Resumen:
Casi la totalidad de las acciones de su empresa implican el manejo de datos personales de empleados (contratos, nóminas…), colaboradores, clientes (pagos, servicios prestados..) o proveedores, que deben ser protegidos. Mediante la protección de datos se trata de garantizar la confidencialidad de los datos personales que maneja su empresa. Esta nota práctica recoge todas las obligaciones que debe cumplir su empresa, las medidas de prevención que puede implantar en su empresa de cara a ofrecer seguridad en el tratamiento de los datos, así como las sanciones en las que puede incurrir si incumple las normas de protección de datos.
En general, son protegibles los datos personales de las personas físicas -empleados de su empresa o empresarios autónomos con los que trabaje-, como por ejemplo: nombre y apellidos, DNI, nº de cuenta bancaria, datos fiscales, datos sobre salud, afiliación sindical…..
La normativa de protección de datos no se aplica a:
Aunque la protección de datos no se aplique a los datos de las empresas, si usted trata datos de las personas físicas que trabajan en ellas (por ejemplo, la de la persona de contacto) debe proteger debidamente esos datos. El tratamiento de estos datos es lícito si se refieren a los necesarios para su localización profesional y si el fin del mismo es mantener relaciones de cualquier tipo con la empresa.
Existen otros datos personales sensibles que merecen una especial protección:
Estos datos no pueden ser tratados, salvo que el interesado haya dado su consentimiento explícito; sean necesarios, por ejemplo, para proteger intereses vitales del interesado o de otra persona física, si no está capacitado, física o jurídicamente, para dar su consentimiento; por razones de interés público en el ámbito de la salud pública…; o se trate de datos personales que el interesado ha hecho manifiestamente públicos.
La empresa debe valorar su situación sobre el tratamiento de datos que lleva a cabo. La mayoría de las pymes manejan datos personales de escaso riesgo por lo que, normalmente, es suficiente con hacer una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
Para realizar este análisis, también, puede utilizar la herramienta Facilita RGPD, elaborada por la AEPD. Esta herramienta genera diversos documentos adaptados a su empresa: las cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento…
Con carácter previo al tratamiento de los datos, se exige la realización de evaluaciones de impacto en protección de datos en los casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas.
La finalidad de la misma es la de conocer el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
Si el resultado de la evaluación confirma que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas, debe proceder a realizar una consulta a la autoridad de control antes del tratamiento. La autoridad de control debe asesorar por escrito al responsable, en el plazo de 8 semanas desde la presentación de la consulta, que puede ser prorrogado 6 semanas más, en función de la complejidad del tratamiento.
Su empresa debe implantar las medidas técnicas y organizativas en su empresa, adecuadas al riesgo que implica el tratamiento:
1. Aplicar la política de seguridad de la información, adoptada e implementada por la empresa. Esta incluye los objetivos de esta para proteger, en particular, los datos personales que son objeto de tratamiento.
Esta política puede ser un único documento o, a su vez, basarse en diversos documentos que incluyan políticas específicas relativas, entre otros, a contraseñas, retención o conservación de los datos personales, copias de seguridad, etc.
2. Protección de datos desde el diseño y por defecto: es recomendable que desde el inicio de un nuevo proyecto adopte las medidas técnicas y organizativas a aplicar.
Por ejemplo, si desarrolla un programa informático o una aplicación en los que se vayan a tratar datos personales.
Estas medidas técnicas y organizativas deben garantizar que solo se traten los datos necesarios (respecto a la cantidad de datos a tratar, a la extensión del tratamiento, a los períodos de conservación y a la accesibilidad a los datos).
Por ejemplo, si en un nuevo producto o servicio existen varias configuraciones de privacidad, debe optar por defecto por las que ofrezcan mayores garantías de privacidad a los interesados.
3. Elección del encargado del tratamiento, que debe ofrecer garantías suficientes para la aplicación de medidas técnicas y organizativas apropiadas y formalización de contrato u otro acto jurídico vinculante.
