¿Quieres robar en tu empresa, pero tiene cámaras de videovigilancia? Hazlo en gayumbos y viva el derecho a la intimidad.

El pasado día 12 de este año 2017 por casualidad terminé en la página de un diario digital,donde se ofrecía la siguiente noticia: Robaba dinero a su empresa, pero el Constitucional la ampara por ser grabada sin permiso.

Captura

Inmediatamente me fui a la página del Tribunal Constitucional, a ver si localizaba la sentencia, y repasé las últimas resoluciones ofrecidas. Pero no la localicé, por lo que deduje que, como siempre, el TC no hace públicas las sentencias en su web hasta que se publican en el BOE, pero sí que amablemente las pone a disposición de los medios de comunicación. (más…)


Privacidad Lógica os felicita la Navidad 2016 y os desea un próspero 2017.

Miniatura noticia

Quien lo iba a decir: ya nos hemos comido 2016, un año marcado, desde la óptica eleopediana, por el Reglamento General de Protección de Datos, que nos trae a todos por el camino de la amargura intentado interpretarlo. El Grupo de Autoridades europeas de protección de datos ya ha empezado a emitir diversas directrices y documentos de preguntas dirigidas a responsables y encargados de tratamiento, y el club del dato patrio espera con impaciencia la publicación del anteproyecto de reforma de la LOPD en el primer trimestre de 2017, del que se ha empezado a hablar en las redes este mes de diciembre.

Aunque este año nos hemos prodigado poco, en Privacidad Lógica no hemos querido saltarnos la costumbre de felicitar la Navidad a todos nuestros amigos y lectores a través de otra de nuestras peculiares postales navideñas.

Ya sabéis todos que Privacidad Lógica es el blog asesor oficial de los Reyes Magos en materia de privacidad. Conscientes de que son un poco dejados en esto del cumplimiento de la LOPD (pero a su edad todo se perdona… mientras nos traigan regalos) en esta ocasión nos han pedido ayuda para intentar cumplir con el deber de información, pero, para no dejarlo todo para el último minuto, incorporando las nuevas exigencias del RGPD como buenamente hemos entendido, que todo está a fecha de hoy en el aire.

 

Si quieres conocer qué tal ha ido la cosa, descárgate nuestra felicitación haciendo click en la imagen.

 

carta-a-los-ninos

 


La huella para entrar en un gimnasio a lo mejor no, pero sí para control horario en la empresa.

Miniatura noticia

El pasado día 29 de septiembre en el periódico digital eldiario.es se publicaba un interesante artículo titulado “Si te parece normal que te pidan la huella digital para entrar en un gimnasio, necesitas leer esto”, en el que se criticaba que en un determinado gimnasio de la capital se llevara el control de acceso a las instalaciones a través de datos biométricos obtenidos a partir de la huella dactilar de los usuarios.

No es mi intención aquí entrar en si es desproporcionado o no ese sistema de control de acceso -por otra parte, más habitual de lo que se puede pensar- sino centrarme en una frase utilizada en el artículo, a mi juicio exagerada intencionadamente:

Una enorme popularidad teniendo en cuenta que no es barato, que no es compatible con otros gimnasios municipales y que exige a los usuarios algo que sería más apropiado en una comisaría: la huella digital.

Si bien podría ser cierto que el uso de la huella dactilar resulte ser desproporcionado en la situación que describe en el artículo, no lo es (que es lo que mi juicio puede desprenderse del artículo. Prueba de ello es que el artículo me lo mandaron desde una empresa cliente del despacho) que se circunscriba el tratamiento legítimo de la misma al que pueden hacer los Cuerpos y Fuerzas de Seguridad del Estado, puesto el uso de los datos biométricos obtenidos de una huella dactilar para control horario, sin necesidad de contar con el consentimiento de los trabajadores,  ha sido declarado ajustado a Derecho no solo por la Agencia Española de Protección de Datos sino también, y eso es más importante, por la Administración de Justicia.

El artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, determina como principio general la necesidad de contar con el consentimiento del interesado para tratar sus datos personales, pero el apartado 2º del mismo precepto recoge una serie de -benditas- excepciones que permiten el tratamiento sin necesidad de recabar ese consentimiento, y entre éstas se encuentra el que los datos se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

Pongan en relación dicho precepto con el artículo 20.3 del Estatuto de los Trabajadores: 

El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

 Por tanto, previo cumplimiento de las exigencias previstas en el propio Estatuto de los Trabajadores para el establecimiento de esas medidas de control y de las obligaciones informativas eleopedianas, el uso de un dato biométrico para controlar el cumplimiento del horario de trabajo sería conforme a Ley.

