Quien lo iba a decir: ya nos hemos comido 2016, un año marcado, desde la óptica eleopediana, por el Reglamento General de Protección de Datos, que nos trae a todos por el camino de la amargura intentado interpretarlo. El Grupo de Autoridades europeas de protección de datos ya ha empezado a emitir diversas directrices y documentos de preguntas dirigidas a responsables y encargados de tratamiento, y el club del dato patrio espera con impaciencia la publicación del anteproyecto de reforma de la LOPD en el primer trimestre de 2017, del que se ha empezado a hablar en las redes este mes de diciembre.
Aunque este año nos hemos prodigado poco, en Privacidad Lógica no hemos querido saltarnos la costumbre de felicitar la Navidad a todos nuestros amigos y lectores a través de otra de nuestras peculiares postales navideñas.
Ya sabéis todos que Privacidad Lógica es el blog asesor oficial de los Reyes Magos en materia de privacidad. Conscientes de que son un poco dejados en esto del cumplimiento de la LOPD (pero a su edad todo se perdona… mientras nos traigan regalos) en esta ocasión nos han pedido ayuda para intentar cumplir con el deber de información, pero, para no dejarlo todo para el último minuto, incorporando las nuevas exigencias del RGPD como buenamente hemos entendido, que todo está a fecha de hoy en el aire.
Si quieres conocer qué tal ha ido la cosa, descárgate nuestra felicitación haciendo click en la imagen.
El pasado día 29 de septiembre en el periódico digital eldiario.es se publicaba un interesante artículo titulado “Si te parece normal que te pidan la huella digital para entrar en un gimnasio, necesitas leer esto”, en el que se criticaba que en un determinado gimnasio de la capital se llevara el control de acceso a las instalaciones a través de datos biométricos obtenidos a partir de la huella dactilar de los usuarios.
No es mi intención aquí entrar en si es desproporcionado o no ese sistema de control de acceso -por otra parte, más habitual de lo que se puede pensar- sino centrarme en una frase utilizada en el artículo, a mi juicio exagerada intencionadamente:
Una enorme popularidad teniendo en cuenta que no es barato, que no es compatible con otros gimnasios municipales y que exige a los usuarios algo que sería más apropiado en una comisaría: la huella digital.
Si bien podría ser cierto que el uso de la huella dactilar resulte ser desproporcionado en la situación que describe en el artículo, no lo es (que es lo que mi juicio puede desprenderse del artículo. Prueba de ello es que el artículo me lo mandaron desde una empresa cliente del despacho) que se circunscriba el tratamiento legítimo de la misma al que pueden hacer los Cuerpos y Fuerzas de Seguridad del Estado, puesto el uso de los datos biométricos obtenidos de una huella dactilar para control horario, sin necesidad de contar con el consentimiento de los trabajadores, ha sido declarado ajustado a Derecho no solo por la Agencia Española de Protección de Datos sino también, y eso es más importante, por la Administración de Justicia.
El artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, determina como principio general la necesidad de contar con el consentimiento del interesado para tratar sus datos personales, pero el apartado 2º del mismo precepto recoge una serie de -benditas- excepciones que permiten el tratamiento sin necesidad de recabar ese consentimiento, y entre éstas se encuentra el que los datos se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
Pongan en relación dicho precepto con el artículo 20.3 del Estatuto de los Trabajadores:
El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.
Por tanto, previo cumplimiento de las exigencias previstas en el propio Estatuto de los Trabajadores para el establecimiento de esas medidas de control y de las obligaciones informativas eleopedianas, el uso de un dato biométrico para controlar el cumplimiento del horario de trabajo sería conforme a Ley.
