LOPD Proteccion de datos: julio 2013

martes, 30 de julio de 2013

Captacion matriculas en gasolineras

En el Informe de la Agencia Española de Protección de Datos nº 297 del año 2012, se dio respuesta a una seria de cuestiones sobre la instalación –en estaciones de servicios- de sistemas de captación de matrículas de coches y su posterior tratamiento para identificar a los propietarios de vehículos que se marchan de la gasolinera sin pagar el combustible suministrado.

Se dejaba claro, que este tratamiento de datos debía considerarse como totalmente diferenciado del fichero de videovigilancia, destinado a seguridad y vigilancia de las instalaciones.

Se trata por tanto la cuestión discutida, de un sistema específico y diferenciado de grabación de matrículas de coche para identificar casos de impago.

Lo primero que recuerda la AEPD en su informe es que las matrículas han de considerarse datos de carácter personal, ya que por medio de las mismas se puede llegar a identificar al propietario de un vehículo sin que ello implique un esfuerzo o duración desproporcionados. Alegando un interés legítimo, se puede solicitar a Tráfico una nota simple sobre un vehículo, que nos permitiría conocer los datos personales de su propietario.

Continua indicando la AEPD, que la estación de servicios ha de dar de alta un fichero específico ante el registro de dicha Agencia, distinto del de videovigilancia, para poder proceder a tratar esa información.

Asimismo, establece que para saber si el sistema de captación de imágenes se ajusta o no a la normativa de protección de datos de carácter personales, habrá que llevar a cabo un juicio de proporcionalidad, de tal modo que si se llega a la conclusión de que otra medida menos restrictiva pudiera evitar la sustracción de combustible, hará que emplearla. Por ejemplo: establecer mecanismos que impidan echar combustible sin abono previo del mismo. Solo en caso de que no existan otros medios, se podrá recurrir a la instalación del sistema de tratamiento de matrículas. De modo que habrá que estar a cada caso concreto.

Estas son algunas de las consideraciones que hace la AEPD sobre el tema.

En definitiva, si eres titular de una estación de servicios y te decides a instalar este tipo de sistemas de vigilancia, consúltalo antes y procede a analizar su viabilidad y su adecuación a la Ley, pues de lo contrario, te podrían encontrar con una sanción o con la imposibilidad de usar las pruebas recabadas ante un usuario que sustrae combustible.

O lo que es peor: con ambas cosas.

domingo, 21 de julio de 2013

Inscripcion de ficheros y LOPD

El artículo 26 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece la obligación de inscribir los ficheros de datos que manejes en tu empresa o profesión ante el Registro de la Agencia Española de Protección de Datos.

Concretamente, nos dice la norma que:

1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

…

3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

Es decir, que los ficheros de datos han de ser notificados a la Agencia y además se deben mantener actualizados ante la misma.

Tres son las preguntas que me formulan los clientes con mucha frecuencia en relación con este tema:

1ª. ¿Esto quiere decir que le tengo que comunicar a la AEPD todos los datos de todos mis clientes, mis trabajadores, contactos, etc…?

La respuesta es NO. Lo que le comunicas, por medio de un formulario oficial, es qué tipo de datos tienes y para qué los usas. Ejemplo: tengo los nombres, apellidos, DNI, nº de SS, etc… de mis trabajadores y los uso para poder gestionar la relación laboral con los mismos.

2ª. ¿Qué tipo de cambios le tengo que notificar a la AEPD en relación con estos ficheros?

Nos lo dice el párrafo 3º del artículo 26 antes trascrito y lo aclara la propia AEPD en resumen de su Primera Sesión Anual Abierta de 22 de abril de 2008 (preguntas frecuentas), en los siguientes términos:

Tienen que notificarse las modificaciones que afecten a:

– Cambio de denominación social, forma societaria o de personalidad jurídica.

