- Abril de 2020 -
La Agencia Española de Protección de Datos publica sus recomendaciones para garantizar la protección de los datos personales en situaciones de movilidad y teletrabajo

Debido a la crisis sanitaria generada por el COVID-19, muchas compañías han tenido que implementar, sin poder llevar a cabo una planificación previa, soluciones con carácter provisional, como el teletrabajo. Es por ello que la autoridad de control española ha elaborado y publicado un documento en el que recoge una serie de recomendaciones dirigidas tanto a los responsables del tratamiento como al personal que participa en estas operaciones.

En relación con los responsables del tratamiento, estos deberán, entre otras actuaciones, establecer una política específica que incluya las necesidades o los riesgos que se pueden derivar del acceso a los recursos corporativos desde lugares que no están bajo el control de la Compañía (recogiendo qué formas de acceso remoto se permiten), formar a los trabajadores en este sentido, elegir aplicaciones que garanticen la seguridad de los datos personales y de la información con la que se trabaja, restringir el acceso a los recursos y a la información a empleados de determinado nivel o revisar periódicamente los servidores de acceso, así como los equipos, para comprobar que se encuentran correctamente actualizados y configurados de modo que garanticen el cumplimiento de las políticas de protección de datos.

Respecto a los empleados, afirma la autoridad de control que estas recomendaciones deben ser incluidas en la política de teletrabajo de la Compañía, siendo ajustadas a las tareas concretas de cada trabajador. Así, entre otras recomendaciones, los empleados deberán respetar las políticas de protección de datos elaboradas por los responsables, proteger los dispositivos utilizados para acceder en remoto (creando contraseñas seguras, no descargando aplicaciones que no hayan sido autorizadas previamente o teniendo un sistema antivirus operativo) o almacenar la información generada en las nubes proporcionadas por la organización y no de forma local en el dispositivo.

Puede acceder al documento íntegro publicado por la autoridad de control aquí.

De igual forma, la CNIL francesa ha emitido una serie de recomendaciones relativas al uso de herramientas de videoconferencia con ocasión del incremento del teletrabajo por los motivos expuestos. De este modo, la autoridad de control francesa afirma que estas aplicaciones, muchas de ellas gratuitas, deben garantizar la protección de los datos personales de los usuarios

Así, la Commission Nationale de l'Informatique et des Libertés recomienda que los usuarios no se descarguen estas aplicaciones de fuentes desconocidas, que se aseguren de que su red wifi tiene una contraseña segura y de que su antivirus está operativo. Del mismo modo, la autoridad de control francesa aconseja que se proporcionen pocos datos personales, utilizando, si es posible, pseudónimos, que se lean las políticas de protección de datos y que se eliminen o desinstalen cuando no vayan a volver a ser utilizadas, entre otras.

Puede acceder a la publicación de la autoridad de control francesa aquí.

Información que debe facilitarse a los representantes de los trabajadores para la tramitación de un Expediente de Regulación Temporal de Empleo

La situación actual en la que nos encontramos como consecuencia de la publicación del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 y sus prórrogas, ha provocado que un número muy elevado de compañías se haya visto en la obligación de proceder a suspender los contratos de trabajo de sus empleados mediante la tramitación de diversos Expedientes de Regulación Temporal de Empleo.

Este procedimiento viene regulado en el artículo 47 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (“suspensión del contrato o reducción de jornada por causas económicas, técnicas, organizativas o de producción o derivadas de fuerza mayor”), iniciándose mediante comunicación a la autoridad laboral competente y mediante la apertura simultánea de un periodo de consultas con los representantes legales de los trabajadores. Esta consulta, como establece el referido artículo, deberá llevarse a cabo en una única comisión negociadora

Con ocasión de la apertura del periodo de consultas con los representantes legales, la Compañía deberá aportar determinada documentación e información relativa a los trabajadores, en virtud del artículo 64 E.T., con la finalidad de proceder a la tramitación del ERTE. Debe hacerse constar que resulta importante analizar qué documentación debe facilitarse por parte de la Compañía, puesto que la Agencia Española de Protección de Datos ha impuesto alguna sanción en aquellos supuestos en los que la información aportada a los representantes de los trabajadores no era necesaria para la negociación del ERTE y, por tanto, excesiva.