Es más, no solo podría tener esa finalidad, sino que también puede servir para cumplir con la obligación que el empresario tiene de registrar día a día la jornada de cada trabajador, impuesta por el apartado 5º del artículo 35 del Estatuto de los Trabajadores (“A efectos del cómputo de horas extraordinarias, la jornada de cada trabajador se registrará día a día y se totalizará en el periodo fijado para el abono de las retribuciones, entregando copia del resumen al trabajador en el recibo correspondiente”), registro que se tiene que llevar aunque no se realicen horas extraordinarias, conforme ha entendido la Audiencia Nacional en sentencias de  4 de diciembre de 2015 (nº 207/2015) y 19 de febrero de 2016 (nº 25/2016):

… Conviene subrayar que la previsión contenida en el art. 35.5 ET, como recuerda la STS 11-12-2003 y reitera STS 25-04-2006, rec. 147/2005, ” tiene por objeto procurar al trabajador un medio de prueba documental, que facilite la acreditación, de otra parte siempre difícil, de la realización de horas extraordinarias, cuya probanza le incumbe. De este medio obligacional de patentización de las horas extraordinarias deriva que sea el trabajador el primer y principal destinatario de la obligación empresarial de elaborar “a efectos del cómputo de horas extraordinarias la jornada de cada trabajador… entregando copia del resumen al trabajador en el recibo correspondiente”. – Queda claro, por tanto, que en el resumen no se contiene el número de horas extraordinarias realizado diariamente, sino la jornada realizada diariamente. 

Así pues, si la razón de ser de este precepto es procurar al trabajador un medio de prueba documental para acreditar la realización de horas extraordinarias, parece evidente que el registro de la jornada diaria es la herramienta, promovida por el legislador, para asegurar efectivamente el control de las horas extraordinarias. – Si no fuera así, si el registro diario de la jornada solo fuera obligatorio cuando se realicen horas extraordinarias, provocaríamos un círculo vicioso, que vaciaría de contenido la institución y sus fines, puesto que el presupuesto, para que las horas extraordinarias tengan dicha consideración, es que se realicen sobre la duración máxima de la jornada de trabajo, que en BANKIA es de 1680 horas en cómputo anual, de conformidad con lo dispuesto en el art. 31.1 del Convenio Colectivo de Cajas de Ahorro, siendo esta la razón por la que, sin el registro diario de la jornada, sea imposible controlar la realización de horas extraordinarias

Como he anticipado antes, que el control horario se lleve a cabo mediante dato biométrico obtenido a partir de la huella dactilar está legitimado por el propio Tribunal Supremo, que en relación con un sistema de  control horario basado en la lectura biométrica de la mano por un escáner implantado por la Comunidad Autónoma de Cantabria, en sentencia de fecha 2 de julio de 2007 dictada por la sección 7ª de la Sala Tercera, considera que es un tratamiento del dato adecuado, pertinente y no excesivo para la finalidad perseguida con su implantación:

La captación por infrarrojos de una imagen tridimensional de la mano que acaba convertida en un registro de nueve bytes válido para, mediante tratamiento informático que lo relaciona con otros datos, identificar a los empleados públicos del Gobierno de Cantabria y así controlar el cumplimiento del horario de trabajo, no responde al patrón de las intromisiones ilegítimas en la esfera de la intimidad, tanto por la parte del cuerpo utilizada, como por las condiciones en que se usa. 

Desde luego, la finalidad perseguida mediante su utilización es plenamente legítima: el control del cumplimiento del horario de trabajo al que vienen obligados los empleados públicos. Y, en tanto esa obligación es inherente a la relación que une a estos con la Administración Autonómica, no es necesario obtener previamente su consentimiento ya que el artículo 6.2 de la Ley Orgánica 15/1999 lo excluye en estos casos. Además, no parece que la toma, en las condiciones expuestas, de una imagen de la mano incumpla las exigencias de su artículo 4.1. Por el contrario, puede considerarse adecuada, pertinente y no excesiva.

Esa línea es la que sigue manteniendo la Agencia Española de Protección de Datos cuando estos sistemas de control se denuncian ante ese ente. Les remito a modo de ejemplo a tres recientes resoluciones de archivo:

Expediente E/00625/2015, resolución de archivo de fecha 22 de octubre de 2015

Expediente E/01972/2015, resolución de archivo de fecha 12 de enero de 2016

Expediente E/03942/2015, resolución de archivo de fecha 15 de febrero de 2016

Es más: es la misma postura que el ente de control mantiene al respecto desde, como mínimo 1999, como pueden comprobar a través de este informe jurídico.