4. En su caso, designación de delegado de protección de datos.
La empresa debe llevar un registro de actividades de tratamiento efectuadas bajo su responsabilidad. Asimismo, cada encargado o su representante llevarán un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable. Ambos registros deben constar por escrito, inclusive en formato electrónico, y debe mantenerlos permanentemente actualizados.
Esta obligación no se aplica a empresas con menos de 250 trabajadores, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya datos personales especialmente protegidos, o datos personales relativos a condenas e infracciones penales.
Por ejemplo, si su empresa trata datos de salud, afiliación sindical, origen racial o étnico, convicciones religiosas o filosóficas, datos genéticos, biométricos, vida sexual, o datos relativos a condenas o infracciones penales, está obligado a mantener este registro de actividades de tratamiento aunque tenga menos de 250 trabajadores
.El tratamiento de los datos consiste en cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
El tratamiento debe realizarse siguiendo unos principios básicos:
El tratamiento solo cabe con el consentimiento del interesado, que debe darse de libremente y de forma inequívoca. Puede darse mediante una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Por tanto, no cabe el consentimiento tácito.
El interesado puede retirar su consentimiento en cualquier momento.
No obstante, puede no necesitar consentimiento cuando el tratamiento de los datos sea necesario, por ejemplo, para ejecutar un contrato en el que el interesado es parte, proteger intereses vitales del interesado o de otra persona física; la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
En relación con la oferta directa a menores de edad de servicios de la sociedad de la información, el tratamiento de sus datos personales se considera lícito cuando tenga como mínimo 14 años. Si el niño es menor de 14 años, tal tratamiento únicamente se considera lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
Con el fin de cumplir con la protección de datos, su empresa debe contar con:
1. Un responsable del tratamiento que es quien toma las decisiones sobre el contenido, el uso y la finalidad del tratamiento de los datos. El tratamiento puede delegarse a personas, internas o externas, que serán los encargados de llevar a cabo la coordinación y ejecución de las medidas para garantizar la seguridad y confidencialidad de los datos.
2. Delegado de Protección de Datos (DPO). Aunque las pymes no están obligadas a nombrar un DPO, salvo que se trate de empresas dedicadas por ejemplo, a la seguridad privada o a la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivo, pueden implantarlo de forma voluntaria.
EL DPO debe ser persona, interna o externa, con conocimientos jurídicos y prácticos en materia de protección de datos, cuya finalidad es garantizar el cumplimiento de la normativa de la protección de datos en la empresa, sin sustituir las funciones que desarrollan las autoridades de control.
En este caso, el responsable o el encargado del tratamiento deben publicar los datos de contacto del DPD/DPO y comunicar el nombramiento a la autoridad de control. Para ello, la AEPD ha puesto en marcha un sistema de notificación electrónica (https://sedeagpd.gob.es/sede-electronica-web/vistas/formDelegadoProteccionDatos/procedimientoDelegadoProteccion.jsf).
Los responsables del tratamiento de los datos, una vez analizados los riegos, deben adoptar unas medidas de seguridad que impidan que los datos sufran alteraciones, se pierdan o accedan a ellos personas no autorizadas.
La actual LOPD no establece medidas de seguridad concretas, aunque la propia AEDP ha señalado que, en algunos casos, el esquema anterior puede seguir siendo de aplicación, si del análisis de riesgos se concluye que esas medidas son suficientes para asegurar un nivel de seguridad adecuado.
Es el nivel mínimo de protección exigido. Las principales medidas a adoptar son las siguientes:
Se consideran de nivel básico el tratamiento de datos de nivel medio o alto que su empresa tiene de forma accidental o accesoria, pero sin guardar relación con su finalidad. Por ejemplo, en el caso de un hotel que dispone de los datos de alergias alimentarias de un cliente. Este es un dato de nivel alto por referirse a la salud, pero está en el fichero de forma incidental, pues la finalidad de dicho fichero es el hospedaje.