Este es el supuesto de una Compañía que entregó a los representantes de los trabajadores dos memorias USB que contenían datos de carácter personal de trabajadores afectados por el ERTE, así como de trabajadores no afectados. Entre estos datos personales se había incluido la dirección postal personal, el número de cuenta bancaria, los datos salariales, el número de teléfono o la fecha de nacimiento, datos que no eran necesarios (y por tanto excesivos) puesto que no era un ERTE por causas económicas. Habida cuenta de ello, la AEPD impuso una sanción por infracción del artículo 4.1 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal tipificada como grave.

Así, la documentación que se deberá facilitar a los representantes legales dependerá, entre otras cuestiones, de si el ERTE se tramita por causas de fuerza mayor o por causas económicas, técnicas, organizativas, etc. como se deriva del procedimiento sancionador antedicho, puesto que en el referido caso, se consideró que la información ofrecida era excesiva por haber aportado datos que no eran necesarios para tramitar un ERTE que no obedecía a causas económicas. No obstante, se debe hacer constar que, si bien no se puede afirmar con carácter general qué datos deben facilitarse a los representantes legales, será válida la información relativa al nombre y apellido de los empleados afectados exclusivamente (no se deben facilitar datos personales de aquellos empleados a los que no les afecte el ERTE), DNI, tipo de contrato (fecha de inicio), categoría profesional y fecha de efecto, fecha de finalización y tipo de ERTE.

Es por ello que deberá analizarse caso por caso qué datos son adecuados y qué datos pueden ser excesivos, debiendo ser muy cuidadoso con esta cuestión por los motivos expuestos, a pesar de que los representantes de los trabajadores tengan la obligación de mantener la confidencialidad de los datos facilitados.

El Ministerio de Transportes, Movilidad y Agenda Urbana ha publicado el análisis de la movilidad en España durante el estado de alarma realizado con tecnología Big Data

Con ocasión del estado de alarma declarado como consecuencia de la emergencia sanitaria generada por el COVID-19, ha sido publicado por el Ministerio de Transportes, Movilidad y Agenda Urbana el estudio de análisis de movilidad a través de técnicas de Big Data, así como el informe metodológico en el que se expone la descripción de los datos utilizados, la metodología empleada y el alcance del trabajo realizado.

Este estudio, que será actualizado diariamente, tiene como principal objetivo analizar la movilidad de los ciudadanos españoles a nivel nacional, comunitario, provincial y municipal, de modo que se obtenga determinada información relativa a sus desplazamientos (nótese que exclusivamente se utilizan aquellos viajes de más de 500 metros con origen y destino dentro de España) que permita proceder a estudiar y analizar la eficiencia de las medidas de confinamiento adoptadas y que sirva como herramienta para la posterior toma de decisiones en relación con el levantamiento, progresivo, de estas medidas.

Este análisis se ha llevado a cabo comparando los datos de movilidad diarios durante el estado de alarma con los datos de movilidad de la semana del 14 al 20 de febrero de 2020, previa a la crisis y sin ningún día festivo en ninguna comunidad autónoma. La información se ha obtenido mediante el cruce de registros anonimizados procedentes de las redes de telefonía móvil, de manera agregada, con otras fuentes de datos, cumpliendo, en todo momento, con lo dispuesto en la normativa vigente de protección de datos personales.

Puede acceder a los resultados del estudio aquí (resumen de movilidad nacional), aquí (resumen de movilidad por Comunidad Autónoma), aquí (resumen de movilidad provincial) y aquí (resumen de movilidad municipal) y al informe metodológico en el que se explica el procedimiento de obtención de los resultados analizados publicado por el Ministerio aquí.

