martes, 30 de julio de 2013

Captacion matriculas en gasolineras







En el Informe de la Agencia Española de Protección de Datos nº 297 del año 2012, se dio respuesta a una seria de cuestiones sobre la instalación –en estaciones de servicios- de sistemas de captación de matrículas de coches y su posterior tratamiento para identificar a los propietarios de vehículos que se marchan de la gasolinera sin pagar el combustible suministrado.

Se dejaba claro, que este tratamiento de datos debía considerarse como totalmente diferenciado del fichero de videovigilancia, destinado a seguridad y vigilancia de las instalaciones.

Se trata por tanto la cuestión discutida, de un sistema específico y diferenciado de grabación de matrículas de coche para identificar casos de impago.

Lo primero que recuerda la AEPD en su informe es que las matrículas han de considerarse datos de carácter personal, ya que por medio de las mismas se puede llegar a identificar al propietario de un vehículo sin que ello implique un esfuerzo o duración desproporcionados. Alegando un interés legítimo, se puede solicitar a Tráfico una nota simple sobre un vehículo, que nos permitiría conocer los datos personales de su propietario.

Continua indicando la AEPD, que la estación de servicios ha de dar de alta un fichero específico ante el registro de dicha Agencia, distinto del de videovigilancia, para poder proceder a tratar esa información.

Asimismo, establece que para saber si el sistema de captación de imágenes se ajusta o no a la normativa de protección de datos de carácter personales, habrá que llevar a cabo un juicio de proporcionalidad, de tal modo que si se llega a la conclusión de que otra medida menos restrictiva pudiera evitar la sustracción de combustible, hará que emplearla. Por ejemplo: establecer mecanismos que impidan echar combustible sin abono previo del mismo. Solo en caso de que no existan otros medios, se podrá recurrir a la instalación del sistema de tratamiento de matrículas. De modo que habrá que estar a cada caso concreto.

Estas son algunas de las consideraciones que hace la AEPD sobre el tema.

En definitiva, si eres titular de una estación de servicios y te decides a instalar este tipo de sistemas de vigilancia, consúltalo antes y procede a analizar su viabilidad y su adecuación a la Ley, pues de lo contrario, te podrían encontrar con una sanción o con la imposibilidad de usar las pruebas recabadas ante un usuario que sustrae combustible.

O lo que es peor: con ambas cosas.

domingo, 21 de julio de 2013

Inscripcion de ficheros y LOPD






El artículo 26 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece la obligación de inscribir los ficheros de datos que manejes en tu empresa o profesión ante el Registro de la Agencia Española de Protección de Datos.



Concretamente, nos dice la norma que:



1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.


3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.


Es decir, que los ficheros de datos han de ser notificados a la Agencia y además se deben mantener actualizados ante la misma.


Tres son las preguntas que me formulan los clientes con mucha frecuencia en relación con este tema:


1ª. ¿Esto quiere decir que le tengo que comunicar a la AEPD todos los datos de todos mis clientes, mis trabajadores, contactos, etc…?


La respuesta es NO. Lo que le comunicas, por medio de un formulario oficial, es qué tipo de datos tienes y para qué los usas. Ejemplo: tengo los nombres, apellidos, DNI, nº de SS, etc… de mis trabajadores y los uso para poder gestionar la relación laboral con los mismos.


2ª. ¿Qué tipo de cambios le tengo que notificar a la AEPD en relación con estos ficheros?


Nos lo dice el párrafo 3º del artículo 26 antes trascrito y lo aclara la propia AEPD en resumen de su Primera Sesión Anual Abierta de 22 de abril de 2008 (preguntas frecuentas), en los siguientes términos:


Tienen que notificarse las modificaciones que afecten a:



– Cambio de denominación social, forma societaria o de personalidad jurídica.



- Modificación del nivel de seguridad aplicable. En todo caso, concordancia entre el nivel aplica

do, el exigido por el RDLOPD y el notificado.



– El fichero de nómina se puede notificar con datos de salud (grado de discapacidad –IRPF) y nivel de seguridad básico. OJO! en todo caso, se mantiene la obligación  de aplicar todas las garantías exigidas para tratar datos especialmente protegidos.



– Cualquier modificación del contenido de la inscripción. Ej. Sistema de tratamiento, automatizado con documentación en papel, notificar sistema mixto



3ª. ¿Tengo que notificar la cancelación de los ficheros? ¿En que supuestos?



Sí, tienes que notificarla. En el mismo documento que indico, la AEPD explica en qué supuestos:



– Si ha quedado excluido totalmente de la aplicación de la LOPD.