Las medidas de protección de nivel medio deben adoptarse para el tratamiento de datos que permitan definir las características o la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
Además de las medidas de nivel básico, deben adoptarse estas otras medidas de seguridad:
Es el nivel de protección necesario para los ficheros que contienen datos especialmente protegidos, esto es, datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, etc.
Estos ficheros deben contar con las medidas de seguridad de nivel básico y medio, y además, con las siguientes:
Una forma de seudonimizar datos consiste en sustituir el nombre y apellidos de una persona por un código. Por ejemplo: si usted envía información a un tercero en la que, en lugar del nombre y apellidos de una persona o cualquier otra información que la pueda identificar, consta simplemente un código, habrá disociado los datos y por tanto no estará cediendo datos de carácter personal a efectos de la normativa de protección de datos.
La cesión consiste en la obtención por terceros de datos para aplicarlos a las finalidades propias de la empresa a la que son cedidos.
Usted puede ceder datos de carácter personal a un tercero pero deben cumplirse los siguientes requisitos:
Si usted decide vender o alquilar su base de datos de clientes a un tercero (por ejemplo para que este tercero envíe publicidad de sus propios productos o servicios), habrá una auténtica cesión de datos, en la que su empresa será el cedente y el tercero el cesionario. En este caso, usted debe cumplir los requisitos legales de la cesión de datos
.Es importante distinguir la cesión de datos con el acceso a los datos por un tercero para la prestación de un servicio.
La realización de una prestación de servicios con acceso a datos (por ejemplo, la gestión de nóminas) requiere la formalización por escrito de un contrato de encargo de tratamiento que establezca expresamente las obligaciones del encargado del tratamiento, pero la responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad.
Si el contrato de prestación de servicios no implica tratamiento de datos (por ejemplo, servicio de limpieza, mantenimiento….), es conveniente evitar el riesgo de que los empleados puedan acceder a los datos, por ello, debe firmar un documento en el que conste la prohibición de acceso a datos personales y la obligación de secreto en caso de que llegaran a acceder.
Como regla general, el encargado del tratamiento no puede subcontratar con un tercero la realización de ningún tratamiento de datos que le haya sido encargado, salvo que obtenga la autorización del responsable del tratamiento. Esta autorización puede ser general (autorizando la subcontratación pero sin concretar la entidad a la que se puede subcontratar) o específica (identificando a la entidad concreta).
Si la autorización es de carácter general, el encargado informará al responsable de la incorporación de un subencargado –o su sustitución por otros subencargados–, dando así al responsable la oportunidad de oponerse a dichos cambios (es recomendable que en el contrato entre el responsable y el encargado se fije la forma y el plazo en que el responsable deberá manifestar esta oposición).
El cualquier caso, el subencargado del tratamiento debe estar sujeto a las mismas condiciones que el encargado del tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En caso de incumplimiento, la responsabilidad ante el responsable del tratamiento recae en el encargado inicial.
La transferencia de datos personales a un tercer país u organización internacional puede realizarse, sin autorización de la autoridad de control, siempre que esté basada en una decisión de adecuación de la Comisión o se ofrezcan garantías adecuadas.
Como excepción, en ausencia de decisión de adecuación o garantías adecuadas, incluidas las normas corporativas vinculantes, la transferencia podrá realizarse si se cumple alguna de las siguientes condiciones:
Las transferencias que no cuenten con decisión de adecuación aprobada por la Comisión o que no encuentran dentro de las excepciones mencionadas requieren autorización previa de la AEPD o, en su caso, autoridades autonómicas de protección de datos, que puede otorgarse en los siguientes supuestos:
El procedimiento tiene una duración máxima de 6 meses. La autorización queda sometida a la emisión de un dictamen por el Comité Europeo de Protección de Datos que debe ser notificado a la AEPD o, por conducto de la misma, a la autoridad de control competente, en su caso.
La AEPD y las autoridades autonómicas pueden adoptar cláusulas contractuales tipo para realización de transferencias internacionales de datos, y aprobar normas corporativas vinculantes.
El responsable del tratamiento debe tomar todas las medidas necesarias para facilitar al interesado toda la información relativa al tratamiento (identidad del responsable, fines del mismo e información añadida).