Recomendación publicada por la Comisión Europea sobre las medidas necesarias para desarrollar un enfoque común y coordinado para el uso de aplicaciones y datos móviles como respuesta a la crisis sanitaria

La Comisión Europea ha elaborado una serie de recomendaciones a fin de hacer constar la existencia de diversos instrumentos que permitirían constituir un enfoque común para el desarrollo de aplicaciones y el uso de datos móviles anonimizados con el objetivo de solucionar la situación de emergencia sanitaria actual en la Unión Europea, puesto que las herramientas digitales, siempre que se coordine su uso y desarrollo entre los distintos estados miembros, pueden ser muy eficaces.

Es por ello que estas directrices hacen referencia, en primer lugar, a aquellas recomendaciones que deben seguirse para lograr un uso coordinado de las apps de rastreo sin que este sea contrario a la normativa vigente de protección de datos. Se recoge, entre otras cuestiones, que se deben desarrollar medidas destinadas a prevenir la proliferación de apps incompatibles con dicha normativa, mecanismos de gestión aplicables por las autoridades públicas sanitarias o instrumentos de identificación de buenas prácticas y de intercambio de información sobre el funcionamiento de las apps o de datos con los organismos epidemiológicos públicos pertinentes.

Estas aplicaciones deben garantizar el respeto a los derechos fundamentales, respetar el principio de minimización de datos personales (evitando, en la medida de lo posible, el tratamiento de datos de localización), aplicar las medidas de seguridad adecuadas que permitan garantizar la confidencialidad de los datos o cumplir con los requisitos de transparencia exigidos. Todo ello con el objetivo de lograr incrementar la confianza de los usuarios que las utilicen.

Asimismo, respecto a la necesidad de establecer un enfoque común y coordinado para predecir y frenar la propagación del virus mediante el uso de datos de localización móvil agregados y anonimizados, el objetivo de estas recomendaciones es analizar patrones de desplazamiento (a fin de estudiar el efecto de las medidas de confinamiento y, por tanto, los riesgos de contagio), que permitirá desarrollar claves para aplicar, con posterioridad, las estrategias de levantamiento de estas medidas. Así, en virtud de lo declarado por la Comisión Europea, los datos serán totalmente anonimizados, conservándose exclusivamente durante el periodo que dure la emergencia sanitaria, suprimiéndose tras un período de 90 días o cuando se declare que la pandemia está bajo control, sin que se cedan a terceros. Habida cuenta de ello se deberán aplicar medidas que permitan prevenir la desanonimización de los mismos y evitar la reidentificación de personas.

Puede acceder a las recomendaciones aquí.

La Comisión Europea emite directrices para garantizar la aplicación de las normas de protección de datos personales en las aplicaciones desarrolladas para luchar contra la pandemia

La Comisión Europea ha publicado una serie de orientaciones (con base en la Recomendación publicada con anterioridad) que permiten garantizar la protección de los datos de carácter personal durante el desarrollo de nuevas aplicaciones móviles que se está llevando a cabo en la actualidad con el objeto de contribuir a la lucha contra el coronavirus, puesto que estas pueden tratar datos de salud de los ciudadanos.

Estas nuevas aplicaciones pueden tener un impacto elevado en las posteriores estrategias a adoptar para “levantar las medidas de confinamiento, viniendo a complementar otras medidas, como el aumento del número de pruebas”, por cuanto, como afirma el Comisario de Justicia de la CE, pueden servir “de canal de comunicación seguro entre médicos y pacientes, alertando a los usuarios que corren el riesgo de contraer el virus”. Es por ello que resulta necesario recoger una serie de directrices que permitan garantizar la protección de los datos personales de los usuarios durante su desarrollo y su utilización, puesto que la confianza de los ciudadanos en estas apps permitirá un uso más elevado de las mismas.

Si bien la normativa de la Unión Europea de protección de datos personales (como el Reglamento General de Protección de Datos, entre otros) establece diversas garantías que amparan el uso de este tipo de aplicaciones sin vulnerar los derechos fundamentales de los usuarios, estas directrices, que no son vinculantes, tienen como finalidad principal “ofrecer el marco necesario para garantizar que los ciudadanos cuenten con la suficiente protección de sus datos personales y vean limitado el grado de injerencia cuando usen estas aplicaciones”.

