Protección de Datos

¿Cuándo nace la responsabilidad del ‘marketplace’?

Se ha publicado mucho sobre el cambio de comportamiento de los consumidores respecto al comercio electrónico a resultas de la pandemia de la Covid-2019. Según el Estudio Anual de eCommerce de IAB Spain, en el año 2020, en España,  ha habido 2,2 millones de nuevos compradores on line.  A modo de ejemplo, Amazon y Aliexpress han tenido un crecimiento del tráfico on line, en septiembre de 2020 respecto al mismo mes del año anterior, de un 252% y 227%, respectivamente.

Para mí, el aspecto que desde el punto de vista legal puede revestir mayor transcendencia se refiere a la responsabilidad de los Marketplace en relación con las transacciones que facilitan a través de sus sistemas, considerando que en su mayoría se autodenominan, y se estructuran, como entidades que ofrecen -tomando los términos utilizados por la LSSICE -, un servicio de alojamiento. Lo que parafraseando al Tribunal de Justicia de la Unión Europea (STJUE L’Oréal v.Ebay, de 12 de julio de 2011, asunto C-324/09)  significa que la prestación por la que cobran es  “[…] un servicio en Internet que consiste en facilitar el contacto entre vendedores y compradores de productos”.

Como punto de partida, los Marketplace están sometidos a los condicionamientos y obligaciones derivadas de la propia actividad de comercio electrónico que se dirige a consumidores contenida en un elenco de normas europeas y nacionales (sobre protección de datos de carácter personal, sobre consumidores y usuarios, sobre condiciones generales de contratación, sobre competencia desleal y publicidad, sobre contratación a distancia, etc.).

La diferencia de los Marketplaces en relación con otras actividades de comercio electrónico deriva de su definición como, o mejor dicho, su condición de,  “albergadores de datos”, porque en aquellos supuestos en los que la plataforma de Marketplace se limita a hacer de “punto de encuentro” de oferta y demanda, los servicios que se consideran prestados se reducen a servicios de alojamiento a distancia y por vía electrónica, siempre que éste sea el servicio efectivo por el que se cobra, sin que el “qué” y “cómo” se cobra sea imortante (fijo, comisión sobre la venta, por visitas, etc. ).

Y en estos casos el Marketplace se beneficia de las exenciones que se contiene en el artículo 14 de la  Directiva 2000/31/CE, de Comercio Electrónico (precepto que ha reproducido el artículo 16 LSSICE), según el cual, el Marketplace no será responsable:

(i) de los datos que almacena siempre y cuando no tenga no tenga conocimiento efectivo de que la actividad o la información es ilícita, o de si lesiona bienes o derechos de terceros susceptibles de reparación a través de una indemnización,

(ii) y en cuanto tenga conocimiento de estos puntos, siempre que actúe con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible.

En la otra cara de la moneda, no se aplicará el artículo 14 de la Directiva de Comercio Electrónico y,  por tanto, no se aplicará la exoneración de responsabilidad, o en todo caso no se aplicará al 100% de exoneración de responsabilidad, en aquellos supuestos en los que el prestador del servicio (Marketplace) no se limita a un tratamiento meramente técnico, automático y pasivo de los datos facilitados por sus clientes, sino que tiene un papel activo que le permite un conocimiento y control de los datos. A modo de ejemplo, la citada  STJUE L’Oréal v eBay, de 12 de julio de 2011, consideró que eBay también prestaba  asistencia para optimizar o promover determinadas ofertas de venta, por lo que no podía beneficiarse de la exención de responsabilidad en código artículo 14 de la Directiva de referencia.

Para el TJUE la evaluación de la responsabilidad de las plataformas de Marketplace considerando los supuestos de exoneración. A modo de ejemplo, en su  Sentencia de fecha 2 de abril de 2020, el TJUE resolvió una cuestión prejudicial sobre si el ofrecimiento y depósito de los productos Davidoff realizado en el  Marketplace de Amazon puede considerarse un uso de marca que requiera el consentimiento del titular, en el sentido del artículo 9.3.b) del Reglamento UE 2017/101, sobre la marca de la Unión Europea. La citada cuestión fue planteada  por el Tribunal Supremo alemán en el marco de un procedimiento judicial en el que Coty pretendía considerar a Amazon responsable directo junto con el vendedor de la infracción de su marca. La Sentencia del TJUE considera que Amazon no está utilizando la marca, sino el vendedor (responsable, pues, de la infracción), ya que Amazon en su actividad de Marketplace se limita a tener en depósito los productos, sin ofrecerlos ni comercializarlos, ni tener pretensiones de llevar a cabo dichos actos, y sin tener conocimiento de esta infracción. Sin embargo, sin venir demasiado a cuento,  el TJUE recuerda que en todo caso la responsabilidad debe analizarse considerando el artículo 14 de la Directiva de Comercio Electrónico, aunque no se detiene en analizar la cuestión porque es un hecho que excede la cuestión sometida a su consideración por el Tribunal alemán.