La información debe ser fácilmente accesible y fácil de entender y debe tener, como mínimo, el siguiente contenido:
Si los datos no han sido obtenidos del afectado, la información básica incluye, también, las categorías de datos objeto del tratamiento y las fuentes de las que procedieron los datos.
Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento.
El interesado tiene derecho de acceso a los datos personales que les conciernen y a la siguiente información:
Usted es el titular de una clínica dental y un paciente se pone en contacto con usted para acceder a sus datos personales y comprobar qué datos personales está tratando sobre él. Usted debe facilitarle una copia de los datos, incluyendo la historia clínica (sin las anotaciones subjetivas del facultativo).
El interesado tiene derecho a obtener, sin dilación indebida, la rectificación de los datos personales inexactos o a completar los datos incompletos, que le conciernan.
La solicitud debe contener los datos personales que hay que rectificar y la rectificación a realizar, y cuando sea preciso, debe acompañarse de la documentación justificativa de la inexactitud o del carácter incompleto de los datos personales tratados.
La solicitud obliga al bloqueo de los datos.
Por ejemplo, si un proveedor le solicita rectificar su nº de cuenta bancaria porque es incorrecta o está incompleto y así lo justifica, usted debe proceder a rectificarlo.
El interesado tiene derecho a obtener, sin dilación indebida del responsable del tratamiento, la supresión de los datos personales que le conciernan, cuando concurra alguna de las circunstancias siguientes:
La solicitud de supresión obliga al bloqueo de los datos, conservándolos sólo a disposición de las administraciones públicas, jueces y tribunales durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación jurídica o de la ejecución de un contrato. Finalizado dicho plazo, deben destruirse los datos o procederse a su disociación (de forma que no puedan asociarse a una persona identificada o identificable).
Por ejemplo, si ha firmado un contrato de alquiler con un inquilino, y una vez finalizado este le solicita que cancele sus datos, puede conceder lo solicitado procediendo al bloqueo de los datos. De esta manera, ya no utilizará estos datos, pero los conservará por si, por ejemplo, el inquilino presenta una demanda contra usted por alguna cuestión relacionada con el contrato
El «derecho al olvido» conlleva la limitación de difusión universal de datos personales por cualquier medio de difusión, como por ejemplo, los buscadores de Internet (Google, Bing, Yahoo...).
Los interesados pueden solicitar a los responsables de motores de búsqueda, bajo ciertas condiciones, que los enlaces a sus datos personales no aparezcan en los resultados de una búsqueda realizada por su nombre y apellido. También pueden solicitar la supresión de fotos y vídeos que se hayan publicado en la página web de su empresa.
Existen excepciones al ejercicio de este derecho, por ejemplo, cuando el tratamiento sea necesario para ejercer el derecho a la libertad de expresión e información, se realice por razones de interés público en el ámbito de la salud pública o para la formulación, el ejercicio o la defensa de reclamaciones.
El derecho de limitación de tratamiento consiste en obtener del responsable del tratamiento restricciones en el uso de los mismos, en los siguientes supuestos:
El interesado ha ejercido los derechos de rectificación u oposición, y su empresa está en proceso de determinar si procede atender a la solicitud. Pues bien, mientras tanto el interesado puede solicitar –en base a este derecho a la limitación del tratamiento– que no se traten sus datos para las finalidades para las que se recabaron.
El derecho de portabilidad de datos del interesado consiste en la posibilidad de recuperar sus datos, en un formato estructurado, de uso común y lectura mecánica y transmitirlos a otro responsable cuando sea técnicamente posible.
El interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento.
El interesado tiene derecho a oponerse en todo momento a que sus datos sean tratados, por ejemplo, con fines de marketing.
La empresa tiene la obligación de informar sobre los medios para ejercitar los derechos.
El interesado o su representante pueden presentar una solicitud dirigida al responsable del tratamiento, que debe responder en el plazo de 1 mes, salvo que por la complejidad o el número de solicitudes no sea posible, se puede prorrogar por 2 meses más. El ejercicio de los derechos es gratuito.