Es más, no solo podría tener esa finalidad, sino que también puede servir para cumplir con la obligación que el empresario tiene de registrar día a día la jornada de cada trabajador, impuesta por el apartado 5º del artículo 35 del Estatuto de los Trabajadores(“A efectos del cómputo de horas extraordinarias, la jornada de cada trabajador se registrará día a día y se totalizará en el periodo fijado para el abono de las retribuciones, entregando copia del resumen al trabajador en el recibo correspondiente”), registro que se tiene que llevar aunque no se realicen horas extraordinarias, conforme ha entendido la Audiencia Nacional en sentencias de 4 de diciembre de 2015(nº 207/2015) y 19 de febrero de 2016 (nº 25/2016):
… Conviene subrayar que la previsión contenida en el art. 35.5 ET, como recuerda la STS 11-12-2003 y reitera STS 25-04-2006, rec. 147/2005, ” tiene por objeto procurar al trabajador un medio de prueba documental, que facilite la acreditación, de otra parte siempre difícil, de la realización de horas extraordinarias, cuya probanza le incumbe. De este medio obligacional de patentización de las horas extraordinarias deriva que sea el trabajador el primer y principal destinatario de la obligación empresarial de elaborar “a efectos del cómputo de horas extraordinarias la jornada de cada trabajador… entregando copia del resumen al trabajador en el recibo correspondiente”. – Queda claro, por tanto, que en el resumen no se contiene el número de horas extraordinarias realizado diariamente, sino la jornada realizada diariamente.
Así pues, si la razón de ser de este precepto es procurar al trabajador un medio de prueba documental para acreditar la realización de horas extraordinarias, parece evidente que el registro de la jornada diaria es la herramienta, promovida por el legislador, para asegurar efectivamente el control de las horas extraordinarias. – Si no fuera así, si el registro diario de la jornada solo fuera obligatorio cuando se realicen horas extraordinarias, provocaríamos un círculo vicioso, que vaciaría de contenido la institución y sus fines, puesto que el presupuesto, para que las horas extraordinarias tengan dicha consideración, es que se realicen sobre la duración máxima de la jornada de trabajo, que en BANKIA es de 1680 horas en cómputo anual, de conformidad con lo dispuesto en el art. 31.1 del Convenio Colectivo de Cajas de Ahorro, siendo esta la razón por la que, sin el registro diario de la jornada, sea imposible controlar la realización de horas extraordinarias
Como he anticipado antes, que el control horario se lleve a cabo mediante dato biométrico obtenido a partir de la huella dactilar está legitimado por el propio Tribunal Supremo, que en relación con un sistema de control horario basado en la lectura biométrica de la mano por un escáner implantado por la Comunidad Autónoma de Cantabria, en sentencia de fecha 2 de julio de 2007 dictada por la sección 7ª de la Sala Tercera, considera que es un tratamiento del dato adecuado, pertinente y no excesivo para la finalidad perseguida con su implantación:
La captación por infrarrojos de una imagen tridimensional de la mano que acaba convertida en un registro de nueve bytes válido para, mediante tratamiento informático que lo relaciona con otros datos, identificar a los empleados públicos del Gobierno de Cantabria y así controlar el cumplimiento del horario de trabajo, no responde al patrón de las intromisiones ilegítimas en la esfera de la intimidad, tanto por la parte del cuerpo utilizada, como por las condiciones en que se usa.
Desde luego, la finalidad perseguida mediante su utilización es plenamente legítima: el control del cumplimiento del horario de trabajo al que vienen obligados los empleados públicos. Y, en tanto esa obligación es inherente a la relación que une a estos con la Administración Autonómica, no es necesario obtener previamente su consentimiento ya que el artículo 6.2 de la Ley Orgánica 15/1999 lo excluye en estos casos. Además, no parece que la toma, en las condiciones expuestas, de una imagen de la mano incumpla las exigencias de su artículo 4.1. Por el contrario, puede considerarse adecuada, pertinente y no excesiva.
Esa línea es la que sigue manteniendo la Agencia Española de Protección de Datos cuando estos sistemas de control se denuncian ante ese ente. Les remito a modo de ejemplo a tres recientes resoluciones de archivo:
Expediente E/00625/2015, resolución de archivo de fecha 22 de octubre de 2015
Expediente E/01972/2015, resolución de archivo de fecha 12 de enero de 2016
Expediente E/03942/2015, resolución de archivo de fecha 15 de febrero de 2016
Es más: es la misma postura que el ente de control mantiene al respecto desde, como mínimo 1999, como pueden comprobar a través de este informe jurídico.
