LEGAL JOVS

Abogados Barcelona - Sumamos proximidad y flexibilidad a la experiencia de las grandes firmas

Protección de Datos

Más sobre Protección de Datos: la comunicación del DPO ya es posible a través de la sede electrónica de la AEPD

by

No queremos ser alarmistas, pero en menos de mes se producirá de forma inexorable la aplicación del nuevo Reglamento Europeo de Protección de Datos  y se exigirá su cumplimiento. Y si bien hemos dicho de no ser alarmista, si queremos alertar que el régimen de sanciones será a partir de entonces mucho más dramático para aquéllos que no cumplan con las exigencias de la nueva normativa de protección de datos, pudiendo llegar a alcanzar cifras -en lo que las faltas más graves se refiere- de hasta 20.000.000 euros o, en el caso de empresas,  la equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior.

Después de la alarma, una buena noticia: la sede electrónica de la Agencia Española de Protección de Datos (AEPD) ha habilitado un proceso de comunicación telemática para comunicar el Delegado de Protección de Datos (DPD o DPO en sus siglas en inglés) designado, en coherencia con la previsión del aún Proyecto de Ley Orgánica de Protección de Datos.

Recordemos que el Reglamento establece que los responsables o encargados del tratamiento deben publicar los datos de contacto de los delegados y comunicar su designación a la autoridad de control (en nuestro caso, la AEPD) antes del próximo 25 de mayo.

Y recordemos también que si bien todas las empresas pueden voluntariamente nombrar (y comunicar) un DPD, no todas tienen obligación de hacerlo, sino sólo aquéllas que se encuentren en uno de los tres siguientes supuestos:

(i) En los casos en los que el tratamiento lo realiza una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

(ii) En los casos en los que las actividades principales del responsable o del encargado traten sobre operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, como sucede, por ejemplo, con actividades dirigidas a crear perfiles de consumidores.

(iii) En los casos en los que las actividades principales consisten en el tratamiento a gran escala de categorías “sensibles” de datos personales (de salud, biométricos, relativos al origen étnico, a creencias religiosas, preferencias sexuales, sobre condenas penales), como podría ser el caso de un centro médico.

Al respecto, se entiende como tratamiento “a gran escala”, aquél que persigue tratar una gran cantidad de datos personales que afectan a un gran número de ciudadanos con la probabilidad de existir un alto riesgo para los derechos y libertades de los mismos. Mientras que “tratamiento habitual y sistemático” se refiere a aquel que se realiza haciendo un seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de datos (Grupo de expertos en protección de datos dependiente de la Comisión Europea. GT29).

Dicen que el fin de semana será lluvioso. Perfecto para reflexionar sobre pendientes.

Ana Soto & Mª Luisa Osuna

 

El Tribunal Supremo reafirma su visto bueno al acceso «idóneo», «necesario» y «proporcional» del empresario, a las comunicaciones digitales del trabajador realizada con los medios de la empresa

by

Hoy os queremos hablar de la reciente Sentencia 594/2018, dictada por la Sala de lo Social del Tribunal Supremo de 8 de febrero de 2018, porque contiene una elaborada reflexión de un tema sensible de gestión empresarial: el acceso del empresario al email del trabajador.

El Supremo estima el recurso de suplicación por unificación de doctrina interpuesto por la empresa Inditex  contra la Sentencia del Tribunal Superior de Justicia de La Coruña,  que a los efectos de considerar procedente el despido no tuvo en cuenta, sin embargo, por considerarlas ilícitas, las pruebas obtenidas por Inditex a través del control del correo electrónico del trabajador después de que casualmente encontrara información sobre los hechos que motivaron su despido.

A modo de enseñanza, hemos de tener en cuenta que Inditex contaba con un protocolo para empleados, en el que se incluían medidas que regulan las comunicaciones electrónicas. Así, el Tribunal Supremo resuelve la cuestión considerando el hecho probado de que los trabajadores del Grupo Inditex, cada vez que acceden con su ordenador a los sistemas informáticos de la compañía, y de forma previa a dicho acceso, deben de aceptar las directrices establecidas en la Política de Seguridad de la Información del Grupo Inditex, en la que se señala que el acceso lo es para fines estrictamente profesionales, y no particulares, reservándose la empresa el derecho de adoptar las medidas de vigilancia y control de cumplimiento de las directrices de uso de los medios informáticos.

