Agencia Española de Protección de Datos, base legal, Bases jurídicas, Consentimiento, Deber de información, Legitimación, LOPDGDD, RGPD, Sanciones

Boletín septiembre 2021. El tratamiento de datos de currículum

Recientemente las noticias se han hecho eco de una sanción de 2.000 euros a una empresa que recibió un curriculum por Whatsapp y no contestó al interesado informándole de sus derechos. El titular, por supuesto sensacionalista, ocultaba lo que es relevante conocer para entender el motivo de la sanción. En este caso, la empresa (el responsable del tratamiento) había publicado una oferta de empleo y como medio de envío del CV facilitó un número de Whatsapp. Una vez decidido esto, el responsable debía haber informado de los derechos de las personas solicitantes en la propia oferta o mediante respuesta a los mensajes recibidos. Dicho esto, debemos tener en cuenta que: Un responsable de tratamiento decide si va a guardar y archivar cv o no lo va a hacer, no existe esa obligación. Un responsable de tratamiento decide el medio por el que recibe los cv y puede redirigirnos a ese medio (por ejemplo, indicando que solo se reciben por email…

Read more

Armas de destrucción matemática, intimidad, Legitimación, LOPDGDD, RGPD

Primero vinieron…a por el certificado de vacunación

Sí, reconozco que acudir al famoso poema de Martin Niemöller [i] para comenzar un artículo sobre protección de datos -y privacidad y otras cosas- puede ser “demasiado” dramático, pero permítanme la licencia a la espera de que cuando lleguen al final se entienda mejor. Desde que, a comienzos del pasado año 2020, los gobiernos y naciones del mundo -especialmente los occidentales- comenzaron a adoptar medidas para controlar la expansión de la pandemia causada por el virus SARS CoV-2 o simplemente Covid-19, hemos asistido a un choque sin precedentes entre libertades y derechos fundamentales por un lado y medidas de control -legislativas o no, gubernamentales o corporativas- por otro. Baste simplemente pensar, por ejemplo, en la no precisamente pacífica cuestión sobre la elección de la figura del estado de alarma como medio idóneo para restringir el derecho de movilidad o de reunión en nuestro país y sobre la que se ha pronunciado el Tribunal Constitucional en la Sentencia 110/2021[ii] En mi…

Read more

Agencia Española de Protección de Datos, Compliance, Cumplimiento normativo, Encargado del tratamiento, Evaluación de impacto, Privacidad desde el diseño, Transferencia internacional de datos

Esas transferencias de las que usted me habla

Aprovechando la reciente publicación por parte de la Comisión Europea de las nuevas cláusulas tipo actualizadas para contratos de encargados del tratamiento y para las transferencias internacionales de datos (echa un vistazo aquí a la Decisión), derivadas de las acciones del señor Schrems ante los Tribunales de Justicia (sí, otra vez), vamos a tratar de las transferencias esas a las que nadie conoce. A estas alturas el tema de los encargados del tratamiento se va teniendo claro: son aquellos terceros que prestan un servicio que supone o puede suponer el acceso a tratamientos de datos. El caso típico es el de la asesoría laboral que hace las altas de los trabajadores, las nóminas… a partir de ahí a veces la cosa se complica e identificar cuándo estamos ante un encargo del tratamiento o una comunicación de datos (vulgarmente una cesión de datos) no es tan sencilla o requiere darle una vuelta a esto de la protección de datos. En el…

Read more

AEPD, Agencia Española de Protección de Datos, base legal, Bases jurídicas, Control horario, Legitimación, Principios LOPD, Privacidad desde el diseño, RGPD

Boletín mayo 2021. Tratamiento de datos biométricos

Los tratamientos de datos de categorías especiales, es decir, aquellos que a los que la normativa de protección de datos dedica más cuidado, son cada vez es más frecuentes. No solo son datos de categorías especiales los de salud o creencias; tratamientos de datos como la huella dactilar o el reconocimiento facial se encuentran en este supuesto. En el caso, por ejemplo, del reconocimiento facial usado para llevar un control horario, el tratamiento de datosdebería superar este juicio: Idoneidad: El método elegido para llevar a cabo el control debe ser el adecuado, no habiendo otra alternativa menos lesiva en la intimidad de las personas. Necesidad: Debe existir una necesidad real de llevarlo a cabo, por ejemplo, una norma legal que imponga ese deber. Proporcionalidad: Debe existir un equilibrio entre la intromisión realizada y el objetivo perseguido, tratando los datos indispensables para lograr la finalidad perseguida. Por tanto, en el caso concreto del control horario, si existe otro método para llevarlo…