Si transcurrido el plazo de 1 mes no se ha atendido la solicitud, el interesado puede presentar reclamación ante la AEPD.
1. Si la selección de personal la realiza a través de anuncios, en estos debe incluirse información sobre:
2.Gestión del CV:
5. Evaluaciones otest psicológicos. Solo puede realizarlos cuando sea legítimo y necesario con relación a la categoría de la actividad ejercida en la empresa. Deben realizarse por profesionales especialistas y han de ser tratados de forma similar a los datos médicos.
6. No puede solicitar a los candidatos un certificado de antecedentes penales.
7. Usted puede pedir referencias a otras empresas siempre y cuando el interesado esté informado.
En general, la empresa está legitimada para efectuar el tratamiento de datos personales de sus empleados, no siendo necesario el consentimiento cuando los datos de carácter personal sean necesarios para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
Por ejemplo, no es necesario recabar el consentimiento del trabajador, sin perjuicio de ser informado, cuando guarda relación con el desempeño de su actividad laboral para: la inclusión de nombre y apellidos en las tarjetas identificativas que deben llevar visibles; el acceso a datos por un asesor externo para la gestión de las nóminas; la implantación de sistemas de control horario; el control del correo electrónico, proporcionado por la empresa, para la realización de su actividad; las escuchas telefónicas realizadas en el sector de telemarketing y que se desarrollan de forma totalmente aleatoria sobre todos los trabajadores por igual, como medio de detectar el óptimo cumplimiento de sus servicios profesionales; o la colocación de sistenas GPS en los vehículos de la empresa.
Si se requiere el consentimiento, por ejemplo, para: la publicación de las fotografías en la página web para fines que exceden el estricto marco de la relación contractual, como ocurre en el caso de que la finalidad sea la de promocionar la empresa; o la difusión de imágenes de los trabajadores por razones ajenas al cumplimiento del contrato, como, por ejemplo, la difusión en Internet con la finalidad de reflejar el movimiento y la actividad de la empresa.
Sus trabajadores tienen derecho a la intimidad en el uso de dispositivos digitales facilitados por su empresa. Debe establecer unos criterios de uso que respeten los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. Estos criterios deben comunicarse a los trabajadores.
El acceso a estos datos por parte del empleador solo puede realizarse con el objeto de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos. Si se admite el uso privado de los dispositivos móviles, el acceso requiere que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos pueden utilizarse para fines privados.
La utilización de los medios telemáticos y el control del teletrabajo debe garantizar adecuadamente el derecho a la intimidad y a la protección de datos, de acuerdo con los principios de idoneidad, necesidad y proporcionalidad de los medios utilizados.
1. Información previa. Los empleadores pueden tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. Los empleadores han de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.
2. En el supuesto de que se haya captado la comisión flagrantede un acto ilícito por los trabajadores se entiende cumplido el deber de informar cuando existiese al menos el dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos. En el dispositivo informativo, puede incluirse un código de conexión o dirección de internet a esta información.
3. No se admite la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos.
4. La utilización de sistemas similares para la grabación de sonidos en el lugar de trabajo se admite únicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas en los apartados anteriores.
5. La supresión de las imágenes o los sonidos debe hacerse en el plazo máximo de un mes desde su captación, salvo que deban conservarse para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En este caso, los sonidos deben ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.
Su empresa puede tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores dentro del marco legal y con los límites inherentes al mismo y siempre que, con carácter previo, hayan informado de forma expresa, clara e inequívoca a los trabajadores y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos y del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
La cancelación de los datos debe producirse cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
Se recomienda que el período de retención de los datos de localización sea razonable, es decir, que no supere los 2 meses;
Si usted desee llevar a cabo el tratamiento de tratos de localización por un período superior a los 2 meses (por ejemplo, para elaborar un registro histórico de los viajes con el fin de optimizar los recursos), es recomendable que previamente se hagan anónimos los datos.