Con base en ello, la Sentencia concluye que  si el trabajador no tenía derecho a utilizar el ordenador para usos personales, no puede pretender, ni esperar,  un derecho de uso de los medios de la empresa en unas condiciones que garanticen la intimidad o el  secreto de las comunicaciones.

Nos encanta este razonamiento. Por  la más pura lógica de las cosas, la inexistencia de un derecho al uso de los medios de Inditex para comunicaciones privadas comporta la inexistencia de un derecho de intimidad o privacidad de las comunicaciones resultantes de dicho uso.

Por lo demás, dice la Sentencia que Inditex actuó de forma respetuosa durante el acceso a las comunicaciones digitales de su trabajador, superado los juicios de idoneidad, necesidad y proporcionalidad a los que se refiere la jurisprudencia constitucional  (por ejemplo, el acceso fue consecuencia de la investigación derivada del hallazgo casual de documentos incriminatorios;  el análisis de los correos electrónicos no se hizo de forma genérica e indiscriminada, sino a través de búsquedas de palabras clave, en el período interesado y a través del acceso al servidor de la empresa, y no a dispositivos particulares del trabajador).

Lo que más nos gusta de la Sentencia es la reflexión que contiene sobre las exigencias en relación con el acceso a comunicaciones electrónicas del trabajador, recogidas por la Sentencia del Tribunal Europeo de Derechos Humanos  (TEDH), de fecha 5 de septiembre de 2017  [Caso Barbulescu vs Rumanía], que si bien no aplica directamente por tratarse de una resolución posterior a los hechos enjuiciados, trata en profundidad para convencernos de que su criterio es coincidente con los requisitos establecidos por el Alto Tribunal Europeo. Recordando, la Sentencia del TEDH consideró que existía intromisión de la empresa a la privacidad del trabajador por la monitorización y el acceso, sin previo aviso, a los correos electrónicos personales del trabajador (correos a su hermano y a su novia, alguno de ellos íntimos) realizados con los medios de la empresa, que motivaron la procedencia de su despido.

Os resumimos a continuación lo que el Tribunal Supremo recoge de la referida Sentencia del TEDH, a pesar de que alertar con carácter previo sobre manifiestas diferencias existentes entre los supuestos de hecho enjuiciados por cada tribunal,

(i)          Las comunicaciones que se emiten desde el puesto de trabajo, así como las del domicilio, pueden incluirse en las nociones de «vida privada» y de «correspondencia» a que se refiere el artículo 8 del Convenio», cuando el trabajador puede «razonablemente suponer que su privacidad estaba protegida y era respetada» [ap. 73]. Y, en este sentido, los  tribunales nacionales deben velar porque el establecimiento por una empresa de medidas para vigilar la correspondencia y otras comunicaciones, sea cual sea su alcance y duración, vaya acompañado de garantías adecuadas y suficientes contra los abusos» [ap. 119].

(ii)          A los efectos de calificar la supervisión del empleador y la posible intromisión en la vida privada, considera el TEDH que se deben tener en cuenta  los siguientes factores:

–          ¿El empleado ha sido informado  de  la posibilidad de que el empleador tome medidas para supervisar su correspondencia y otras comunicaciones, así como la aplicación de tales medidas?

El TEDH exige que la información se haya facilitado “de forma clara”.

–          ¿Cuál fue el alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado?

Al respecto, habrá que considerarse si el control es del flujo de las comunicaciones o de su contenido; si el acceso a sido general o limitado a parte de ellas, a un período temporal;  un número de personas, etc.

–          ¿El empleador ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido?

Se requiere la justificación fundada atendiendo a que por su naturaleza el acceso a las comunicaciones del trabajador es un medio invasivo.

–          ¿Habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de comunicaciones del empleado?

El Tribunal se refiere a la necesidad de evaluar, en función de las circunstancias particulares de cada caso, si el objetivo perseguido por el empresario puede alcanzarse sin que éste tenga pleno y directo acceso al contenido de las comunicaciones del empleado.

–          ¿Cuáles fueron las consecuencias de la supervisión para el empleado afectado? ¿De qué modo utilizó el empresario los resultados de la medida de vigilancia, concretamente si los resultados se utilizaron para alcanzar el objetivo declarado de la medida?

