Íñigo MartínezÍñigo Martínez15 febrero, 2019
proteccion-datos-2-201902-1280x853.jpg

6min1198
Teniendo en cuenta el derecho de protección de la intimidad de los trabajadores los empleadores deberán establecer los criterios de utilización de los dispositivos digitales.

La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales establece una serie de derechos digitales en el ámbito laboral en las siguientes áreas:

  • Intimidad y uso de dispositivos digitales.
  • Desconexión digital.
  • Intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
  • Derecho a la intimidad ante la utilización de sistemas de geolocalización.

El empleador podrá acceder a los contenidos derivados del uso de medios digitales. Que faciliten a los trabajadores con el solo fin de verificar el cumplimiento de sus obligaciones laborales

Con respecto a la intimidad y uso de los dispositivos digitales, establece que el empleador podrá acceder a los contenidos derivados del uso de medios digitales que faciliten a los trabajadores con el solo fin de verificar el cumplimiento de sus obligaciones laborales o estatutarias. Y garantizar la integridad de dichos dispositivos.
Teniendo en cuenta el derecho de protección de la intimidad de los trabajadores los empleadores deberán establecer los criterios de utilización de los dispositivos digitales.

Derecho a la desconexión digital.

Si se autoriza la utilización de los medios digitales para uso privado se deberá establecer específicamente los usos autorizados, se deberán establecer medidas para preservar la intimidad de los trabajadores y se establecerá los periodos en que se los dispositivos podrán utilizarse para fines privados.

Será requisito imprescindible que los trabajadores sean informados de los criterios de autorización de los medios digitales para fines privados.

La norma reconoce expresamente el derecho a la desconexión digital de tal forma que se respete el tiempo de descanso, permisos y vacaciones de los trabajadores, así como, de su intimidad personal y familiar.

Trabajando con equipos portatiles.

Este derecho tiene como finalidad hacer efectivo el derecho a la conciliación de la actividad laboral y la vida personal. También la propia salud de los trabajadores. De tal forma que se evite el riesgo de fatiga informática.

Políticas Internas.

El empleador deberá elaborar una política interna dirigida a todos los trabajadores de la organización. Incluso los que ocupen los puestos directivos.

Esta política deberá contemplar dos aspectos fundamentales: las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y sensibilización del personal sobre el uso de las herramientas informáticas, para ello se tendrá especialmente en cuenta a los trabajadores que ejecuten su trabajo fuera del centro de trabajo del empleador o el trabajo se desempeñe en su propio domicilio.

 

Mujer con smartphone

 

Con respecto a la utilización de dispositivos de videovigilancia y/o de grabación de sonidos en el centro de trabajo, la norma establece su legitimidad, si bien, establece expresamente que los empleadores deberán informar con carácter previo y de forma expresa, clara y concisa a los trabajadores de su existencia.

Geolocalización.

La ubicación de estos dispositivos podrá hacerse dentro del centro de trabajo. Pero no se podrán instalar en los lugares de destinado al descanso o esparcimiento de los trabajadores. Es decir en lugares como vestuarios, aseos, comedores, zonas de descanso, etc…

La norma da carta de naturaleza a la utilización de datos de geolocalización de los trabajadores con el objetivo de control.

Para poder utilizar estos datos el empleador deberá informar de forma expresa, clara e inequívoca a los trabajadores sobre la existencia y la características de estos dispositivos. También deberá informarles sobre acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

Derechos mínimos.

Las disposiciones recogidas en esta materia por la nueva ley se consideran como derechos mínimos. Ya que la propia norma establece que en los convenios colectivos se podrán establecer garantías adicionales. En la práctica deja la puerta abierta para que en la negociación colectiva se puedan tratar los derechos digitales en el ámbito laboral. Entonces se establecen mayores garantías o procedimientos de utilización determinado. Ya sean en el ámbito de la empresa o en el ámbito sectorial.

Importante novedad legislativa que regula expresamente los derechos digitales de los trabajadores . Esto permitirá a las empresas regularizar situaciones y establecer una mayor claridad en el marco de las relaciones laborales.


Canal Compliance3 octubre, 2018
technology-3253749_640.jpg

8min1322
Los delitos que no revistan particular gravedad pueden justificar el acceso a los datos personales almacenados por proveedores de servicios de comunicaciones electrónicas. Cuando dicho acceso no suponga una injerencia grave en la vida privada.

