- Septiembre de 2017 -
Sentencia del Tribunal Europeo de Derechos Humanos sobre vigilancia de las comunicaciones del trabajador por parte de la empresa

Una empresa despidió a un trabajador "por infringir el reglamento interno de la empresa que prohibía el uso de sus recursos con fines personales". No obstante, de acuerdo con la sentencia de la Gran Sala, la empresa debería haber advertido de forma clara al trabajador de la posibilidad de que su correo fuese a ser monitorizado, suprimiendo así la razonable expectativa que el trabajador tenía sobre la privacidad de sus comunicaciones.

En este sentido, para considerar válido el aviso de la empresa, la empresa debe haber informado al trabajador, con carácter general, acerca del alcance potencial de una eventual supervisión.

Puede consultar la sentencia íntegra haciendo clic aquí.

Nuevo dictamen del GT29 sobre el tratamiento de datos en el trabajo: el interés legítimo

El Grupo de Trabajo del artículo 29 ha publicado su Dictamen 2/2017 titulado “tratamiento de datos en el ámbito laboral”. Este nuevo documento aborda el marco legal para la monitorización de las comunicaciones electrónicas y el tratamiento de datos personales de los trabajadores, prestando especial atención a la evaluación de la proporcionalidad y del interés legítimo de la empresa.

En particular, el dictamen analiza nueve situaciones en las que la empresa debe evaluar su legitimación para llevar a cabo este tipo de tratamientos:

  1. El proceso de contratación
  2. El proceso de evaluación (in-employment screening)
  3. La monitorización del uso de las TIC en el trabajo
  4. La monitorización del uso de las TIC fuera del trabajo
  5. Supervisión del horario laboral y la asistencia al trabajo
  6. La videovigilancia
  7. El uso de dispositivos de seguimiento en los vehículos de empresa
  8. La comunicación de los datos del trabajador a terceros
  9. La transferencia internacional de datos

Puede consultar el Dictamen íntegro en este enlace.

Novedades legislativas

En los últimos meses se han sucedido numerosos cambios normativos a nivel comunitario. Por ello, en Zabía Abogados hemos preparado un comentario que aborda las principales novedades que se han  producido a nivel comunitario en materia de protección de datos:

  • Reglamento 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
  • Directiva (UE) 2016/680, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales,
  • Directiva (UE) 2016/681 relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave,
  • Directiva 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión

Puede consultar aquí el comentario, por Carlos García, abogado de Zabía Abogados.

La AEPD impone una sanción de 1.200.000 euros a Facebook por infringir el artículo 6 de la LOPD

La Agencia ha resuelto que Facebook trata sin consentimiento y con fines de publicidad datos de sus usuarios, incluso aquellos catalogados como especialmente protegidos. Además, añade la Agencia, los datos no son cancelados totalmente cuando han dejado de ser útiles para el fin para el que se recogieron o cuando los interesados así lo solicitan.

Los datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación son recogidos directamente, mediante la interacción con sus servicios o desde páginas de terceros, sin informar claramente al usuario sobre el uso y finalidad que se les va a dar a los mismos.

La AEPD también ha confirmado que los usuarios no son informados de que se va a tratar su información mediante el uso de cookies -algunas de uso específicamente publicitario y alguna de uso declarado secreto por la compañía- cuando navegan por páginas que no son de Facebook y que contienen el botón ‘Me gusta’.

En definitiva, Facebook no obtiene un consentimiento inequívoco, específico e informado de los usuarios para tratar sus datos, ya que la información que ofrece no es adecuada.

Debemos mencionar los procedimientos que tienen actualmente abiertos las autoridades de control de Bélgica, Francia, Hamburgo y Países Bajos, por hechos similares de esta misma empresa

Puede consultar la resolución íntegra aquí.

Propuesta de Reglamento Europeo para la libre circulación de datos

La Comisión Europea ha presentado un proyecto de reglamento por el que se propone terminar con las restricciones y las barreras nacionales que obligan al almacenamiento o procesamiento de datos en los estados miembros (el llamado nacionalismo digital).

El vicepresidente de la CE para el área digital ha puesto de ejemplo el impacto que este Reglamento tendrá en las entidades financieras con filiales en varios países europeos, las cuales podrán centralizar su gestión, reduciendo sus gastos operativos mediante el uso de una nube común a toda la entidad.

Asimismo, el proyecto de Reglamento pretende facilitar el traslado de datos (comerciales, fiscales, financieros, etc.) de una nube a otra, para que las empresas puedan cambiar de proveedor del servicio de almacenamiento si lo desean.

En definitiva, los gobiernos de la UE no podrán obligar a empresas y organizaciones a almacenar y procesar datos en sus respectivos territorios nacionales. Además, estarán obligados a notificar a la Comisión cualquier restricción a la libre circulación de información.

Puede consultar la propuesta de Reglamento en este enlace.

El Gobierno del Reino Unido presenta el proyecto de ley de protección de datos

A la vista de la más que probable salida de la Unión Europea, el Reino Unido quiere asegurarse el mantenimiento de los flujos internacionales de datos de carácter personal que diariamente transitan de la Unión Europea a su territorio y viceversa.

Por ello, la aprobación de una ley en materia de protección de datos es vital para garantizar unos elevados estándares de seguridad similares a los del resto de los estados miembros.