- Modificación del nivel de seguridad aplicable. En todo caso, concordancia entre el nivel aplica

do, el exigido por el RDLOPD y el notificado.

– El fichero de nómina se puede notificar con datos de salud (grado de discapacidad –IRPF) y nivel de seguridad básico. OJO! en todo caso, se mantiene la obligación de aplicar todas las garantías exigidas para tratar datos especialmente protegidos.

– Cualquier modificación del contenido de la inscripción. Ej. Sistema de tratamiento, automatizado con documentación en papel, notificar sistema mixto

3ª. ¿Tengo que notificar la cancelación de los ficheros? ¿En que supuestos?

Sí, tienes que notificarla. En el mismo documento que indico, la AEPD explica en qué supuestos:

– Si ha quedado excluido totalmente de la aplicación de la LOPD.

– Si cesa la actividad del responsable. Ficheros bloqueados se pueden suprimir.

– Si desaparece la competencia o el objeto que ocasionó la creación del fichero.

sábado, 20 de julio de 2013

Destructora papel

domingo, 14 de julio de 2013

Reglamento europeo violacion datos

En el Diario Oficial de la Unión Europea de 26 de junio de 2013, se publicaba el Reglamento (UE) nº 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas.

Esta norma se aplica a la notificación de los casos de violación de datos personales por parte de los proveedores de servicios de comunicaciones electrónicas disponibles para el público (artículo 1º del Reglamento).

¿A qué les obliga esta norma?

Pues a notificar a la autoridad nacional competente los supuestos de violación de datos personales, y en plazos muy cortos: a las 24 horas de la detección de del caso, a ser posible.

La notificación se realizará cumplimentando un modelo oficial que se incluye como anexo I en el Reglamento.

¿Y qué quiere decir la norma con eso de “violación de datos personales”? Lo aclara el apartado 2º del artículo 2º, en los siguientes términos:

Se considerará que se ha detectado un caso de violación de datos personales cuando el proveedor tenga conocimiento suficiente de que se ha producido un incidente de seguridad que compromete datos personales…

Para que los proveedores puedan proceder a la notificación del incidente, las autoridades nacionales competentes habrán de poner a disposición de los mismos un soporte electrónico seguro a tal fin.

Además de la notificación a la autoridad nacional, el proveedor tiene que comunicar el incidente de seguridad al abonado o particular afectado, sin dilación (artículo 3). La información que se le proporcionará, será la recogida en el Anexo II de la norma.

No obstante, continua diciendo el artículo 4 de este Reglamento, que la notificación al abonado o particular, no será necesaria si el proveedor prueba debidamente que ha aplicado las medidas tecnológicas de protección convenientes y que estas se han aplicado a los datos afectados por la violación de seguridad. Dichas medidas tienen que convertir los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

La fecha de entrada en vigor de este Reglamento está muy próxima: 25 de agosto de 2013.

jueves, 4 de julio de 2013

Trabajadores y videovigilancia

Según la definición de dato de carácter personal que hace el artículo 5.1.f) del RLOPD, hemos de partir de que las imágenes se consideran datos de carácter personal, al poder serlo cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

El artículo 2 de la instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, se remite en cuanto a la legitimación para el tratamiento de imágenes a lo dispuesto en el artículo 6.1 y 2 de la LOPD, donde se establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”, sin perjuicio de que dicho consentimiento podrá quedar excluido, de acuerdo con lo dispuesto por el artículo 6.2 cuando el tratamiento sea necesario para el adecuado desenvolvimiento de la relación laboral de los trabajadores con la empresa.

Si la finalidad de la captación de las imágenes es controlar la actividad laboral, hay que estar al artículo 20.3 del el Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante ET) y que dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

Además, conforme a la doctrina del Tribunal Supremo, en Sentencia de 18 de junio de 2006, dichas medidas (como las relacionadas con la utilización de Internet y correo electrónico) deben haber sido hechas constar expresamente al trabajador, pasando así a formar parte de la propia relación laboral y siendo el tratamiento de los datos necesario para su adecuado desenvolvimiento.