Tribunal de Justicia de la Unión Europea. Fue en el marco de la investigación de un robo con violencia de una cartera y un teléfono móvil. La Policía Judicial española solicitó al Juzgado de Instrucción encargado del caso que le concediera acceso a los datos. Eran datos personales o de filiación de los usuarios de los números de teléfono activados desde el teléfono sustraído.

El juez instructor denegó la diligencia solicitada. En particular porque consideraba que los hechos que habían dado lugar a la investigación penal no constituían delito «grave». Es decir, con arreglo al derecho español. Los delitos sancionados con una pena de prisión superior a cinco años es el único tipo que permite justificar el acceso a los datos personales o de filiación.

 

Acceso a los datos privados

 

Ministerio Fiscal

El Ministerio Fiscal interpuso recurso de apelación contra dicha decisión ante la Audiencia Provincial de Tarragona.

La Directiva sobre la privacidad y las comunicaciones electrónicas establece que los estados miembros pueden limitar los derechos de los ciudadanos. Esto es cuando tal limitación constituya una medida necesaria, proporcionada y apropiada en una sociedad democrática. Será para proteger la seguridad nacional, la defensa y la seguridad pública, o garantizar la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas.

La Audiencia Provincial de Tarragona expone que, con posterioridad a la adopción de la decisión del juez instructor, el legislador español introdujo dos criterios alternativos para determinar el nivel de gravedad de un delito respecto del cual se autoriza la conservación y la cesión de los datos personales.

El primero es un criterio material. Vinculado a delitos específicos y graves. Especialmente lesivos para los intereses jurídicos individuales y colectivos. El segundo es un criterio normativo-formal que establece un umbral mínimo de tres años de prisión. Umbral que abarca la gran mayoría de los delitos.

 

Un hombre mira su teléfono

 

Tribunal español

Además, el tribunal español observa que el interés del Estado en castigar las conductas infractoras no puede justificar injerencias desproporcionadas en los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea. Por tanto, la Audiencia Provincial de Tarragona pregunta al Tribunal de Justicia acerca de la fijación del umbral de gravedad de los delitos. Esto es para conocer a partir del cual puede justificarse una injerencia en los derechos fundamentales, como el mencionado.

Mediante su sentencia el TJUE recuerda que el acceso en el marco de un procedimiento de instrucción penal está incluido en el ámbito de aplicación de la Directiva. Además, el acceso a los datos que permiten identificar a los titulares de las tarjetas SIM activadas con un teléfono móvil sustraído, como los nombres, los apellidos y, en su caso, las direcciones de dichos titulares, constituye una injerencia en los derechos fundamentales de éstos, consagrados en la Carta. No obstante, el Tribunal de Justicia declara que esta injerencia no presenta una gravedad tal que, en el ámbito de la prevención, investigación, descubrimiento y persecución de delitos, dicho acceso debe limitarse a la lucha contra la delincuencia grave.

TJUE

El Tribunal de Justicia señala que el acceso de las autoridades públicas a datos almacenados por los proveedores de servicios de comunicaciones electrónicas constituye una injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de datos.

La Directiva europea enumera objetivos que pueden justificar una norma nacional que regule el acceso de las autoridades públicas a estos datos. Y establezca de ese modo una excepción al principio de confidencialidad de las comunicaciones electrónicas.

 

Simbología datos personales electrónicos

 

 

Esta enumeración tiene carácter exhaustivo. Por lo que dicho acceso ha de responder efectiva y estrictamente a uno de esos objetivos. El Tribunal de Justicia observa a este respecto que el tenor de la Directiva no limita el objetivo de la prevención, investigación, descubrimiento y persecución de delitos a la lucha contra los delitos graves, sino que se refiere a los «delitos» en general.

En su sentencia el Tribunal de Justicia declaró que únicamente la lucha contra la criminalidad grave puede justificar el acceso de las autoridades públicas a datos almacenados por los proveedores de servicios de comunicaciones electrónicas.

No obstante, esa interpretación estaba motivada por el hecho de que el objetivo perseguido por una norma que regula ese acceso debe guardar relación con la gravedad de la injerencia en los derechos fundamentales en cuestión que suponga dicha operación.