Read more

Control horario, Desconexión digital, LOPD, LOPDGDD, Teletrabajo

Boletín especial teletrabajo y desconexión digital

Una de las desconocidas novedades de la Ley Orgánica 2/2018 es todo el Título X dedicado a los llamados derechos digitales. Estos derechos digitales no solo afectan a nuestro día a día como ciudadanos (derecho a la educación digital o acceso a internet) sino que especialmente afectan a las relaciones con trabajadores y empleados. Todas las empresas están obligadas a elaborar y aprobar planes de desconexión digital para sus empleados, algo que con el estado de emergencia en el que nos encontramos y el auge del teletrabajo se manifiesta más importante si cabe. A la hora de elaborar estos planes debe tenerse en cuenta: Derecho a la intimidad: Se debe garantizar el derecho a la intimidad del trabajador cuando usa dispositivos de la empresa. Control laboral: Solo se permite el acceso a los dispositivos de trabajo para el control de las obligaciones laborales por parte del empleador. Criterios de uso: La empresa debe establecer de acuerdo con los trabajadores los…

Read more

Sin categoría

Boletín enero 2021/ El uso de cámaras de videovigilancia con fines de seguridad

En los últimos años cada vez es más común que las organizaciones por diferentes motivos adopten e implanten sistemas de videovigilancia para gestionar la seguridad en sus instalaciones. Estos sistemas, además de estar informados mediante cartelería específica, deben tener en cuenta otros aspectos. Grabación de sonido: En el caso de que las cámaras de videovigilancia destinadas a seguridad graben o capten sonido además de imágenes, recordamos que es criterio de la Agencia Española de Protección de Datos considerarlo como un tratamiento de datos excesivo para la finalidad perseguida. Recuerde la importancia de revisar su sistema para que cumpla con las exigencias legales. Grabación de vías públicas: Solo se permite la grabación de vías públicas con carácter residual y siempre y cuando no sea posible la orientación de las cámaras de otro modo que permitan grabar el espacio pretendido. La grabación en vías públicas es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado. Grabación en espacios comunes o…

Read more

Comunidades de vecinos, LOPDGDD, RGPD

Entre pillos anda el juego (cuando no te enteras de lo que tienes contratado)

¿También es una de sus películas favoritas? Yo la he visto un montón de veces y recuerdo ir al cine con mis padres a verla.  Una de las muchas piezas que el bueno de John Landis nos dejó en su filmografía haciendo las delicias de grandes y pequeños. Pero el cine es cine y en la vida real toparte con pillos de tres al cuarto -como diría Gandalf- ya no hace tanta gracia.

Read more

Agencia Española de Protección de Datos, base legal, Consentimiento, Control térmico, Covid-19, Legitimación, Principios LOPD

Controles de temperatura. El diablo está en los detalles

En el contexto actual parece evidente que la existencia de controles para contener la pandemia causada por el Covid-19 son y serán algo habitual en nuestras vidas. El debate está claro. Privacidad vs Seguridad, sí, enésimo round -aún no ha sonado la campana-. Si a estas alturas aún cree que frente a la seguridad se debe renunciar a todo lo demás, véase privacidad, no siga leyendo; o sí, hágalo…tal vez cambie de opinión. Las alternativas que se plantean como todo o nada son un engaño. Siempre existe otra vía.

Read more

base legal, Bases jurídicas, Consentimiento, Deber de información, LOPD, LOPDGDD, RGPD

Doctor consentimiento, supongo. El tratamiento de datos médicos no precisa consentimiento

– Para poder tratarle tiene que firmarnos la autorización de protección de datos. Así, con esta frase, suele comenzar nuestra relación con un profesional sanitario. Firmando nuestro consentimiento para recibir el tratamiento médico que demandamos. Ahora que ha leído esto, reflexione. ¿No le parece raro que le pidan su consentimiento para poder prestarle un servicio que usted ha solicitado? ¿ha probado a decir que no consiente? Porque si algo tiene el consentimiento es que es libre y voluntario. Esto significa que no le pueden presionar (ni condicionar a que consienta lo que no quiere) y que, además, no es obligatorio. Pruebe a no dar su consentimiento. Seguramente le dirán que no pueden hacerle ese empaste o arreglarle esa contractura. Entonces usted dirá que sí que firma. ¿Ha sido usted libre? ¿Lo ha hecho voluntariamente?

Read more

ADM, Algoritmo, Armas de destrucción matemática, Bases jurídicas, intimidad, Legitimación, Principios LOPD, Sin categoría

Empathvacy: Empatía por la privacidad

Artículo publicado originalmente en Law&trends ¿Cómo es que a día de hoy todavía nos sigue costando cumplir con las normas de protección de datos? Cómo puede ser, a pesar de que hace ya más de 25 años que convivimos con ellas en nuestro ordenamiento jurídico y de que por su transversalidad prácticamente no haya ámbitos legales y sociales en los que no despliegue su efecto. Disponemos de regulación específica en materia de privacidad o protección de datos[1] desde la LORTAD de 1992[2]. Hemos conocido varios reglamentos como por ejemplo el 993/1999[3] que convivió incluso con la LOPD de 1999[4], o el RD 1720/2007[5] que la desarrolló casi ocho años después. Ahora, además, tenemos una norma europea[6] común para todos los países miembros, superando la legislación mediante meras directivas[7] y también una nueva LOPD[8]. Además, nuestro reglamento europeo (RGPD o GDPR), por el peso –comercial y político- específico de la UE en el mundo, afecta más allá de las fronteras locales…

Read more