En conclusión, es urgente advertir al titular del Marketplace de un acto ilícito a los efectos de que retire de su portal los datos a través de los cuales se materializa una actividad ilícita, so pena de perder la exoneración de responsabilidad contenida en el artículo 14 de la Directiva de Comercio Electrónico.

 

Disfrutar mucho de la semana. Y sobre todo cuidaos.

 

9 de noviembre de 2020

Ana Soto Pino

Socia de LegalJovs

Derecho a la privacidad, protección de datos y desconexión digital

En este contexto de las nuevas medidas limitativas de la movilidad y del contacto social, y ante la insistente recomendación del  teletrabajo, recordaba el titular que leí hace unos días, que informaba  que el 83% de las empresas españolas cuentan con políticas de teletrabajo tras la Covid-19  según un estudio de Microsoft, una fuente “reputacionalmente” veraz (Europa Press,16 octubre 2020). La noticia, sin embargo, se refería al impacto del teletrabajo en variables tales como la productividad, el nivel de satisfacción de los empleados y la innovación, pero no evaluaba el alcance y efectividad de dichos protocolos, y su acomodamiento a las exigencias al recientemente codificado marco legal.

Desde septiembre el teletrabajo ya cuenta con una regulación. En efecto, el Real Decreto-ley 28/2020, de 22 de septiembre de Trabajo a Distancia (Real Decreto-Ley de Teletrabajo) nace, al menos técnicamente hablando, como resultado de un acuerdo de diálogo social,  con el objetivo principal de garantizar a las personas trabajadoras a distancia los mismos derechos que las que ejercen sus funciones de forma presencial en las dependencias de la empresa. También en lo relativo a privacidad, ciberseguridad y seguridad de la información, cuestiones éstas que ya fue tratada en las Recomendaciones publicadas por la Agencia Española de Protección de Datos (AEPD),  en el mes de abril de 2020.

 El Real Decreto-Ley de Teletrabajo regula  el derecho a la intimidad y la protección de los datos personales de las personas trabajadoras (artículo 17),  y el derecho a la desconexión digital fuera del horario de trabajo en los términos que se contienen en la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales (artículo 18). Lo que se traduce en la obligación de la empresa de garantizar la preservación de tales derechos  en el contexto del uso por parte de la persona trabajadora de los medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos por parte del empresario.

Para conseguir tales objetivos, el Real Decreto-Ley de Teletrabajo desarrolla un elenco de obligaciones y prohibiciones para la empresa que se constituyen como normas de mínimos de riguroso cumplimiento,  para:

         1.Garantizar el derecho a la intimidad y a la protección de datos del teletrabajador

La prohibición de la empresa de exigir la instalación de programas o aplicaciones en dispositivos propiedad de la persona trabajadora, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia.

La obligación de establecer criterios de uso de los dispositivos digitales respetando los estándares mínimos de protección de la intimidad, de acuerdo con los usos sociales y los derechos reconocidos legal y constitucionalmente. Dichos criterios, que han de formar parte de los protocolos para el trabajo a distancia, deberán elaborarse con la participación del representante legal de los trabajadores.

 

       2. Garantizar el derecho a la desconexión digital

La prohibición de exigir un uso a las personas trabajadoras de los medios tecnológicos de comunicación empresarial y trabajo durante los periodos de descanso, y más allá de la  duración máxima de la jornada y de cualquier otro límite dispuesto en la normativa o en el convenio aplicables.

La obligación de elaborar, con la audiencia previa de la representación legal de las personas trabajadoras, una política interna dirigida a éstas, incluido los directivos, que definan las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas, con el objetivo de evitar el riesgo de fatiga informática. Y que también ha de formar parte de los protocolos para el teletrabajo.