El establecimiento de canales de denuncias o quejas de empleados o terceros “líneas de whistleblowing” entraña en sí mismo un tratamiento de datos.
Un sistema típico es la implantación de buzones de denuncia.
La empresa debe informar y formar a todos los empleados y, en su caso, a los representantes de los trabajadores, y a los terceros que contraten con ella, sobre:
La empresa tiene la obligación de cancelar todos los datos de sus ex-empleados, que hayan dejado de ser necesarios para el fin para el que fueron recogidos. Pero usted puede conservar datos de su ex empleado con el objeto, por ejemplo, de:
Al finalizar la relación laboral, es recomendable eliminar a ese usuario de las cuentas corporativas, cambiar contraseñas…..
El tratamiento de los perfiles de los empleados en redes sociales, por norma general, no debe realizarse. No obstante, en el caso de antiguos empleados, pueden tratarse datos provenientes de redes sociales de empleo siempre que el empleador pueda demostrar que esta vigilancia es necesaria para proteger sus intereses legítimos, que los antiguos empleados han sido debidamente informados y que se ha utilizado el medio menos invasivo.
Por ejemplo, puede ser lícito el tratamiento de datos de ex-empleados de la red social Linkedin si, por ejemplo, un empleador monitoriza su perfil durante el período de duración de una cláusula de no competencia.
La videovigilancia es uno de los ámbitos en los que la privacidad de las personas se ve más amenazada. Por ello, es necesario que su uso sea proporcional al fin perseguido y respete el derecho a la intimidad. La finalidad del tratamiento de imágenes obtenidas mediante sistemas de cámaras o videocámaras es preservar la seguridad de las personas y bienes, así como de sus instalaciones o el control de accesos a aparcamientos y garajes.
Por ejemplo, no es posible su colocación en zonas privadas (vestuarios, aseos…). Deben colocarse en zonas donde razonablemente puedan cumplir con su finalidad (por ejemplo, en el acceso a sus instalaciones).
Cuando el fin de la videovigilancia sea prevenir infracciones, evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados, los servicios de videovigilancia deben ser prestados necesariamente por empresas de seguridad privada.
La LOPD no se aplica al tratamiento por una persona física de imágenes captadas en el ejercicio de actividades exclusivamente personales o domésticas. Esta exclusión no se aplica al tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.
La instalación de estos sistemas de videovigilancia debe ser informada mediante la colocación de un dispositivo informativo en lugar suficientemente visible y, como mínimo, en los accesos a las zonas vigiladas, ya sean interiores o exteriores. Debe identificar, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos de los interesados.
El tratamiento de los datos captados por estos sistemas no tiene especialidades en relación con el ejercicio de los derechos de los interesados, aunque no es posible, por ejemplo, el ejercicio del derecho de rectificación, ya que al tratarse de imágenes tomadas de la realidad, resulta imposible.
Los datos deben ser suprimidos en el plazo máximo de un mes desde su captación, salvo cuando se deban conservar para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deben ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación.
1. Si en el ejercicio de su actividad utiliza una página web con la que capta datos personales debe insertar un aviso legal para cumplir con el deber de información y consentimiento, que los usuarios deben aceptar expresamente.
Por ejemplo, puede hacer que los usuarios marquen una casilla al pie del formulario, justo en donde se inserte un enlace que diga ‘Acepto la Política de Privacidad’ (o similar) y que reenvíe a la información requerida por el RGPD.
2. Su empresa debe informar de la utilización de cookies –archivos de información almacenados en el navegador del usuario- y obtener su consentimiento para utilizar o instalarlas. La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender sus finalidades y el uso que se les dará.
Usted no debe cumplir esa obligación si su web solo utiliza cookies técnicas, que sirven para que la web se cargue correctamente, o cookies necesarias para prestar un servicio solicitado por el usuario (como, por ejemplo, el carrito de la compra virtual).
1. La dirección de correo electrónico tiene la consideración de dato personal, ya que es posible identificar perfectamente a una persona física, teniendo en cuenta que la dirección de correo aparecerá vinculada a un dominio concreto y solo será preciso consultar al servidor en que se gestione dicho servicio.