– Si cesa la actividad del responsable. Ficheros bloqueados se pueden suprimir.



– Si desaparece la competencia o el objeto que ocasionó la creación del fichero.

domingo, 14 de julio de 2013

Reglamento europeo violacion datos






En el Diario Oficial de la Unión Europea de 26 de junio de 2013, se publicaba el Reglamento (UE) nº 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas.

Esta norma se aplica a la notificación de los casos de violación de datos personales por parte de los proveedores de servicios de comunicaciones electrónicas disponibles para el público (artículo 1º del Reglamento).

¿A qué les obliga esta norma?

Pues a notificar a la autoridad nacional competente los supuestos de violación de datos personales, y en plazos muy cortos: a las 24 horas de la detección de del caso, a ser posible.

La notificación se realizará cumplimentando un modelo oficial que se incluye como anexo I en el Reglamento.

¿Y qué quiere decir la norma con eso de “violación de datos personales”? Lo aclara el apartado 2º del artículo 2º, en los siguientes términos:

Se considerará que se ha detectado un caso de violación de datos personales cuando el proveedor tenga conocimiento suficiente de que se ha producido un incidente de seguridad que compromete datos personales…

Para que los proveedores puedan proceder a la notificación del incidente, las autoridades nacionales competentes habrán de poner a disposición de los mismos un soporte electrónico seguro a tal fin.

Además de la notificación a la autoridad nacional, el proveedor tiene que comunicar el incidente de seguridad al abonado o particular afectado, sin dilación (artículo 3). La información que se le proporcionará, será la recogida en el Anexo II de la norma.

No obstante, continua diciendo el artículo 4 de este Reglamento, que la notificación al abonado o particular, no será necesaria si el proveedor prueba debidamente que ha aplicado las medidas tecnológicas de protección convenientes y que estas se han aplicado a los datos afectados por la violación de seguridad. Dichas medidas tienen que convertir los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

La fecha de entrada en vigor de este Reglamento está muy próxima: 25 de agosto de 2013.


jueves, 4 de julio de 2013

Trabajadores y videovigilancia





Según la definición de dato de carácter personal que hace el artículo 5.1.f) del RLOPD, hemos de partir de que las imágenes se consideran datos de carácter personal, al poder serlo cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

El artículo  2 de la instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, se remite en cuanto a la legitimación para el tratamiento de imágenes a lo dispuesto en el artículo 6.1 y 2 de la LOPD, donde se establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”, sin perjuicio de que dicho consentimiento podrá quedar excluido, de acuerdo con lo dispuesto por el artículo 6.2 cuando el tratamiento sea necesario para el adecuado desenvolvimiento de la relación laboral de los trabajadores con la empresa.

Si la finalidad de la captación de las imágenes es controlar la actividad laboral, hay que estar al artículo 20.3 del el Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante ET) y que dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

Además, conforme a la doctrina del Tribunal Supremo, en Sentencia de 18 de junio de 2006, dichas medidas (como las relacionadas con la utilización de Internet y correo electrónico) deben haber sido hechas constar expresamente al trabajador, pasando así a formar parte de la propia relación laboral y siendo el tratamiento de los datos necesario para su adecuado desenvolvimiento.

De todo ello se desprende que la aplicación del artículo 20.3 ET no legitima por sí solo el tratamiento de las imágenes, si bien éste será posible, aún sin contar con el consentimiento del afectado en caso de que el trabajador haya sido debidamente informado de la existencia de esta medida, debiendo además ser claro que, conforme a lo exigido por el artículo 4.2 LOPD, los datos no podrán ser utilizados para fines distintos.

Se plantea la cuestión de cómo ha de cumplirse el deber de informar, pues el tratamiento de las imágenes por el responsable del tratamiento, le obliga a cumplir con dicho deber, en los términos establecidos en el artículo 5.1 de la LOPD, que dispone que “los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información; b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos; d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

En  este punto debe tenerse en cuenta la modalidad de cumplimiento del deber de información en materia de videovigilancia que recoge el artículo 3 de la Instrucción 1/2006:

 Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en el artículo 5 de La Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán:

a)   Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y

b)   Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

El contenido y el diseño del distintivo informativo se ajustará a lo previsto en el Anexo de esta Instrucción.”

Por tanto, la Instrucción prevé dos formas de cumplir con el deber de informar en materia de videovigilancia. Además como se ha señalado anteriormente si la videovigilancia se efectúa para el control laboral, amparado sólo en el Estatuto de los Trabajadores, deberá informarse al trabajador y al comité de empresa.

