AEPD: Guía sobre protección de datos y relaciones laborales

  • La guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo como de la patronal y organizaciones sindicales
  • El documento aborda cuestiones que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales, los sistemas internos de denuncias, el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control

La Agencia Española de Protección de Datos (AEPD) ha publicado hoy la guía ‘Protección de datos y relaciones laborales’ con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales.

La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control.

El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral. Aborda también el principio de minimización, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras. Además de los deberes de secreto y seguridad (que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos), el documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal.

En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.

En cuanto a los sistemas internos de denuncias o whistleblowing, la Agencia considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial. La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.

En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica.

La guía también incorpora una novedad relevante sobre el derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos.

Otro de los aspectos que aborda el documento es la difusión de las ayudas concedidas por acción social, especificando que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos con discapacidad) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado.

La guía ‘Protección de datos y relaciones laborales’ también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y determina que sus datos personales y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, recoge que deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora.

La Agencia también aborda en la guía la tecnología wearable. La AEPD indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, a menos que esté establecida por ley o reglamentariamente, dado que no se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales, supone el tratamiento de una categoría especial de datos (salud) sin una base jurídica, no cuenta con una finalidad legítima y vulnera el principio de proporcionalidad, dado que conlleva una monitorización permanente y permitiría al empleador acceder a datos de salud específicos, y no exclusivamente a la valoración sobre la aptitud para desempeñar el trabajo.

Fuente noticia: aepd.es
Fuente foto: freepik.es

AEPD: Guía para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto

La Agencia Española de Protección de Datos (AEPD) ha presentado hoy la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, un documento que incorpora la experiencia acumulada en la aplicación de la gestión del riesgo en el ámbito de la protección de datos desde la aplicación del Reglamento General de Protección de Datos (RGPD) y añade las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.

El documento, dirigido a personas responsables, encargadas de tratamientos y personas delegadas de protección de datos (DPD), ofrece una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en protección de datos, y facilita la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.

El RGPD establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos.

La guía presentada hoy es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo. Además, y para los casos de tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la EIPD y, en su caso, la consulta previa a la que se refiere el artículo 36 del RGPD, que establece que la persona responsable debe consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.

La Guía consta de tres apartados: el primero contiene una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades; el segundo incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo, y el último está enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.

EVALÚA_RIESGO RGPD

Además, la Agencia ha presentado EVALÚA_RIESGO RGPD, el prototipo de una nueva herramienta que ayuda a personas responsables y encargadas a identificar los factores de riesgo para los derechos y libertades de las personas interesadas presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.

Los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo, por lo que la persona responsable deberá identificar aquellos que sean específicos para el tratamiento e incluirlo en su evaluación. La valoración del nivel de riesgo para cada factor que efectúa la herramienta, así como el cálculo final de nivel de riesgo, tiene carácter general y supone una evaluación mínima que, en su caso, tendrá que ser ajustada por dicho responsable para determinar con precisión el nivel de riesgo del tratamiento.

Análisis, gestión de riesgos y EIPD

El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de las personas interesadas. Esta gestión debe permitir que la persona responsable tome las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de las personas interesadas.

Por su parte, el RGPD establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, la persona responsable debe realizar una evaluación del impacto, proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen.

La gestión del riesgo y la EIPD son procesos que se encuentran estrechamente vinculados, ya que la segunda es una especificidad dentro de la primera. Así, la EIPD no puede existir sin formar parte de la gestión de riesgos, por lo que mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones concretas que se establecen para la EIPD lo son exclusivamente para tratamientos de alto riesgo.

Acceso al vídeo de la presentación de la guía y de la herramienta

Fuente noticia: aepd.es
Fuente foto: freepik.es

Confidencialidad de las comunicaciones electrónicas: el Consejo acuerda su posición sobre las normas de privacidad electrónica

10/02/2021 13:37 | Comunicado de prensa |

Confidencialidad de las comunicaciones electrónicas: el Consejo acuerda su posición sobre las normas de privacidad electrónica

Hoy, los estados miembros acordaron un mandato de negociación para reglas revisadas sobre la protección de la privacidad y confidencialidad en el uso de servicios de comunicaciones electrónicas . Estas reglas actualizadas de ‘ ePrivacy ‘ definirán los casos en los que los proveedores de servicios pueden procesar datos de comunicaciones electrónicas o tener acceso a datos almacenados en los dispositivos de los usuarios finales. El acuerdo de hoy permite a la presidencia portuguesa iniciar conversaciones con el Parlamento Europeo sobre el texto final.

«Las reglas de privacidad sólidas son vitales para crear y mantener la confianza en un mundo digital. El camino hacia la posición del Consejo no ha sido fácil, pero ahora tenemos un mandato que logra un buen equilibrio entre la protección sólida de la vida privada de las personas y el fomento de la desarrollo de nuevas tecnologías e innovación. La Presidencia portuguesa se complace en iniciar conversaciones ahora con el Parlamento Europeo sobre esta propuesta clave «.
Pedro Nuno Santos, ministro portugués de Infraestructura y Vivienda, presidente del Consejo

Se necesita una actualización de la directiva de privacidad electrónica existente de 2002 para atender los nuevos desarrollos tecnológicos y de mercado, como el uso generalizado actual de voz sobre IP, servicios de correo electrónico y mensajería basados ​​en la web, y la aparición de nuevas técnicas para rastrear usuarios en línea. comportamiento.