Por lo demás, el Real Decreto-Ley de Teletrabajo anima a establecer en los  convenios o acuerdos colectivos de trabajo los medios y medidas adecuadas para garantizar el ejercicio efectivo del derecho a la desconexión en el trabajo a distancia y la organización adecuada de la jornada de forma que sea compatible con la garantía de tiempos de descanso.

Como curiosidad, el Real Decreto de Teletrabajo olvida el término “trabajador” y lo sustituye por “persona trabajadora”.  Lo que a mí, personalmente, me gusta.

Aunque suene a tópico …. ¡Cuidaos mucho!

Ana Soto Pino

El TJUE invalida el “Privacy Shield”. La historia se repite

En una muy reciente decisión de ayer, 16 de julio 2020, el TJUE ha anulado el Escudo de Privacidad EU-EEUU (o EU-US Privacy Shield), esto es, el acuerdo marco sobre privacidad entre la UE y los Estados Unidos, que amparaba las transferencias internacionales de datos entre la UE y EEUU al establecer obligaciones más estrictas y controles sobre las empresas estadounidenses en la protección de los derechos de privacidad de los ciudadanos de la UE. Este marco daba una mayor seguridad jurídica a las empresas en las transferencias internacionales de datos entre UE y EEUU, ya que dichas transferencias se consideraban válidas si la empresa estadounidense estaba adherida al Privacy Shield.

El Escudo de Privacidad adoptado en el año 2016 vino a sustituir al Safe Harbour, que era el marco anterior que se aplicaba a las transferencias internacionales de datos entre UE y EEUU y que fue invalidado por una sentencia del TJUE de 6 de octubre de 2015 (Asunto C-362/14).

En ambos casos, las sentencias del TJUE parten de una reclamación del ciudadano austríaco Maximiliam Schrems frente a Facebook.  El Sr. Schrems consideraba que los datos transferidos por Facebook de Europa a sus servidores en Estados Unidos no estaban seguros porque el gobierno y las agencias de seguridad americanas podían acceder a los datos de ciudadanos europeos sin respetar los derechos y garantías sobre privacidad y protección de datos que se garantizaban a sus titulares en la UE. En este sentido, hacía referencia a las revelaciones del Sr. Edward Snowden sobre las actividades de los servicios de información de Estados Unidos (en particular, la NSA). El Sr. Schrems presentó una reclamación ante el Comisario Irlandés (Facebook Ireland es la empresa con la que los residentes de la UE han de firmar el contrato para el uso de Facebook, de ahí la competencia del Comisario irlandés) por la que solicitaba que prohibiera a Facebook la transferencia de sus datos. El tema llegó al Tribunal Superior de Irlanda (High Court) que planteó al TJUE una petición de decisión prejudicial relativa a la interpretación y a la validez de la Decisión 2000/520 (relativa al Safe Harbour).

En su decisión de 2015, el TJUE declaró invalida la Decisión 2000/520/CE sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y por la que la Comisión declaraba que EEUU garantizaba un nivel de protección adecuado. Es decir, anuló el acuerdo sobre la transferencia internacional de datos conocido como Safe Harbour.

Al caer el marco general que facilitaba de una forma sencilla las transferencias internacionales de datos entre la UE y EEUU, se empezó a negociar un nuevo marco que solucionara los problemas detectados por la Sentencia del TJUE y en línea con el RGDP, hasta que en julio de 2016 se aprobó por la Comisión la adecuación de la protección conferida por el Escudo de Privacidad UE-EEUU.

En ese ínterin, una de las soluciones utilizadas para la transferencia internacional de datos con EEUU fue el uso de las “Cláusulas Contractuales Tipo” de la Comisión Europea, un documento con cláusulas tipo que es firmado por ambas partes (exportadora e importadora de datos) con carácter previo a la transferencia.

Mientras, la batalla del Sr. Schrems seguía porque como consecuencia de la sentencia del TJUE el Tribunal Superior de Irlanda anuló la desestimación de la reclamación del Sr. Schrems y se la devolvió al Comisario, quien abrió una investigación. Como consecuencia de la investigación, el Sr. Schrems modificó su reclamación, pero siguió considerando que el sistema Privacy Shield (y también las Cláusulas Contractuales Tipo) no ofrecía un nivel suficiente de protección de sus derechos fundamentales cuando sus datos son transferidos por Facebook a Estados Unidos – ya que el Derecho estadounidense obliga a Facebook Inc. a poner los datos personales que se le transfieren a disposición de las autoridades estadounidenses- y solicitó al Comisario Irlandés que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.