Puede consultar la amplia declaración de intenciones haciendo clic aquí.

Herramienta “Facilita RGPD”

La AEPD ha presentado un cuestionario online de rápida cumplimentación dirigido a aquellas empresas y profesionales que deseen constatar si los tratamientos que datos que realizan pueden considerarse de bajo riesgo y obtener los documentos mínimos indispensables para facilitar el cumplimiento del RGPD.

Puede acceder al cuestionario online en este enlace.

Sentencia de la Audiencia Nacional: validez del consentimiento para que la empresa utilice la imagen de sus empleados

La reciente sentencia de la Audiencia Nacional estima la demanda de un sindicato contra una empresa que incluía en los contratos laborales una cláusula genérica por la cual el trabajador consentía expresamente la cesión de su imagen, tomada mediante cámara web o cualquier otro medio, siempre con el fin de desarrollar una actividad propia de telemarketing.

La Sala admite que la empresa está legitimada para recabar el consentimiento para la cesión de la imagen de aquellos trabajadores a los que destine a servicios de video-llamada.

No obstante, dado que el telemarketing es una función marginal dentro de la empresa (únicamente la desarrollan 15 trabajadores de un total de 6.000 que componen la plantilla), el consentimiento no debe exigirse de manera genérica a todos los empleados al iniciarse la relación laboral (de acuerdo con la jurisprudencia, el trabajador se encuentra en ese momento en una situación de debilidad), sino que deberá obtenerse del trabajador concreto en el momento de destinarle a ese tipo de servicios.

Puede consultar la sentencia íntegra en este enlace.

Esquema de los derechos del RGPD

La AEPD ha publicado en su blog un esquema básico sobre los derechos que los titulares de los datos podrán ejercer ante los responsables a partir del 25 de mayo de 2018 (derecho de acceso, derecho de rectificación, derecho de supresión, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos, derecho de oposición y derecho a no ser objeto de decisiones individualizadas).

Puede consultar la Guía en este enlace

Nuevo sistema de mediación voluntaria con las operadoras telefónicas

El sistema, presentado por AUTOCONTROL con la colaboración de la AEPD, estará operativo a partir de enero de 2018. El objetivo es ofrecer una respuesta ágil a las reclamaciones en materias como la suplantación de identidad y la recepción de publicidad no deseada. Por el momento, Telefónica Orange y Vodafone se han sumado a esta iniciativa de resolución extrajudicial de conflictos.

Es importante destacar que el sistema de mediación de AUTOCONTROL funcionará de forma independiente a las reclamaciones que los ciudadanos pueden seguir planteando ante la Agencia Española de Protección de Datos.

Puede consultar información adicional en este enlace.

Aprobados por la RIPD los “Estándares de Protección de Datos para los Estados Iberoamericanos”

La Red Iberoamericana de Protección de Datos, de la que España forma parte, ha aprobado estas directrices con vistas a que sirvan de referencia a futuras regulaciones y para la revisión de las existentes.

Especialmente relevantes resultan los epígrafes que hacen referencia a los principios en materia de protección de datos, los derechos del titular, el encargado del tratamiento, la transferencia internacionales y las medidas proactivas en el tratamiento de datos personales.

Puede consultar los estándares en este documento.

Circular 3/2017 de la Fiscalía sobre delitos de descubrimiento y revelación de secretos y los delitos de daños informáticos

La Fiscalía General del Estado ha publicado la Circular 3/2017 relativa a la reforma del Código Penal operada por la Ley 1/2015, de 30 de marzo.

El extenso documento aborda la modificación del artículo 197.4.b), por la que se agrava la sanción correspondiente al descubrimiento y revelación de secretos cuando se lleve a cabo mediante la utilización no autorizada de datos personales de la víctima.

A estos efectos, señala la Circular, por datos personales deben entenderse no sólo los datos de identidad oficial, en sentido estricto, sino cualesquiera otros, propios de una persona o utilizados por ella, que la identifiquen o hagan posible su identificación frente a terceros tanto en un entorno físico como virtual. Tienen tal consideración no solo el nombre y apellidos, sino también, entre otros, los números de identificación personal como el correspondiente al DNI, el de afiliación a la Seguridad Social o a cualquier institución u organismo público o privado, el número de teléfono asociado a un concreto titular, la dirección postal, el apartado de correos, la dirección de correo electrónico, la dirección IP, la contraseña/usuario de carácter personal, la matrícula del propio vehículo, las imágenes de una persona obtenidas por videovigilancia, los datos biométricos y datos de ADN, los seudónimos y en general cualquier dato identificativo que el afectado utilice habitualmente y por el que sea conocido.

Puede consultar la Circular íntegra haciendo clic aquí.

Premios Protección de Datos Personales 2017

La Agencia Española de Protección de Datos (AEPD) ha publicado las bases delos 'Premios Protección de Datos Personales 2017', que en esta edición contemplan una nueva categoría destinada a reconocer las 'Buenas prácticas en privacidad y protección de datos sobre iniciativas para adaptarse al Reglamento General de Protección de Datos'.

De esta manera, la AEPD premiará las buenas prácticas sobre iniciativas para adaptarse al RGPD puestas en marcha por empresas del sector privado, asociaciones y fundaciones.

Puede consultar las bases en este enlace.