En cambio, cuando la injerencia no es grave, dicho acceso puede estar justificado por el objetivo de prevenir, investigar, descubrir y perseguir «delitos» en general.

El TJUE considera que el acceso a los datos no puede calificarse de injerencia «grave» en los derechos de los individuos. Dichos datos no permiten extraer conclusiones precisas sobre su vida privada. El Tribunal de Justicia deduce de ello que la injerencia que supone el acceso a esos datos puede estar justificada. Esto es por el objetivo de prevenir, investigar, descubrir y perseguir «delitos» en general. Sin que sea necesario que dichos delitos sean calificados de «graves».


Canal Compliance30 julio, 2018
regulation-3246979_1280-1280x600.jpg

8min884

Un Real Decreto-ley de urgencia cubre el vacío legal que provocaba el retraso en la promulgación de una nueva ley orgánica de protección de datos.

La norma aprobada da cobertura a actuales y futuros procedimientos de infracción de los que dependen la privacidad de millones de europeos

El Consejo de Ministros aprobó el pasado viernes, a propuesta de la ministra de Justicia, Dolores Delgado, un Real Decreto- ley con medidas urgentes. Se trata de adaptar el Derecho español al Reglamento General de Protección de Datos (RGPD). Norma de la Unión Europea, que al entrar en vigor el pasado 25 de mayo impuso importantes modificaciones en la legislación interna. Cambios que fueron incorporados a un proyecto de ley orgánica que todavía no ha superado su tramitación parlamentaria.

Llave RGOPD
Vacío Legal.

 

La entrada en vigor del RGPD provocó, por tanto, un vacío legal que dificulta su aplicación en España. Esto podría dejar desprotegido el derecho fundamental de los ciudadanos a su privacidad. Por eso era imprescindible y urgente la adopción de una norma con rango de ley. Esto permitirá la adaptación del derecho español al reglamento europeo en algunas cuestiones cuya regulación no está reservada a ley orgánica.

El Real Decreto-ley aprobado este viernes realiza dicha adaptación y tendrá vigencia sólo hasta el momento en el que las Cortes aprueben el proyecto de ley cuya tramitación parlamentaria sigue pendiente.

 

Provisionalidad.

 

El Real Decreto-ley regula aspectos relacionados con la inspección, el régimen sancionador y el procedimiento de instrucción. Relevantes para la garantía efectiva del derecho a la protección de los datos personales. Dado que aportan la seguridad jurídica necesaria sin cuya existencia el modelo europeo de supervisión queda debilitado y, con él, las opciones de los ciudadanos de hacer valer su privacidad.

En este sentido, el Real Decreto-ley fija cuál es el personal competente para realizar las labores de investigación previstas en el RGPD y regula el modo en que podrán desarrollar su actividad de inspección. Asimismo, determina el régimen aplicable al personal de las autoridades de supervisión de otros Estados miembros de la Unión Europea que participen en actuaciones conjuntas de investigación.

 

Régimen sancionador

 

El reglamento europeo establece un régimen sancionador aplicable en España. Pero no regula cuestiones tan esenciales como los plazos de prescripción o las sanciones, al considerar que deben fijarse en el ordenamiento interno de los Estados. Esos dos factores son básicos para garantizar la seguridad jurídica de los procedimientos abiertos. También para proteger de manera efectiva los derechos de los ciudadanos.

De no acometer cuanto antes su regulación, sería muy complicado aplicar el régimen sancionador. Esto debilitaría el sistema de protección de datos y generaría el riesgo de que la Comisión Europea estudiase emprender acciones contra España por incumplimiento de su reglamento general.

El RDL asume el novedoso régimen sancionador del RGPD. Reemplaza los tipos infractores previstos en la vigente Ley Orgánica 15/1999. Y ratifica el régimen actual en cuanto a la duración de los procedimientos sancionadores. Éste será de 6 meses. Aunque podrán incluir actuaciones previas de investigación durante un plazo máximo de doce meses.

 

Prescripción.

 

En cuanto a la prescripción de las sanciones, el Real Decreto-ley opta por mantener los mismos tiempos que actualmente establece la Ley Orgánica de Protección de Datos. Por lo que fija un plazo de un año para las inferiores a 40.000 euros. Dos años para las comprendidas entre 40.000 y 300.000 euros y tres años para las superiores a dicha cuantía.