En este punto, tengo además que hacer referencia a una sentencia muy reciente del Tribunal Constitucional, la nº 29/2013, de 11 de febrero. De hecho, quiero recoger las siguientes conclusiones, a tener en cuenta por empresarios y profesionales:

1ª. En la sentencia mencionada, se planteó el supuesto de una entidad que utilizó el sistema de videovigilancia de un edificio para controlar a uno de sus empleados, que venía incumpliendo sus obligaciones laborales. Estas grabaciones finalmente se utilizaron para sancionar al trabajador y como prueba en un procedimiento judicial.

2ª. En este recurso se discutía si la grabación y uso de esas imágenes en un expediente disciplinario (que llegó a los tribunales) vulnera el derecho fundamental a la protección de datos reconocida en el artículo 18.4 de la Constitución Española. En concreto, se planteaba que se habría vulnerado el derecho a la autotutela informativa, es decir: el derecho a ser informado sobre el tratamiento que se pretendía dar a las  imágenes recogidas por el sistema de videovigilancia.

3ª. No hay que perder de vista, que al centrarse el recurso en el artículo 18.4 citado, lo que estamos analizando es lo siguiente (cita literal de la STC): el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado … Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin.

Lo que significa que el derecho de información en este tema es el eje central del recurso.

4ª. En los párrafos de la sentencia que reproduzco a continuación, se encuentra la clave del razonamiento del Tribunal:

Ese derecho de información opera también cuando existe habilitación legal para recabar los datos sin necesidad de consentimiento, pues es patente que una cosa es la necesidad o no de autorización del afectado y otra, diferente, el deber de informarle sobre su poseedor y el propósito del tratamiento. Es verdad que esa exigencia informativa no puede tenerse por absoluta, dado que cabe concebir limitaciones por razones constitucionalmente admisibles y legalmente previstas, pero no debe olvidarse que la Constitución ha querido que la ley, y sólo la ley, pueda fijar los límites a un derecho fundamental, exigiendo además que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, respetuoso con el contenido esencial del derecho fundamental restringido (SSTC 57/1994, de 28 de febrero, FJ 6; 18/1999, de 22 de febrero, FJ 2, y en relación con el derecho a la protección de datos personales, STC 292/2000, FFJJ 11 y 16).

En aplicación de esa doctrina, concluimos que no hay una habilitación legal expresa para esa omisión del derecho a la información sobre el tratamiento de datos personales en el ámbito de las relaciones laborales, y que tampoco podría situarse su fundamento en el interés empresarial de controlar la actividad laboral a través de sistemas sorpresivos o no informados de tratamiento de datos que aseguren la máxima eficacia en el propósito de vigilancia.

 5ª. La Sentencia indica que no es suficiente con que existieran carteles informativos sobre la existencia de las cámaras, ni que se hubiera notificado la existencia del fichero a la Agencia Española de Protección de Datos.

6º. Por último se aclara que la información que debió darse al trabajador habría de cumplir los siguientes requisitos:

…era necesaria además la información previa y expresa, precisa, clara e inequívoca a los trabajadores de la finalidad de control de la actividad laboral a la que esa captación podía ser dirigida. Una información que debía concretar las características y el alcance del tratamiento de datos que iba a realizarse, esto es, en qué casos las grabaciones podían ser examinadas, durante cuánto tiempo y con qué propósitos, explicitando muy particularmente que podían utilizarse para la imposición de sanciones disciplinarias por incumplimientos del contrato de trabajo.


CONCLUSIÓN FINAL: Se consideran como pruebas inconstitucionales (y por tanto nulas e inválidas en juicio para acreditar un incumplimiento laboral del trabajador) las imágenes captadas por sistemas de videovigilancia para control empresarial, cuando no se ha procedido a informar previa y exhaustivamente al trabajador sobre la finalidad de la grabación y demás circunstancias mencionadas en la Sentencia del TC. Y esto sería tan aplicable a las grabaciones que se hacen por el sistema ordinario y “visible” de videovigilancia, como a los sistemas “secretos” de videovigilancia, (ejemplo: uso de cámaras camufladas para comprobar sustracciones de dinero de la caja).

En consecuencia, para poder utilizar las grabaciones como prueba válida en juicio, se tiene que proceder a cumplir el deber de información, mediante la correspondiente nota informativa que se hará llegar al trabajador, acreditándose su recepción por el mismo.

Asimismo, en mi opinión, se deberá proceder a inscribir ante la AEPD un fichero específico de grabación de imágenes de trabajadores con la finalidad exclusiva del ejercicio del control empresarial ante sospechas de incumplimientos de obligaciones laborales por parte del personal.


Related Posts Plugin for WordPress, Blogger...