Se trata de que exista proporcionalidad entre el perjuicio para el trabajador y el beneficio de la medida considerando el objetivo que la fundamenta.

–          ¿Al empleado se le ofrecieron garantías adecuadas, particularmente cuando las medidas de supervisión del empleador tenían carácter intrusivo?

En particular, estas garantías se dirigen impedir que el empresario tenga acceso a las comunicaciones de su trabajador sin que éste haya sido previamente notificado de dicha posibilidad.

Tras esta reflexión, la Sentencia de nuestro Alto Tribunal recoge, a modo de conclusión, la mención que nos permitimos transcribir:

“La lectura de los prolijos razonamientos utilizados por el TEDH en el asunto «Barbulescu», pone de manifiesto -entendemos- que el norte de su resolución estriba en la ponderación de los intereses en juego, al objeto de alcanzar un justo equilibrio entre el derecho del trabajador al respeto de su vida privada y de su correspondencia, y los intereses de la empresa empleadora (así, en los apartados 29, 30, 57, 99, 131 y 144). Y al efecto -resumimos- son decisivos factores a tener en cuenta: a) el grado de intromisión del empresario; b) la concurrencia de legítima razón empresarial justificativa de la monitorización; c) la inexistencia o existencia de medios menos intrusivos para la consecución del mismo objetivo; d) el destino dado por la empresa al resultado del control; e) la previsión de garantías para el trabajador Como es de observar, tales consideraciones del Tribunal Europeo nada sustancial añaden a la doctrina tradicional de esta propia Sala (…) pues sin lugar a dudas los factores que acabamos de relatar y que para el TEDH deben tenerse en cuenta en la obligada ponderación de intereses, creemos que se reconducen básicamente a los tres sucesivos juicios de «idoneidad», «necesidad» y «proporcionalidad» requeridos por el TC y a los que nos hemos referido en el FD Quinto [5.b)]”

Consejo práctico: no olvidemos tener y mantener el protocolo de empleados y de comunicaciones electrónica y acceso a medios digitales.

Os dejamos aquí la Sentencia 594/2018, dictada por la Sala de lo Social del Tribunal Supremo de 8 de febrero de 2018, y aquí la Sentencia del Tribunal Europeo de Derechos Humanos (Gran Sala), de fecha 5 de septiembre de 2017 [Caso Barbulescu].

 

Ana Soto

Las autoridades españolas de protección de datos sancionan a Facebook y Whatsapp

by

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Whatsapp y a Facebook por entender que el consentimiento prestado por los usuarios de Whatsapp, a la cesión de sus datos personales a favor de Facebook,  y al tratamiento de dichos datos por parte de ésta, ni es libre, ni es específico, ni es informado. Se trata de una noticia importante en un marco de la cuenta atrás hacia el 25 de mayo de 2018, día marcado en rojo por ser la fecha en que el nuevo Reglamento Europeo de Protección de Datos de 2016 comenzará a aplicarse.

La Resolución (R/00259/2018), dictada por las autoridades españolas de protección de datos en el procedimiento sancionador incoado contra  ambas empresas (PS/00219/2017) parte de la modificación que Whatsapp implantó en sus términos de servicio y  política de privacidad tiempo después de que la empresa de mensajería fuera adquirida por Facebook, en la que se introducía la posibilidad de ceder los datos personales de sus usuarios a esta compañía.

Es un dato importante para la resolución que la aceptación de las nuevas condiciones se impuso a los usuarios de Whatsapp como obligatoria para poder acceder y/o mantener la aplicación de mensajería Whatsapp.

Por lo demás, la AEPD considera que la información suministrada por Whatsapp  a sus usuarios, en relación con la cesión de sus datos a Facebook, es incompleta y  poco clara, lo que –junto con lo anterior- determina, a criterio de esta Agencia, que el consentimiento de los usuarios no sea válido.

Una cosa lleva a la otra, y en coherencia, la resolución entiende que el uso por Facebook  de la información de los usuarios cedida por Whatsapp, con finalidades específicas de los servicios de aquélla y, por ende, a su beneficio, no está respaldado por el consentimiento libre, específico e informado de dichos usuarios

El importe total de la sanción que recoge la resolución es de 600.000 euros, a razón de 300.000 euros por sociedad.