Aunque la historia es más larga, de ahí se derivó el planteamiento de una nueva cuestión prejudicial al TJUE, y como consecuencia de ello, de nuevo, el TJUE ha anulado el esquema de transferencias acordado por la Comisión Europea, al invalidar la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EEUU.

Por el contrario, el TJUE considera que la Decisión 2010/87/UE de la Comisión, de 5 de febrero, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, no ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a la validez de dicha Decisión. Es decir, mantiene la validez del uso de las Cláusulas Contractuales Tipo.

La sentencia supone un cambio sustancial en cuanto a las transferencias internacionales de datos personales entre la UE y EEUU, ya que aquéllas que se amparaban en el Escudo de Privacidad ya no tienen cobertura legal. Multitud de empresas que realizaban dichas transferencias bajo el marco de protección del Escudo de Privacidad deberán adoptar de forma inmediata otras garantías adecuadas para realizar dichas transferencias, como el uso de Cláusulas Contractuales Tipo o pedir autorización a la autoridad de control.

Todo ello, claro está, mientras no se estudia y se alcanza un acuerdo para establecer otro mecanismo marco que facilite estas transferencias.

Deseo que acabéis de pasar una feliz semana.

Mª Luisa Osuna Páez

17 de julio de 2020

 

Sobre el reconomiento facial. Steven Spielberg, Black Lives Matter, Mercadona y Protección de Datos Personales

Hace pocos días, en pleno debate sobre el racismo policial en EEUU, nos llegó la noticia de que un hombre afroamericano había sido injustamente detenido como consecuencia de un error en el sistema de reconocimiento facial. La Unión Estadounidense de Libertades Civiles (ACLU) publicó en Twitter que no es el primer caso de arrestos injustos en base a la tecnología de reconocimiento facial, sobre la que, por lo que se ha publicado, existen estudios que demuestran errores frecuentes en la identificación de las personas de color.

En el mismo contexto de las protestas del movimiento Black Lives Matter en EEUU, los gigantes tecnológicos IBM, Amazon y Microsoft, por este orden, anunciaron su decisión de no seguir proporcionando sistemas y programas de reconocimiento fácil al gobierno y la policía hasta tanto no exista un marco seguro que garantice su uso ético y no discriminatorio. Varias ciudades han prohibido el uso de tecnología de reconocimiento facial y el uso de datos biométricos a los funcionarios, sumándose a otras cuantas, entre éstas la icónica tecnológica San Francisco, que adoptó la misma decisión un año antes.

No hace falta cruzar el Océano para medir la tendencia. En nuestra paradigmática Europa, el  European Data Protection Board (EDPB) ha puesto en cuestión el uso por las autoridades policiales de sistemas de identificación y seguimiento de sospechosos de crímenes y sus víctimas (Clearvview AI) en el marco del Reglamento General de Protección de Datos (RGPD), y ha informado sobre la necesidad de elaborar unas guías que  aporten un marco regulatorio al uso de dicha tecnología.  Lo último, el 30 de junio pasado tomaba la batuta el European Data Protection Supervisor y difundía una opinión sobre el Libro Blanco sobre Inteligencia Artificial publicado por la Comisión Europea en febrero de 2020, avalando la necesidad de una moratoria en la aplicación de tecnologías de reconocimiento automatizado de características humanas en espacios públicos, no sólo caras, sino también huellas digitales, ADN, voz, pulsaciones de teclas y cualquier dato biométrico o señal de comportamiento. Con dicha moratoria se pretende posibilitar un debate serio a nivel europeo y la creación de un marco legal suficientemente garantista.

Estos medidores me hacen pensar que la balanza en este eterno debate entre seguridad y derechos personalísimos se inclina a favor de quienes consideran que no merece la pena la pérdida de garantías y privacidad a cambio de un sistema que promete mayor seguridad, pero que también sufre errores. Y de ahí que me haya sorprendido la noticia publicada hace unos días sobre el uso por Mercadona en 40 de sus supermercados de tecnología de reconocimiento facial que permite reconocer a personas con Sentencias firmes o medidas cautelares que contengan una orden de alejamiento contra Mercadona o alguno de sus trabajadores, con la finalidad de evitar hurtos y otros delitos. Dicha tecnología -según ha informado Mercadona a los medios- no guardaría ningún tipo de información. Las imágenes captadas y grabadas por una cámara en la entrada de los supermercados serían tratadas por el software de origen israelí AnyVision, que en décimas de segundo relacionaría  los patrones de la persona que está siendo grabada con la persona a la que se debería denegar la entrada, según los criterios decididos por Mercadona y que forman su base de datos. Las imágenes captadas y grabadas para ser cotejadas serían eliminadas a continuación, porque su única finalidad -según dice Mercadona-, es detectar al supuesto infractor de una orden judicial y notificar el hecho a las fuerzas y cuerpos de seguridad