Cabría preguntarse si la entrada en vigor y plena aplicación el 25 de mayo de 2018 del nuevo Reglamento General de Protección de Datos va a suponer algún cambio en cuanto a la legitimación de este tratamiento, pero desde mi punto de vista creo que no va a ser así, puesto que si bien el artículo 9.1 eleva los datos biométricos a categoría especial de datos personales -lo que en la legislación española se conoce como datos especialmente protegidos-, su apartado segundo permite su tratamiento, entre otros supuestos, cuando el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
En fin, hasta aquí llego. No obstante, me van a permitir que termine dedicando estas líneas a tres personas:
Por un lado, a Álvaro Pérez y a Luís Isasi, más que compañeros amigos, del Ilustre Colegio de Abogados de Baleares, a quienes estos días la vida les ha hecho pasar por el siempre duro trance de perder un familiar querido.
Y por otro, aunque no estén a su altura, a la memora de Emilio Aced, recientemente fallecido. Persona de referencia en el sector eleopediano, compañero en el grupo de debate e intercambio de conocimiento auspiciado por Julián Valero, y que siempre fue amable, atento y cariñoso en el trato conmigo en las pocas ocasiones que coincidimos físicamente. Un abrazo a su familia.
Una de las obligaciones básicas de todo aquel que recabe datos de carácter personal para llevar a cabo cualquier actividad profesional, comercial o empresarial, así como el desarrollo o prestación de las competencias de las Administraciones públicas es ofrecer a los interesados un determinado contenido informativo, que viene fijado en la legislación española en el artículo 5 LOPD.
Obviamente, el abogado para el desarrollo de sus servicios profesionales debe tratar datos de carácter personal, así que debe forzosamente observar el deber de información (o derecho de información desde la perspectiva del interesado, es decir, de la persona física cuyos datos vayamos a tratar).
La importancia de cumplir debidamente el deber de información es enorme, dado que incide directamente en la formación de la voluntad del interesado a la hora de consentir o no tratamiento de sus datos de carácter personal. El propio Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, destaca en su fundamento jurídico séptimo la relevancia de ese derecho a ser informado:
De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.(más…)
El abogado, para el desarrollo de las prestaciones objeto de su contratación necesita tratar datos de carácter personal. Como regla general, y como establece el apartado primero del artículo 6 de la LOPD, el tratamiento de los datos de carácter personal requerirá del consentimiento inequívoco del afectado, salvo que la ley no disponga otra cosa.
De acuerdo con lo anterior, ¿debe el abogado solicitar el consentimiento de su cliente para tratar sus datos de carácter personal? La respuesta es negativa, porque el apartado segundo del mismo precepto citado y el artículo 10 RDLOPD nos dicen que no será necesario contar con ese consentimiento cuando los datos de carácter personal se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.
Como el abogado recaba los datos personales de sus clientes a resultas del establecimiento con ellos de una relación contractual en virtud de la cual el cliente arrienda los servicios del abogado, podemos concluir que el tratamiento de esos datos no necesita del consentimiento del cliente de acuerdo con lo expuesto.
Ahora bien, el tema deja de ser tan sencillo si entre los datos que se recaban y tratan se encuentra alguno calificable como especialmente protegido: ideología, religión, creencias, afiliación sindical, origen racial, salud y vida sexual, que la LOPD regula, a los efectos que nos ocupan, en el artículo 7. (más…)
Bueno, bueno, bueno… quien me iba a decir que tras tanto tiempo privándoles de mis crónicas, iba a volver por aquí… Cierto es que la falta de engrase, unido a multitud de circunstancias personales, no me han dejado hacerlo con la inmediatez que solía, pero está claro que la ocasión no podía ser mejor y en esta, les voy a escribir sobre la jornada que la Agencia Vasca de Protección de Datos organizó el pasado 15 de enero en Bilbao.