Así, estas orientaciones recomiendan, entre otras cuestiones, que las aplicaciones estén desarrolladas de modo que las autoridades sanitarias nacionales sean responsables del tratamiento (puesto que ello contribuirá también a reforzar la confianza de los ciudadanos, debiendo participar de manera activa, revisando los desarrollos de las apps o su aplicación), que los ciudadanos tengan el control total de sus datos personales (siendo la instalación de la aplicación voluntaria, desactivándose cuando finalice la pandemia o proporcionando toda la información que la normativa exige a los usuarios), que las apps cumplen el principio de minimización de los datos de carácter personal, que estos están protegidos conforme a la normativa vigente, almacenándose en el dispositivo terminal del usuario de forma cifrada mediante técnicas criptográficas avanzadas o que se garantice su exactitud.

Puede acceder a las directrices íntegras publicadas por la Comisión Europea con el fin de conocer todas las recomendaciones emitidas por este Organismo aquí.

La Agencia Española de Protección de Datos informa de que, a pesar de la situación de emergencia sanitaria, se debe informar de las brechas de seguridad

Informa la autoridad de control española que la situación actual, así como las medidas de seguridad que se han implementado con motivo de la misma, ha obligado a las empresas a tener que reorganizar su estructura de trabajo, adoptando en muchos casos el teletrabajo, lo que ha incrementado el riesgo de recibir ciberataques. Es por ello que, precisamente en estos momentos en los que la probabilidad de sufrir una quiebra de seguridad de los datos personales se ha incrementado, las compañías deben implementar medidas de seguridad adecuadas y notificar las posibles brechas de seguridad a la autoridad de control.

Como afirma la AEPD, la suspensión de plazos administrativos recogida en el Real Decreto 463/2020 “no afecta a la obligación de notificar las quiebras de seguridad que afecten a datos personales, por lo que los responsables están obligados a notificarlas ante la Agencia”.

Es por ello que los responsables y encargados de tratamiento deben cumplir con sus obligaciones, de modo que en aquellos supuestos en los que sufran una brecha de seguridad de los datos personales que constituya un riesgo para los derechos y libertades de las personas físicas, deberán notificar la misma ante la autoridad de control en el plazo de 72 horas y al interesado lo antes posible. Todo ello con independencia de la situación de emergencia sanitaria en la que nos encontramos.

El European Data Protection Board ha publicado una guía sobre el uso de los datos de geolocalización y las herramientas de rastreo de contactos en el contexto de la pandemia generada por el COVID-19

La guía publicada por el Organismo europeo tiene como finalidad estipular y aclarar cuáles son las condiciones y principios que deben tenerse en consideración para poder tratar los datos de geolocalización y usar las herramientas de rastreo de contacto durante la emergencia sanitaria de un modo proporcionado y conforme a la normativa de protección de datos, así como establecer la base legitimadora del referido tratamiento.

La guía elaborada por el EDPB afirma que tanto el RGPD como la Directiva sobre la privacidad y las comunicaciones electrónicas contienen directrices específicas que permiten el tratamiento de datos personales o anónimos con el fin de apoyar a las autoridades públicas o a otros organismos nacionales o de la Unión Europea en sus esfuerzos para monitorizar y contener la difusión del COVID-19.

Asimismo, en el informe se declara que se deben aplicar los principios generales de licitud, transparencia, necesidad y proporcionalidad en el momento de adoptar, por los estados miembros o por los Organismos de la UE, aquellas medidas que sean necesarias para frenar la expansión del virus y que impliquen el tratamiento de datos de carácter personal, como es el caso analizado.

Respecto a los datos de geolocalización, la finalidad de su tratamiento es dar apoyo a otras medidas adoptadas por los diversos Organismos para frenar la pandemia, analizando y modelando la propagación del virus con el fin de evaluar la efectividad de las medidas de confinamiento implementadas. El EDPB declara que deben tratarse datos anonimizados siempre que sea posible. Es por ello que, debido a la complejidad de los procedimientos de anonimización, se debe garantizar el cumplimiento del principio de transparencia en relación con la metodología de anonimización.