Si bien Mercadona ha publicado en medios que durante el desarrollo de su sistema de identificación se ha mantenido una comunicación constante con la Agencia Española de Protección de Datos (AEPD), ésta ha advertido haber informado a Mercadona de la problemática de la implantación de las tecnologías de detección facial y ha abierto una investigación de oficio.

En un momento en el que la oferta de tecnología de reconocimiento facial y de tratamiento de datos biométricos va en ascenso,  la expectación que origina esta noticia está servida. Cuanto menos, el resultado de la investigación iniciada por la AEPD debería ofrecer un poco de claridad sobre qué procesos serían los adecuados de conformidad con el RGPD. No hay que olvidar que pocos días atrás, la AEPD adoptó la misma tendencia garantista y el mismo talante cauteloso de los operadores de protección de datos europeos. Así, en el Informe que da respuesta a la consulta formulada por una empresa de seguridad privada sobre la licitud de la incorporación de sistemas de reconocimiento facial en los servicios de videovigilancia, al amparo del artículo 42 de la Ley de Seguridad Privada, se manifiesta de esta manera (N/REF: 010308/2019, emitido en fecha 28 de mayo de 2020)

“Por el contrario, la regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, al no cumplir los requisitos anteriormente señalados, siendo necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial, definiendo dicha norma legal, previa ponderación por el legislador de los intereses en pugna atendiendo al principio de proporcionalidad, todos y cada uno de los presupuestos materiales de la medida limitadora mediante reglas precisas, que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, y estableciendo las garantías técnicas, organizativas y procedimentales adecuadas, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos”.

La palabra mágica es la proporcionalidad. De acuerdo con la normativa de protección de datos personales, cualquier tratamiento ha de ser proporcional, lo que obliga a confrontar su impacto en la esfera privada de las personas, por un lado, y su finalidad y las medidas de garantía, ya sean técnicas, organizativas, procedimentales, o de cualquier otra índole, por el otro.

No hay duda de que la mera captación y grabación de las imágenes de los consumidores por parte de Mercadona, y su transmisión a las Fuerzas y Cuerpos de Seguridad, implica un tratamiento de datos. Y tampoco hay duda que los datos biométricos están protegidos por el RGPD como datos sensibles, y como tales, requieren el consentimiento explícito del interesado como base para la legitimación de su tratamiento. A falta de soporte escrito del consentimiento, no hay otra que recurrir a una base de legitimación suficientemente fuerte, pues ha de poder justificar la intromisión a la esfera personal en aras a una finalidad mayor,  considerando también las medidas implantadas para mitigar dicha merma de privacidad. Y aquí es donde juega nuevamente el principio de proporcionalidad, es decir, si los datos biométricos usados en el sistema de identificación  son más o menos sensibles que la información a la que dan acceso, considerando su finalidad  y las medidas dirigidas a mitigar el eventual daño.

Según Mercadona, la base de legitimación es el interés público, en código seguridad para los clientes, empleados y por supuesto para el propio negocio, lo que de por si genera opiniones atendiendo al interés privado de los supermercados.

Al margen de lo anterior, hay otros temas igual de expectantes, como son los procesos mediante los cuales Mercadona ha nutrido su base de datos de personas con condenas judiciales de alejamiento, que hace las veces de peana de funcionamiento del programa de reconocimiento facial.

Ahí lo dejo para que quien quiera opine. Por mi parte, soy una acérrima defensora de la tecnología como herramienta de ayuda para tener un mundo mejor. No me cabe duda de que los sistemas de reconocimiento facial tienen esta capacidad, y podrían facilitar las cosas en el entorno de esta crisis sanitaria tan dramática y desconocida. Que dichos sistemas respeten el principio de proporcionalidad y no lesione un bien tan valioso como es la privacidad, ya es cosa nuestra. Lo cierto es que aún hoy me resulta inquietante la escena de la holliwodesne Minority Rerport en la que Tom Cruise no tiene otra que decidirse por un trasplante de ojos para evitar, en su huida, los sistemas de reconocimiento ocular.