Esta falta de inmediatez ha hecho que otros compañeros blogueros se nos adelanten con mucho, como es el caso de Mikel García Larragán, que el mismo día del evento, como yo procuraba hacer en mis buenos tiempos, publicó la reseña que les enlazo. La propia AVPD hizo lo propio con una noticia en su web que también pueden consultar nuestros queridos lectores.
Y sin más dilación, entremos en materia… Comenzó la jornada con la introducción por parte de Iñaki Pariente –Director de la Agencia Vasca- de lo que allí se iba a tratar bajo el título “La evolución de la protección de datos en los últimos tiempos y a futuro”. Además de introducir a cada uno de los ponentes que nos dirigirían sus charlas, avanzó que al final de las mismas, se procedería a la entrega de los III Premios de la Agencia Vasca de 2015, los cuales, tal y como reza en la propia resolución de concesión, pretenden reconocer, honoríficamente, a las personas e Instituciones que vienen destacando por su importante labor en esta materia. (más…)
Este blog ha sido premiado dentro de la categoría de Comunicación y Difusión de la Protección de Datos en el marco de la III Edición de los Premios de Protección de Datos convocados por la Agencia Vasca de Protección de Datos.
La devolución de la declaración de la renta a los profesionales liberales entrado ya el mes de diciembre marca el inicio de la Navidad, ¿verdad? Es una buena forma de dar el pistolerazo de salida a las celebraciones.
¿Y qué pasa cuando llega la Navidad? Que, como todos los años desde que surgió este blog, sus tres integrantes, Luís, Javier y Alfonso, a través de nuestra tradicional felicitación queremos agradeceros a todos vuestra amabilidad al leer las cosas que se nos van ocurriendo y que compartimos desde esta web.
Este año podríamos haber titulado nuestra peculiar postal navideña “la realidad supera la ficción”, porque nos hemos hecho eco en la misma de una historia real que, creemos, ilustra a la perfección lo complicado que resulta en la práctica diaria imbricar una normativa tan transversal como la eleopediana con el desarrollo normal de cualquier actividad. Los resultados, como en nuestra historia, a veces son un tanto surrealistas. (más…)
Constituye este artículo la segunda parte del anterior publicado en este blog sobre el artículo 15 RDLOPD, relativo a la solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma.
Recordemos la redacción del precepto:
Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.
En el post previo nos centramos en la redacción la leyenda (en positivo o negativo) que debe acompañar a la casilla a la que se refiere el precepto “se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato”.
Hoy quiero hablar sobre el establecimiento de ese procedimiento equivalente que permita al interesado manifestar su negativa al tratamiento de sus datos para otras finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. (más…)
El artículo 15 del RDLOPD establece que si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, nos dice el precepto, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.
Olvídese el lector por ahora de lo de “procedimiento equivalente”, que espero sea objeto de un post posterior (estamos en ello), y céntrese en el sistema que el legislador bendice: la existencia de una casilla, claramente visible y no pre marcada, en el documento en el que se plasmará el contrato.
El asunto que quiero tratar aquí es cómo redactar la leyenda que debe acompañar a la casilla en cuestión: ¿debe redactarse en sentido positivo (Sí quiero), o puedo hacerlo en sentido negativo (No quiero)? La cuestión no es ninguna tontería, por cuanto en el caso de que la redacción sea en sentido positivo solamente podré utilizar los datos de los interesados que hayan expresamente marcado la casilla autorizando ese uso. Por el contrario, si la redacción lo es en sentido negativo podré utilizar los datos de todos aquellos interesados que no hayan manifestado su negativa de forma expresa marcando la casilla. (más…)
Cuando ya parecía que dormitaba en un profundo sueño, la reciente sentencia de 15 de octubre de 2015 del Tribunal Supremo Sala de lo Civil, ha vuelto a poner en circulación al bautizado como “derecho al olvido”. Esta sentencia, de manera muy resumida, se pronuncia sobre la aplicación del citado “derecho” a las hemerotecas digitales de los periódicos, que deberán, en el caso de que se ejercite el mismo y proceda su estimación, adoptar las medidas necesarias para evitar la indexación de los buscadores. (más…)