Si su empresa envía publicidad a través del correo electrónico, los destinatarios deben haber consentido previamente el envío. Por tanto, debe asegurarse de que en todos los formularios de su empresa donde se recogen datos de posibles clientes se mencione que estos le autorizan expresamente a enviarles publicidad.
El propio e-mail debe informar al destinatario de la posibilidad de revocar el consentimiento otorgado inicialmente para el envío de la publicidad, e incluir una dirección electrónica a la que dirigirse para solicitar dicha revocación.
Los envíos de comunicaciones por otros medios electrónicos -SMS o MMS, fax y a través de llamadas telefónicas sin intervención humana- también precisan del previo consentimiento del destinatario.
2. La dirección IP se considera dato personal. La información relativa al historial de accesos a Internet asociada a una persona identificada o identificable, que permite la evaluación de la misma y repercute en sus derechos e intereses.
3. Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtengan tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
Si su empresa almacena datos personales de terceros en los servidores del proveedor de cloud, debe tomar precauciones, pues no todos los proveedores de alojamiento cumplen con los requisitos sobre protección de datos. Lea atentamente condiciones del servicio que va a contratar, ya que usted es el responsable del tratamiento no el proveedor que es un encargado del mismo.
Si el servidor está ubicado en España, asegúrese de que el contrato que usted acepta incluye las siguientes obligaciones a cargo del proveedor de servicios cloud:
En relación con los servicios de redes sociales y servicios equivalentes, toda persona tiene:
1. Derecho al olvido. Toda persona tiene derecho a que sus datos personales facilitados para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes sean suprimidos:
2. Derecho de portabilidad. Los usuarios de redes sociales tienen derecho a recibir y transmitir los contenidos que hayan facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea técnicamente posible. Los prestadores pueden conservar, sin difundirla a través de Internet, copia de los contenidos cuando sea necesario para el cumplimiento de una obligación legal.
La ciberseguridad es también una cuestión esencial en relación con la protección de datos personales. Al respecto, el Instituto Nacional de Ciberseguridad (INCIBE) ofrece contenidos y herramientas dirigidas a las pymes (accesibles a través de https://www.incibe.es) que pueden ser utilizados para el desarrollo de políticas, procedimientos y protocolos para el cumplimiento, así como para concienciar a todas las personas de la empresa o vinculadas con la misma con la finalidad de evitar riesgos que afecten o puedan afectar a la confidencialidad, integridad y disponibilidad de los datos personales.
Las infracciones en materia de protección de datos pueden ser:
Las infracciones en materia de protección de datos se sancionan con multas administrativas de:
Para fijar la cuantía de la sanción (dentro de los márgenes establecidos para cada una de las infracciones) se tienen en cuenta una serie de criterios de graduación (por ejemplo, el volumen de negocio o actividad del infractor, el grado de intencionalidad, el que haya reincidencia o no, los perjuicios causados a las personas interesadas y a terceras personas…).
La sanción económica puede ser sustituida por un apercibimiento, para que el infractor adopte las medidas correctoras que se le indiquen. Por ejemplo, si usted instala cámaras de videovigilancia captando imágenes desproporcionadas de la vía pública, la AEPD puede requerirle para que retire dichas cámaras o las reoriente de manera que dejen de captar imágenes de la vía pública. Si no lo hace, la AEPD ordenará la apertura de un procedimiento sancionador por dicho incumplimiento, pudiendo sancionarle por infracción muy grave.
Las infracciones prescriben en los siguientes plazos:
Las sanciones prescriben:
Quien sufra daños y perjuicios materiales o inmateriales como consecuencia de una infracción de la normativa de protección de datos, tiene derecho a interponer la acción judicial correspondiente para recibir, del responsable o el encargado del tratamiento, una indemnización por los daños y perjuicios sufridos.
Este contenido es una pequeña parte de información sobre esta temática. Si quieres acceder al resto, debes registrarte aquí.