De todo ello se desprende que la aplicación del artículo 20.3 ET no legitima por sí solo el tratamiento de las imágenes, si bien éste será posible, aún sin contar con el consentimiento del afectado en caso de que el trabajador haya sido debidamente informado de la existencia de esta medida, debiendo además ser claro que, conforme a lo exigido por el artículo 4.2 LOPD, los datos no podrán ser utilizados para fines distintos.

Se plantea la cuestión de cómo ha de cumplirse el deber de informar, pues el tratamiento de las imágenes por el responsable del tratamiento, le obliga a cumplir con dicho deber, en los términos establecidos en el artículo 5.1 de la LOPD, que dispone que “los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información; b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos; d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

En este punto debe tenerse en cuenta la modalidad de cumplimiento del deber de información en materia de videovigilancia que recoge el artículo 3 de la Instrucción 1/2006:

“Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en el artículo 5 de La Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán:

a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y

b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

El contenido y el diseño del distintivo informativo se ajustará a lo previsto en el Anexo de esta Instrucción.”

Por tanto, la Instrucción prevé dos formas de cumplir con el deber de informar en materia de videovigilancia. Además como se ha señalado anteriormente si la videovigilancia se efectúa para el control laboral, amparado sólo en el Estatuto de los Trabajadores, deberá informarse al trabajador y al comité de empresa.

En este punto, tengo además que hacer referencia a una sentencia muy reciente del Tribunal Constitucional, la nº 29/2013, de 11 de febrero. De hecho, quiero recoger las siguientes conclusiones, a tener en cuenta por empresarios y profesionales:

1ª. En la sentencia mencionada, se planteó el supuesto de una entidad que utilizó el sistema de videovigilancia de un edificio para controlar a uno de sus empleados, que venía incumpliendo sus obligaciones laborales. Estas grabaciones finalmente se utilizaron para sancionar al trabajador y como prueba en un procedimiento judicial.

2ª. En este recurso se discutía si la grabación y uso de esas imágenes en un expediente disciplinario (que llegó a los tribunales) vulnera el derecho fundamental a la protección de datos reconocida en el artículo 18.4 de la Constitución Española. En concreto, se planteaba que se habría vulnerado el derecho a la autotutela informativa, es decir: el derecho a ser informado sobre el tratamiento que se pretendía dar a las imágenes recogidas por el sistema de videovigilancia.

3ª. No hay que perder de vista, que al centrarse el recurso en el artículo 18.4 citado, lo que estamos analizando es lo siguiente (cita literal de la STC): el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado … Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin.

Lo que significa que el derecho de información en este tema es el eje central del recurso.

4ª. En los párrafos de la sentencia que reproduzco a continuación, se encuentra la clave del razonamiento del Tribunal:

Ese derecho de información opera también cuando existe habilitación legal para recabar los datos sin necesidad de consentimiento, pues es patente que una cosa es la necesidad o no de autorización del afectado y otra, diferente, el deber de informarle sobre su poseedor y el propósito del tratamiento. Es verdad que esa exigencia informativa no puede tenerse por absoluta, dado que cabe concebir limitaciones por razones constitucionalmente admisibles y legalmente previstas, pero no debe olvidarse que la Constitución ha querido que la ley, y sólo la ley, pueda fijar los límites a un derecho fundamental, exigiendo además que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, respetuoso con el contenido esencial del derecho fundamental restringido (SSTC 57/1994, de 28 de febrero, FJ 6; 18/1999, de 22 de febrero, FJ 2, y en relación con el derecho a la protección de datos personales, STC 292/2000, FFJJ 11 y 16).