Feliz lunes. Cuidaros mucho

Ana Soto Pino

13 de julio de 2020

En un nuevo mundo. La visión de la AEPD sobre el control de temperatura corporal como medida de acceso a establecimientos

El martes, 28 de abril, el Consejo de Ministros publicó el Plan de Desescalada. Los operadores económicos no esenciales se preparan desde entonces para afrontar la nueva realidad, implementando procedimientos de prevención de riesgos laborales elaborados por el Ministerio de Sanidad y el INSST (Instituto  Nacional de Seguridad y Salud en el Trabajo), y las directrices de buenas prácticas sectoriales publicadas por este Instituto. Sin perjuicio de que las ordenes aplicables se acabaron publicando en el BOE del domingo día 3 de mayo, es decir, un día antes del inicio de la desescalada.

En este contexto, y ante la medida de toma de la temperatura corporal como criterio que puedan usar algunos operadores, la Agencia Española de Protección de Datos (AEPD) ha emitido un comunicado (accesible aquí) sobre la misma  como “supuesta” medida necesaria para el acceso del trabajador al lugar de trabajo, así como de clientes y usuarios  a establecimientos abiertos al público (comercios, restaurantes, centros educativos, bibliotecas o gimnasios, entre otros).

Si bien no es objeto de este artículo entrar a analizar las consideraciones de la AEPD, sí creemos interesante ponerlas de manifiesto por su relevancia:

La AEPD entiende – como punto de partida- que la temperatura es un dato de carácter personal especialmente sensible relacionado con la salud. Y sin muchas explicaciones al respecto, a partir de aquí considera:

√    Criterio de implantación: que la  toma de temperatura corporal requeriría determinar previamente por parte del Ministerio de Sanidad de que se trata de una medida necesaria y adecuada para prevenir la infección del Covid-19, así como la regulación de los límites y garantías del tratamiento de los datos personales de los afectados. En todo caso, la AEPD entiende que la temperatura de referencia para considerar que una persona es portadora de la Covid-19 debería establecerse bajo criterios científicos, y en ningún caso  dejarse en manos de cada uno de los operadores que implemente la medida para evitar tratos desiguales y, por ende, poco eficaces y  discriminatorios.

√   Principio de legalidad:  que en  el ámbito estrictamente laboral, la toma de temperatura a empleados para el acceso al lugar de trabajo podría estar justificada por la necesidad de dar cumplimiento a la Ley de Prevención de Riesgos Laborales, tal como ya había dicho la propia AEPD en comunicaciones anteriores. En efecto, según la AEPD, “la obligación de los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento”

En el caso de clientes o visitantes a establecimientos,  la AEPD ve difícil el criterio del consentimiento como base jurídica general para la toma de temperatura, en tanto que éste no es libre, pues se establece como condición sine qua non para el acceso al establecimiento.

La prevención a la seguridad y salud de los empleados podría ser tenida en cuenta como base jurídica con un alcance amplio para aplicar la medida de toma de temperatura a clientes y usuarios, ya que en los centros en los que acceden tales clientes y usuarios estarán asimismo presentes trabajadores del centro. Para ello será necesario ponderar el impacto que dicha medida ocasiona en los derechos de los clientes y usuarios, por un lado, y el impacto en la seguridad y salud de los trabajadores, por el otro (por ejemplo, valorando si los clientes están o no en contacto con los trabajadores).

En los casos en los que no sea posible acudir a esta base jurídica, se podrían  plantear la existencia de intereses generales en el terreno de la salud pública, si bien para ello –volviendo al inicio- se requerirá de un soporte normativo a través de leyes que establezcan la conveniencia de la medida  y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.

√     Limitación de la finalidad y exactitud de los datos: la AEPD recuerda nuevamente la importancia de respetar los principios de limitación de la finalidad (la temperatura solo pueden obtenerse para detectar posibles portadores de la Covid-19 con la finalidad de evitar el acceso y el contacto con otras personas) y exactitud (la medición debe ser capaz de ofrecer datos fiables de la temperatura a partir de los cuales la persona se considera posiblemente infectada por la Covid-19)

 √    Derechos y garantías: finalmente,  la AEPD recuerda nuevamente que también en el escenario de la  Covid-19, los titulares de los datos personales mantienen, de conformidad con el RGPD, todos los derechos y garantías allí recogidas.