Cabría preguntarse si la entrada en vigor y plena aplicación el 25 de mayo de 2018 del nuevo Reglamento General de Protección de Datos va a suponer algún cambio en cuanto a la legitimación de este tratamiento, pero desde mi punto de vista creo que no va a ser así, puesto que si bien el artículo 9.1 eleva los datos biométricos a categoría especial de datos personales -lo que en la legislación española se conoce como datos especialmente protegidos-, su apartado segundo permite su tratamiento, entre otros supuestos, cuando el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.

En fin, hasta aquí llego. No obstante, me van a permitir que termine dedicando estas líneas a tres personas:

Por un lado, a Álvaro Pérez y a Luís Isasi, más que compañeros amigos, del Ilustre Colegio de Abogados de Baleares, a quienes estos días la vida les ha hecho pasar por el siempre duro trance de perder un familiar querido.

Y por otro, aunque no estén a su altura, a la memora de Emilio Aced, recientemente fallecido. Persona de referencia en el sector eleopediano, compañero en el grupo de debate e intercambio de conocimiento auspiciado por Julián Valero, y que siempre fue amable, atento y cariñoso en el trato conmigo en las pocas ocasiones que coincidimos físicamente. Un abrazo a su familia.

Alfonso Pacheco

www.alfonsopachecoabogado.es

Foto: Tony Alter


El abogado ante el deber de información al cliente según el nuevo Reglamento General de Protección de Datos

Miniatura noticia

Una de las obligaciones básicas de todo aquel que recabe datos de carácter personal para llevar a cabo cualquier actividad profesional, comercial o empresarial, así como el desarrollo o prestación de las competencias de las Administraciones públicas es ofrecer a los interesados un determinado contenido informativo, que viene fijado en la legislación española en el artículo 5 LOPD.

Obviamente, el abogado para el desarrollo de sus servicios profesionales debe tratar datos de carácter personal, así que debe forzosamente observar el deber de información (o derecho de información desde la perspectiva del interesado, es decir, de la persona física cuyos datos vayamos a tratar).

La importancia de cumplir debidamente el deber de información es enorme, dado que incide directamente en la formación de la voluntad del interesado a la hora de consentir o no tratamiento de sus datos de carácter personal. El propio Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, destaca en su fundamento jurídico séptimo la relevancia de ese derecho a ser informado:

               De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. (más…)


¿Incide el nuevo Reglamento General de Protección de Datos en la legitimación del abogado para el tratamiento de datos de carácter personal especialmente protegidos de sus clientes?

Miniatura noticia

El abogado, para el desarrollo de las prestaciones objeto de su contratación necesita tratar datos de carácter personal. Como regla general, y como establece el apartado primero del artículo 6 de la LOPD, el tratamiento de los datos de carácter personal requerirá del consentimiento inequívoco del afectado, salvo que la ley no disponga otra cosa.

De acuerdo con lo anterior, ¿debe el abogado solicitar el consentimiento de su cliente para tratar sus datos de carácter personal? La respuesta es negativa, porque el apartado segundo del mismo precepto citado y el artículo 10 RDLOPD nos dicen que no será necesario contar con ese consentimiento cuando los datos de carácter personal se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.

Como el abogado recaba los datos personales de sus clientes a resultas del establecimiento con ellos de una relación contractual en virtud de la cual el cliente arrienda los servicios del abogado, podemos concluir que el tratamiento de esos datos no necesita del consentimiento del cliente de acuerdo con lo expuesto.

Ahora bien, el tema deja de ser  tan sencillo si entre los datos que se recaban y tratan se encuentra alguno calificable como especialmente protegido: ideología, religión, creencias, afiliación sindical, origen racial, salud y vida sexual, que la LOPD regula, a los efectos que nos ocupan, en el artículo 7. (más…)


¿Impone el Reglamento (UE) 524/2013 las mismas obligaciones a todos los comercios online en relación con la nueva plataforma europea de resolución de conflictos?

Miniatura noticia

Uno de los últimos temas de actualidad en el mundo del comercio electrónico es la puesta en funcionamiento desde el 15 de febrero de la plataforma de resolución de litigios en línea en materia de consumo, que viene regulada en el Reglamento (UE) nº 524/2013 del Parlamento y del Consejo, de 21 de mayo de 2013.

 

Son distintos artículos en diferentes medios digitales que he leído sobre las obligaciones que de ese Reglamento se derivan para los titulares de un comercio online en relación con la información hacia los consumidores y publicidad que debe darse a la existencia de esa plataforma y, la verdad, humildemente me tengo que manifestar en desacuerdo con los mismos.

