del RGPD y 47 y 48 de la actual LOPDGDD. En este sentido, termina por sancionar con 10.000 euros por infringir el artículo 6.1 del RGPD conforme a los establecido en el 83.5.b) del mismo reglamento y difundir los mensajes sin el consentimiento de los afectados.
¿Sanción administrativa o delito?
Otro debate que genera este caso es la vulneración del artículo 197.1 del Código Penal, relativo al descubrimiento de secretos o violación de la intimidad. Aunque no es nuestra materia, este es un delito privado y que se persigue a instancia de parte, por lo que es necesaria la interposición de querella por parte del agraviado, salvo lo dispuesto en el artículo 201 del Código Penal que podrá actuar el Ministerio Fiscal: cuando se trate de menores de edad o se vean afectados los intereses generales o una pluralidad de personas.
Canales de denuncia
La Agencia dispone, además de un canal ordinario, de un canal urgente de denuncia, cuya finalidad es que personas que vean perjudicados sus derechos a la intimidad o al honor, por publicaciones en Internet o redes sociales cuyo contenido tenga carácter violento o sexual, puedan solicitar la eliminación del mismo de forma ‘’inmediata’’.
En relación con este canal urgente de denuncia, junto al ordinario, comprenden herramientas eficaces para que los ciudadanos puedan protegerse ellos mismos por violaciones de sus derechos en materia de protección de datos. Pero hay que recordar que la AEPD puede iniciar de oficio procedimientos sancionadores y viendo que las sanciones a particulares prosperan, es razón de peso ahora más que nunca cuidar todo aquello que compartimos en la red, WhatsApp o cualquier red social. Las sanciones de la AEPD no tienen bonificación como otras que muchos conocemos, además de que el impago de la posible multa impuesta será causa de embargo de la cantidad requerida.