Del mismo modo, las herramientas de rastreo de contacto tienen como objetivo informar a aquellos usuarios que han podido estar cerca de personas que están contagiadas, para tratar de levantar las medidas de confinamiento lo antes posible. Así, los datos personales únicamente podrán ser tratados con la finalidad de lograr solucionar la emergencia sanitaria actual, sin que puedan ser tratados en ningún otro supuesto. De igual forma, el EDPB declara que el uso de este tipo de apps de rastreo debe ser voluntario y no debe basarse en el rastreo de movimientos individuales, sino en información de proximidad de los usuarios.

Además, el EDPB ha incluido, como anexo a este informe, un documento cuyo objetivo es proporcionar una guía dedicada a los desarrolladores de estas aplicaciones, afirmando que, no obstante, la misma contiene recomendaciones no exhaustivas, por lo que cualquier evaluación se deberá realizar en función del caso concreto.

Puede acceder a la guía elaborada por el EDPB aquí.

La AEPD publica un informe sobre la protección del menor en internet en el que se recogen diversas recomendaciones orientadas a evitar el acceso de estos a contenido inapropiado, preservando su privacidad

La Agencia Española de Protección de Datos ha elaborado una nota técnica que incluye recomendaciones dirigidas a los menores con el objeto de promover un uso seguro de internet tratando de evitar que accedan a contenido inapropiado en la red (como puede ser contenido sexual o violento, con lenguaje inapropiado, etc.) que podría producirles daños psicológicos o emocionales. Ello es así por cuanto se debe tener en consideración que en la situación actual, los menores dedican más tiempo a navegar por internet sin supervisión adulta.

Es por ello que la autoridad de control ha emitido este informe, dirigido a los padres (por cuanto declara que una medida fundamental para proteger a los menores es educarles e informarles sobre los riesgos existentes), así como a entidades, desarrolladores y editores de contenido, que recoge diversas recomendaciones que pueden impedir o limitar el acceso de los menores a contenido inadecuado, a pesar de que los medios de control propuestos pueden llegar a ser superados por los menores (en relación con esta cuestión, la autoridad de control española dedica un apartado de su nota informativa a los “principales métodos para eludir el control parental”).

Entre estas recomendaciones, la AEPD promueve el uso de buscadores seguros o de aplicaciones que estén dirigidas específicamente a los niños, soluciones de control parental (como las ofrecidas por los propios fabricantes del sistema operativo, por aplicaciones o por los operadores de telefonía) o de verificación de identidad o edad. De igual forma, la autoridad de control recoge una serie de recomendaciones dirigidas a los proveedores de servicio y desarrolladores, entre las que destaca la aplicación del principio de minimización de los datos, el desarrollo de garantías en los servicios en la nube o la aplicación de medidas de seguridad adecuadas.

En definitiva, la AEPD “ofrece una lista de consejos para poder evitar los daños que puede producir el acceso a contenido inapropiado por parte del menor, pero al mismo tiempo con el máximo respeto a su privacidad e intimidad”.

Puede acceder a la nota técnica publicada por la autoridad de control española aquí. Asimismo, esta nota técnica está acompañada por una infografía que recoge las citadas recomendaciones, a la que puede acceder aquí.

El EDPB ha publicado su guía sobre el tratamiento de datos personales de salud con fines de investigación científica en el contexto de la pandemia generada por el COVID-19

Esta guía tiene como principal finalidad aclarar aquellas cuestiones jurídicas relativas al tratamiento de datos de salud con finalidades de investigación científica, como la base jurídica que legitima su tratamiento, la adopción de medidas de seguridad adecuadas o el ejercicio por parte de los afectados de sus derechos.