 

¿Y por qué? Porque en muchos de esos artículos (por razones obvias entenderán que no indique los enlaces) se afirma que las obligaciones para esos comercios son iguales para todos (enlace, dirección de mail visible, inclusión en condiciones generales y en mails), cuando eso no es cierto a la luz del artículo 14 del Reglamento citado. (más…)


Privacidad Lógica felicita la Navidad 2015 y os desea un próspero año 2016

Miniatura noticia

La devolución de la declaración de la renta a los profesionales liberales entrado ya el mes de diciembre marca el inicio de la Navidad, ¿verdad? Es una buena forma de dar el pistolerazo de salida a las celebraciones.

¿Y qué pasa cuando llega la Navidad? Que, como todos los años desde que surgió este blog, sus tres integrantes, Luís, Javier y Alfonso, a través de nuestra tradicional felicitación queremos agradeceros a todos vuestra amabilidad al leer las cosas que se nos van ocurriendo y que compartimos desde esta web.

Este año podríamos haber titulado  nuestra peculiar  postal navideña “la realidad supera la ficción”, porque nos hemos hecho eco en la misma de una historia real que, creemos, ilustra a la perfección lo complicado que resulta en la práctica diaria imbricar una normativa tan transversal  como la eleopediana con el desarrollo normal de cualquier actividad. Los resultados, como en nuestra historia, a veces son un tanto surrealistas. (más…)


Sobre el procedimiento equivalente del artículo 15 RDLOPD para la obtención del consentimiento para otras finalidades.

Miniatura noticia

Constituye este artículo la segunda parte del anterior publicado en este blog sobre el artículo 15 RDLOPD, relativo a la solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma.

Recordemos la redacción del precepto:

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

 En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

En el  post previo nos centramos en la redacción la leyenda (en positivo o negativo) que debe acompañar a la casilla a la que se refiere el precepto “se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato”.

Hoy quiero hablar sobre el establecimiento de ese procedimiento equivalente que permita al interesado manifestar su negativa al tratamiento de sus datos para otras finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. (más…)


El consentimiento para otras finalidades del artículo 15 RDLOPD: ¿casilla más leyenda, en positivo o en negativo?

Miniatura noticia

El artículo 15 del RDLOPD establece que si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, nos dice el precepto, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

Olvídese el lector por ahora de lo de “procedimiento equivalente”, que espero sea objeto de un post posterior (estamos en ello), y céntrese en el sistema que el legislador bendice: la existencia de una casilla, claramente visible y no pre marcada, en el documento en el que se plasmará el contrato.

El asunto que quiero tratar aquí es cómo redactar la leyenda que debe acompañar a la casilla en cuestión: ¿debe redactarse en sentido positivo (Sí quiero), o puedo hacerlo en sentido negativo (No quiero)? La cuestión no es ninguna tontería, por cuanto en el caso de que la redacción sea en sentido positivo solamente podré utilizar los datos de los interesados que hayan expresamente marcado la casilla autorizando ese uso. Por el contrario, si la redacción lo es en sentido negativo podré utilizar los datos de todos aquellos interesados que no hayan manifestado su negativa de forma expresa marcando la casilla. (más…)


¿Pueden acceder los padres de un alumno mayor de edad a las notas que saca en el colegio?

Miniatura noticia

Pepito es alumno del Colegio Patatín desde el parvulario. Ahora cursa segundo de bachillerato. Sus orgullosos padres, don José y doña Concha, siempre han estado pendientes de la educación de su vástago, acudiendo a toda reunión organizada por el centro, supervisando que hiciera los deberes y ayudándole cuando sus conocimientos se lo permitían, estando informados en todo momento de sus progresos y notas…

Pepito ha sido siempre un alumno ejemplar…hasta este último curso, donde se ha visto alcanzado de lleno por el mal de amores. ¿Consecuencia? El pollo lleva cinco suspensos en la primera evaluación. Aterrorizado, Pepito piensa en cómo evitar que sus padres se enteren de las notas hasta que logre recuperar los suspensos. Ya les contará alguna milonga, pero ahora lo importante es que el colegio no se chive y no de traslado de las calificaciones a sus padres.

Vale, sí, pero ¿cómo lograrlo? Pepito, piensa que te piensa, de repente se acuerda del derecho fundamental a la protección de datos de carácter personal y eso de la autotutela informativa y razona de la siguiente forma: “Ya tengo 18 años, soy mayor de edad, con plena capacidad de obrar, no sujeto a patria potestad y, por lo tanto, solo yo decido quien accede a mis notas”.

Así que Pepito se dirige por escrito a la secretaría de su colegio y deja dicho de forma tajante y contundente que en el centro solamente puede facilitarle a él sus calificaciones y que nada de ponerlas en conocimiento de sus padres, que si no presenta una denuncia ante la AEPD.

(más…)