Aquí os dejamos la Resolución (R/00259/2018), dictada en el procedimiento sancionador PS/00219/2017, instruido por la Agencia Española de Protección de Datos a las entidades Facebook Inc. y Whatsapp Ic., a resultas de las denuncias presentadas por la Organización de Consumidores y Usuarios (OCU), la Asociación de Consumidores y Usuarios en Acción (FACUA), y por dos particulares.

Ana Soto & Mª Luisa Osuna

De paseo por el MWC

by

La semana pasada paseábamos por el MWC mientras nevó en Barcelona. Y ambas experiencias merecen ser citadas en nuestro blog con el calificativo de extraordinarias.

¿Cuál es nuestra reflexión tras la visita al MWC?

Pues que ya no hay excusas. Los abogados debemos conocer y dominar la complejidad jurídica derivada de aplicar a los negocios tradicionales las nuevas tecnologías digitales, y no me refiero solamente a los que somos especialistas en estas áreas de negocio.  La contratación mediante medios digitales, los aplicativos de pago para smartphone y tablet, los sistemas de reconocimiento, forman parte de nuestra vida cotidiana, tanto desde el punto de vista de la empresa como del consumo. El MWC nos muestra que en unos días todo girará en torno a la nueva red 5G, la industria 4.0, el big data, la inteligencia artificial y el internet de las cosas.

En resumen, todo está conectado y estará aún más conectado en el futuro. Y de ahí que a nadie sorprenda que las principales marcas de coches, por ejemplo, tengan un espacio para presentar sus novedades de conectividad como expositores en el principal congreso de comunicación móvil. Y como aviso a lectores, por ello también, ahora y en el futuro, los grandes protagonistas serán los datos.

La nieve en Barcelona merece más de observación que de reflexión.

Gracias por la invitación a MWC.

Ana Soto & Mª Luisa Osuna

 

 

 

Se publica el anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal

by

A menos de un año para que sea de obligado cumplimiento la nueva regulación contenida en el nuevo Reglamento General de Protección de Datos (Reglamento europeo), el Gobierno, a propuesta del Ministerio de Justicia, ha impulsado el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, con el objeto de adaptar la legislación española a las exigencias del Reglamento europeo, la cual sustituirá, en la versión que finalmente sea aprobada,  la actual LOPD.

El anteproyecto de Ley Orgánica consta de un total de  setenta y ocho artículos, contenidos en ocho títulos, trece disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria única y cuatro disposiciones finales, e integra  el nuevo régimen establecido por el Reglamento europeo en relación con el tratamiento de datos personal y la circulación de los mismos, con los antecedentes administrativos y judiciales, nacionales y europeos, que se han ido estableciendo a lo largo de la historia de la protección de los datos de carácter personal.

Aquí os dejamos el anteproyecto de Ley Orgánica de Protección de Datos, que ya ha sido publicada.

Seguiremos su desarrollo en otros post.  Entretanto, continúa la cuenta atrás hacia el 25 de mayo de 2018, fecha de entrada en vigor del nuevo Reglamento europeo

Feliz día

Nuevas directrices de la AEPD, sobre la aplicación del nuevo Reglamento General de Protección de Datos por las PYMES

by

La Agencia Española de Protección de Datos (AEPD) ha elaborado con la colaboración de las autoridades catalana y vasca de protección de datos, tres nuevas Guías que contienen directrices dirigidas a facilitar el cumplimiento del Reglamento General de Protección de Datos (RGPD), esta vez  a las pequeñas y medianas empresas (pymes).

Aquí os dejamos la nota de prensa difundida por la AEPD, y a continuación os facilitamos las tres Guías:

Guía para los responsables del tratamiento, que contiene las principales obligaciones que el RGPD establece de obligado cumplimiento para las pymes. Nos parece muy interesante que se incluya un check list de autoevaluación del nivel de cumplimiento.

Guía de elaboración de contratos entre responsables y encargados de tratamiento de las pymes, que incluye los principales términos y condiciones que debe regular. La AEPD y las autoridades participantes han añadido ejemplos de cláusulas contractuales aplicables en los supuestos en los que el encargado trate exclusivamente los datos en su establecimiento y con sus sistemas.

Guía para el cumplimiento del deber de informar a los interesados del tratamiento de sus datos personales, que incluye prácticas y recomendaciones.

Nos parecen francamente útiles.

Feliz lunes ¡¡¡¡