El informe declara que el Reglamento General de Protección de Datos recoge diversas directrices, que también resultan de aplicación en el contexto actual de emergencia sanitaria generada por el COVID-19, que permiten el tratamiento de datos de salud con la antedicha finalidad y salvaguardando los derechos fundamentales de privacidad y protección de datos.

Así, la guía recoge, entre otras cuestiones, aquellas relativas al consentimiento de los afectados como base legitimadora del tratamiento, a la aplicación de las respectivas legislaciones nacionales o a la necesidad de que se respeten los principios recogidos en el artículo 5 del RGPD durante el tratamiento de los datos para la finalidad mencionada (principio de transparencia, información o minimización de datos).

Además, el informe aborda aquellas cuestiones legales relativas a las trasferencias internacionales de datos de salud con fines científicos relativos a la lucha contra la pandemia generada por el COVID-19, en ausencia de otras medidas de seguridad, puesto que nos encontramos en una situación en la que la cooperación internacional puede resultar necesaria.

Puede acceder a la guía publicada por el European Data Protection Board aquí.

El ICO británico emite un informe sobre la iniciativa conjunta de Apple y Google relativa a la tecnología de rastreo de contactos para el COVID-19

La autoridad de control británica ha publicado un informe en el que recoge su opinión sobre la iniciativa propuesta de manera conjunta por Apple y Google relativa a la tecnología de rastreo de contactos que tiene como principal finalidad ayudar a los gobiernos y autoridades de salud pública a controlar y reducir la propagación del COVID-19 mediante la tecnología Bluetooth.

Las técnicas de rastreo tratan de determinar si una persona ha estado en contacto con otro individuo contagiado durante el periodo de tiempo en el que este era contagioso. Así, esta tecnología puede ser utilizada, junto con otras medidas, para enviar comunicaciones a aquellas personas que pueden estar en riesgo de infección para asegurarse de que son conscientes de dicho riesgo, están correctamente informadas y adoptan las medidas necesarias para garantizar su protección.

La propuesta remitida por Google y Apple no consiste en la creación de una nueva aplicación, sino en la posibilidad de desarrollar un sistema que permita, a través de aplicaciones oficiales de rastreo de contactos elaboradas por las autoridades sanitarias, el intercambio de información entre dispositivos Android e Ios a través de tecnología Bluetooth.

El ICO británico afirma, entre otras cuestiones relativas a la tecnología analizada, que debe cumplir con el principio de minimización de los datos, no compartiendo información relativa al nombre de usuario, ni geolocalizando los dispositivos o que se debe establecer claramente la finalidad para la que se va a tratar los datos personales. Asimismo, la autoridad de control británica declara que, en virtud de la documentación analizada y facilitada por las compañías, esta tecnología permitiría garantizar la aplicación de medidas de seguridad adecuadas (como técnicas criptográficas que permitan reducir el riesgo relativo a la protección de los datos personales).

No obstante, debido a que existen algunas cuestiones que, a día de hoy, no están claras y deben desarrollarse, la autoridad de control británica analizará y estudiará la evolución de esta tecnología.

Puede acceder al informe publicado por el ICO aquí.

La autoridad de control holandesa de protección de datos ha elaborado un estudio sobre el tratamiento de datos personales realizado por las aplicaciones de videollamada

La autoridad de control holandesa, la Autoriteit Persoonsgegevens, ha publicado un interesante estudio, así como una infografía, en el que analiza y compara los tratamientos de datos de carácter personal realizados por distintas aplicaciones de videollamadas (qué datos personales son recabados, para qué finalidad, etc.), como ZOOM, Google Hangouts, Microsoft Teams o Skype, cuyo uso se ha incrementado como consecuencia de las medidas de seguridad adoptadas durante la crisis sanitaria actual.

Así, este estudio recoge una serie de recomendaciones sobre qué aplicación debe ser utilizada por los interesados en función del objetivo que tenga la referida videollamada y de las características de la misma (si la conexión se realizará sólo para dos personas, si es una conexión con fines laborales, etc).

Puede acceder a las recomendaciones emitidas por la autoridad de control aquí y a la infografía elaborada aquí.