El proyecto de reglamento de ePrivacy derogará la directiva de ePrivacy existente. Como lex specialis del reglamento general de protección de datos (GDPR), particularizará y complementará el GDPR. Por ejemplo, a diferencia del RGPD, muchas disposiciones de privacidad electrónica se aplicarán tanto a personas físicas como jurídicas.

Mandato del consejo

Según el mandato del Consejo, el reglamento cubrirá el contenido de las comunicaciones electrónicas transmitidas utilizando servicios y redes disponibles al público, y los metadatos relacionados con la comunicación. Los metadatos incluyen, por ejemplo, información sobre la ubicación y la hora y el destinatario de la comunicación. Se considera potencialmente tan sensible como el contenido.

Para garantizar la protección total de los derechos de privacidad y promover un Internet de las cosas confiable y seguro, las reglas también cubrirán los datos de máquina a máquina transmitidos a través de una red pública.

Las reglas se aplicarán cuando los usuarios finales se encuentren en la UE . Esto también cubre los casos en los que el procesamiento tiene lugar fuera de la UE o el proveedor de servicios está establecido o ubicado fuera de la UE.

Por regla general, los datos de las comunicaciones electrónicas serán confidenciales . Se prohibirá cualquier interferencia, incluida la escucha, el monitoreo y el procesamiento de datos por parte de cualquier persona que no sea el usuario final, excepto cuando lo permita la regulación de ePrivacy.

El procesamiento permitido de datos de comunicaciones electrónicas sin el consentimiento del usuario incluye, por ejemplo, garantizar la integridad de los servicios de comunicaciones, verificar la presencia de malware o virus, o casos en los que el proveedor de servicios está obligado por la legislación de la UE o de los estados miembros para la persecución de delitos o prevención de amenazas a la seguridad pública.

Los metadatos pueden procesarse, por ejemplo, para facturación o para detectar o detener el uso fraudulento. Con el consentimiento del usuario, los proveedores de servicios podrían, por ejemplo, utilizar metadatos para mostrar los movimientos del tráfico para ayudar a las autoridades públicas y los operadores de transporte a desarrollar nueva infraestructura donde más se necesita. Los metadatos también pueden procesarse para proteger los intereses vitales de los usuarios, incluso para monitorear epidemias y su propagación o en emergencias humanitarias, en particular desastres naturales y provocados por el hombre.

En ciertos casos, los proveedores de redes y servicios de comunicaciones electrónicas pueden procesar metadatos para un propósito diferente a aquel para el que fueron recopilados, incluso cuando esto no se base en el consentimiento del usuario o en ciertas disposiciones sobre medidas legislativas de la UE o de la legislación de un estado miembro. Este procesamiento para otro propósito debe ser compatible con el propósito inicial, y se le aplican fuertes salvaguardas específicas.

Dado que el equipo terminal del usuario, incluido el hardware y el software, puede almacenar información altamente personal, como fotos y listas de contactos, el uso de capacidades de procesamiento y almacenamiento y la recopilación de información del dispositivo solo se permitirá con el consentimiento del usuario o para otros objetivos transparentes específicos establecidos en el reglamento.

El usuario final debe tener la opción genuina de aceptar cookies o identificadores similares. Se permitirá que el acceso a un sitio web dependa del consentimiento para el uso de cookies para fines adicionales como alternativa a un muro de pago si el usuario puede elegir entre esa oferta y una oferta equivalente del mismo proveedor que no implique el consentimiento para las cookies. .

Para evitar la fatiga del consentimiento de las cookies , un usuario final podrá dar su consentimiento para el uso de ciertos tipos de cookies mediante la lista blanca de uno o varios proveedores en la configuración de su navegador. Se alentará a los proveedores de software a que faciliten a los usuarios la configuración y modificación de listas blancas en sus navegadores y que retiren el consentimiento en cualquier momento.

El texto también incluye reglas de identificación en línea, directorios públicos y marketing directo y no solicitado.

El reglamento entraría en vigor 20 días después de su publicación en el Diario Oficial de la UE y comenzaría a aplicarse dos años después.

Procedimiento

El mandato de hoy fue aprobado por los embajadores reunidos en el Comité de Representantes Permanentes del Consejo (Coreper).

La Comisión presentó su propuesta en enero de 2017.

El Consejo y el Parlamento Europeo negociarán los términos del texto final.

Se agregará un enlace al texto aprobado a este comunicado de prensa en nuestro sitio web.

Lee mas

La AEPD actualiza su Guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos

(Madrid, 28 de julio de 2020). La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD). La nueva versión de la Guía realizada por la Agencia ha contado, tal y como ocurrió con versiones anteriores, con la participación de los sectores afectados (las asociaciones ADIGITAL, Asociación Española de Anunciantes, AUTOCONTROL e IAB Spain).

El Comité Europeo de Protección de Datos ha revisado en mayo de 2020 las Directrices 05/2020 sobre consentimiento con el fin de aclarar su posición en relación con dos cuestiones: la validez de la opción “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios y la posibilidad de utilizar los conocidos como “muros de cookies”, es decir, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies.

En relación con el primero de estos puntos, el Comité considera que la opción de “seguir navegando” no constituye en ninguna circunstancia una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco.

Respecto a los “muros de cookies”, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies.

Por ello, la Guía explicita que no podrán utilizarse los denominados “muros de cookies» que no ofrezcan una alternativa al consentimiento. Este criterio resulta especialmente importante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar tal derecho.

Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del CEPD, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.

Estos nuevos criterios deberán implementarse, a más tardar, el 31 de octubre de este año, estableciéndose así un periodo transitorio de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento para el uso de cookies que se estén utilizando.