En aplicación de esa doctrina, concluimos que no hay una habilitación legal expresa para esa omisión del derecho a la información sobre el tratamiento de datos personales en el ámbito de las relaciones laborales, y que tampoco podría situarse su fundamento en el interés empresarial de controlar la actividad laboral a través de sistemas sorpresivos o no informados de tratamiento de datos que aseguren la máxima eficacia en el propósito de vigilancia.

5ª. La Sentencia indica que no es suficiente con que existieran carteles informativos sobre la existencia de las cámaras, ni que se hubiera notificado la existencia del fichero a la Agencia Española de Protección de Datos.

6º. Por último se aclara que la información que debió darse al trabajador habría de cumplir los siguientes requisitos:

…era necesaria además la información previa y expresa, precisa, clara e inequívoca a los trabajadores de la finalidad de control de la actividad laboral a la que esa captación podía ser dirigida. Una información que debía concretar las características y el alcance del tratamiento de datos que iba a realizarse, esto es, en qué casos las grabaciones podían ser examinadas, durante cuánto tiempo y con qué propósitos, explicitando muy particularmente que podían utilizarse para la imposición de sanciones disciplinarias por incumplimientos del contrato de trabajo.

CONCLUSIÓN FINAL: Se consideran como pruebas inconstitucionales (y por tanto nulas e inválidas en juicio para acreditar un incumplimiento laboral del trabajador) las imágenes captadas por sistemas de videovigilancia para control empresarial, cuando no se ha procedido a informar previa y exhaustivamente al trabajador sobre la finalidad de la grabación y demás circunstancias mencionadas en la Sentencia del TC. Y esto sería tan aplicable a las grabaciones que se hacen por el sistema ordinario y “visible” de videovigilancia, como a los sistemas “secretos” de videovigilancia, (ejemplo: uso de cámaras camufladas para comprobar sustracciones de dinero de la caja).

En consecuencia, para poder utilizar las grabaciones como prueba válida en juicio, se tiene que proceder a cumplir el deber de información, mediante la correspondiente nota informativa que se hará llegar al trabajador, acreditándose su recepción por el mismo.

Asimismo, en mi opinión, se deberá proceder a inscribir ante la AEPD un fichero específico de grabación de imágenes de trabajadores con la finalidad exclusiva del ejercicio del control empresarial ante sospechas de incumplimientos de obligaciones laborales por parte del personal.

¿Quien soy?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿Cuál es mi titulación?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero...).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

¿Tengo sellos?

Sin duda, a estas alturas de mi blog, te estarás preguntando si tengo un sello de calidad, medio ambiente o seguridad de la información, que como bien sabes garantiza la calidad de mis procesos de trabajo, contraseñas y lo limpia que tengo la escobilla del wáter, sobre todo el día que viene el auditor a renovarme el sellito, que es el único día que cumplo los procedimientos y los falsifico en un 99,9% para que el muy tonto me siga permitiendo exhibirlo y me cobre mi cuota anual ( y de paso él también pueda seguir cobrando)... Pues sí, tengo un sello (además, otorgado por el mismísimo Rey), por si quieres verlo:

¿Soy "miembrode"?

Y si eres de los que hila aún más fino, también te asaltarán las dudas sobre si soy miembro de alguna Fundación, Asociación, o ente corporativo que aúne a profesionales como yo.

Pues no. No soy “miembrode”. Lo he sido durante muchos años, pero ahora soy un "espíritu libre de".

Ser “miembrode” significa pagarle a otro X euros todos los meses a cambio de que te deje exhibir su logo, imagen y usar su sistema de trabajo y sus precios. Hablando en plata: una franquicia.

Me encanta la comida que ponen en montones de franquicias de restauración y me parecen negocios estupendos, en la mayoría de los casos.

Pero lo de los temas jurídicos es distinto, y los "miembrosde" y las franquicias no me convencen nada, la verdad. Ellos lo llaman cuestión de imagen, y calidad y excelencia de sus "miembrosde".

Yo lo llamo tomadura de pelo.

Sí. Otra.