 

Iremos informando sobre la interpretación de nuestras autoridades de protección de datos en el contexto de esta nueva realidad que nos está tocando vivir, sin duda mucho más intromisiva en lo que a datos personales y derechos personalísimos se refiere. 

 

Ana Soto & Mª Luisa Osuna

 

El Comité Europeo de Protección de Datos y el Coronavirus

Tristemente, parafraseando a la OMS, Europa es ahora el epicentro de la pandemia del coronavirus.

El Comité Europeo de Protección de Datos (European Data Protection Board -EDPB-) se ha alineado también con las acciones para contener el COVID-19, y ha declarado que en ningún caso la normativa de protección de los datos personales debe dificultar la ejecución de las medidas que sean necesarias en esta batalla contra la pandemia del coronavirus, priorizando la salvaguarda de la salud, y de la vida, frente a la privacidad de los datos personales (Acuerdo de 19 de marzo de 2020).

Para el EDPB, la lucha contra las enfermedades transmisibles es un objetivo valioso compartido por todas las naciones que debe ser apoyado en interés de la humanidad.

El EDPB también aclara en su declaración que si bien la emergencia es una condición legal que puede legitimar restringir libertades, dichas restricciones han de ser proporcionales y limitadas en el tiempo. A estos efectos, considera que el RGPD contiene reglas que también aplican al tratamiento de datos personales en un contexto como el actual del coronavirus,  que permite el tratamiento de datos personales sin necesidad de tener que contar con el consentimiento del interesado cuando es necesario por razones de interés público en el área de la salud pública.  Así:

El tratamiento de datos personales, incluso el tratamiento de los datos de salud por las autoridades sanitarias, estaría legitimado en base al artículo 6 y 8 del RGPD, por existir un interés público y un interés de proteger intereses vitales

– En cuanto a los datos personales de los trabajadores, se considera que tratamiento de datos por el empleador puede ser necesario para cumplir la obligación legal de preservar la salud y la seguridad en el lugar de trabajo, o en base a un interés público y un interés vital relacionado con el control de enfermedades y otras amenazas a la salud.

El empleador podrá solicitar datos sobre el estado de salud de los trabajadores o visitas, y realizar exámenes médicos, siempre que lo permita la legislación propia de cada estado miembro.

El empleador debe informar a los trabajadores sobre los casos de coronavirus, limitando la información suministrada a la estrictamente necesaria. En caso de tener que revelar el nombre de las personas que contrajeron la enfermedad (si la ley nacional lo permite), deberá informar previamente al interesado y proteger su dignidad e integridad

– En cuanto al uso por parte de algunos gobiernos del de datos de localización móvil para mitigar la propagación del coronavirus, la EDPB considera que las autoridades deberían priorizar el tratamiento anónimo de los datos, es decir, procesar datos agregados (por zonas, edades, etc.) de forma que no estarían sometidos a la normativa de protección de datos. Sin embargo, si ello no fuera posible, la EDPB considera también, que la Directiva Europea sobre privacidad y comunicaciones electrónicas permite también medidas legislativas excepcionales por motivos de seguridad pública, que debe ser apropiadas, proporcionales y respetuosas con los derechos fundamentales de las personas y garantizar al interesado el acceso al recurso judicial.

 

En todo caso, recuerda el EDPB que los datos personales que sean necesarios para alcanzar este objetivo mundial de vencer la batalla contra el coronavirus deben procesarse para fines explícitos, que los interesados deben recibir información transparente sobre las actividades de procesamiento, incluido el periodo de conservación de los datos recopilados y el propósito del tratamiento; que la información proporcionada ha de ser fácilmente accesible y clara; y que son necesarias medidas de seguridad adecuadas y políticas de confidencialidad que garanticen la preservación de los datos frente a terceros no autorizados.

En paralelo, la Agencia Española de Protección de Datos ha publicado en su sitio web una alerta en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus, advirtiendo a los ciudadanos del riesgo que implica facilitar categorías de datos sensibles, como son los relativos a la salud, a estas webs y apps. Añade la  Agencia que ha podido constatar que algunas páginas web y apps no aportan la detallada información exigible para identificar a los responsables, ni incluyen las finalidades para las que podrían tratarse los datos. A ello se suma que se han detectado casos en los que se suplanta al Ministerio de Sanidad.

Por favor, cuidaos mucho.

Ana SotoPino & Mª Luisa Osuna