Por otra parte, el reglamento crea un procedimiento de cooperación entre los países de la Unión Europea. Lo hace en los supuestos de tratamientos denominados transfronterizos, con la participación de todas las autoridades implicadas. No regula el modo en que el derecho interno de los Estados será afectado como consecuencia de los trámites.

 

Simbología protección de datos

 

Procedimientos transfronterizos

 

La aplicación del RGPD exige recabar el criterio de las autoridades de protección de datos de otros Estados.

Según los datos de la Agencia Española de Protección de Datos, en las dos primeras semanas de aplicación del RGPD se abrieron 17 procedimientos transnacionales. Estaban referidos, sobre todo, al ejercicio del “derecho al olvido”. También el tratamiento de datos o la política de privacidad y los términos de servicio de grandes entidades tecnológicas. Dichos expedientes tienen un potencial impacto en millones de ciudadanos europeos. Las autoridades de protección de datos de la UE estiman que el número de estos procedimientos podría situarse entre 13.000 a 16.000 al año.

 

Era por tanto necesario incorporar a la normativa española las especificidades de estos procedimientos transfronterizos. Y prever aspectos como su suspensión o la interrupción de los plazos de prescripción. Mientras las autoridades correspondientes revisan dichos procedimientos.


Canal Compliance11 abril, 2018
durmiendo-facebook201804-1280x945.jpg

4min771

Zuckerberg, El CEO de Facebook reconoce los fallos en la adopción de medidas que debieron garantizar la seguridad de los datos de cerca de 90 millones de personas que se filtraron y fueron utilizados políticamente.

El fundador y administrador de Facebbok, una red social que ha creado protagonistas desde la nada, que ha generado y promovidos miles de empleos, dado visibilidad a invisibles y generado movimientos como el reciente “Me Too” reconoció sus errores ante el senado americano. una práctica poco habitual en nuestros días.
Zuckerberg se refiere al error de no haber hecho seguimiento a la filtración de millones de datos de sus usuarios. Ahora la Red Social, implementa medidas de seguridad adicionales y, al más puro estilo whistleblower, pone en marcha un remunerado canal de denuncias. Éste premiará de forma cuantiosa las denuncias de aplicaciones que tomen datos de usuarios y “jueguen” posteriormente con ellas.

CANALES DE DENUNCIA

Debemos recordar que los canales de denuncias son uno de los pilares para la eficacia de los sistemas Compliance. Y que, al contrario de lo que sucede en en USA, donde los whistleblower son premiados o remunerados, los “chivatos” en estos lares , son vilipendiados -de hecho son reconocidos así, como chivatos, en vez de denunciantes-. No sabemos qué sucederá con el futuro de la la Red. Pero si al menos sabemos que el caso, habrá servido para la adopción de medidas que vienen proponiendo los sistemas compliance. Facebook premiará cuantiosamente a los denunciantes más eficaces.

TERCEROS

El caso es que fue la consultora política, Cambridge Analytica, la que hizo uso de estos datos tras obtenerlos de la red social. Que facebook solicitó a esta empresa que mercadeó con ellos, que dejara de hacerlo. Zuckerberg incluso creyó que así lo habían hecho.

Zuckerber, CEO de Facebook, toma un vaso de agua

Así fue desvelado por el CEO de Facebook ante las preguntas de los 44 senadores ante los que compareció.

“Si Facebook y otras compañías de Internet no podrán arreglar las invasiones a la privacidad, entonces lo haremos nosotros en el Congreso”, aseveró el senador de Florida, Bill Nelson. Afirmación que no de deja de resultar inquietante ante las medidas que pudieran adoptar desde USA en este sentido.

Cuando concluya el 2018 más de 20.000 personas estarán trabajando en tendrán a 20,000 personas trabajando en materia de seguridad.

El senador Richard Durbin, quiso que el CEO de Facebook empatizara con las personas de las que se han filtrado sus dato. En este sentido transcurrió la siguiente conversación:

  • “¿Sr. Zuckerberg puede compartir con nosotros el hotel donde se quedó anoche, se sentiría cómodo?”
  • Zuckerberg: – (Tras unos segundos de incómodo y dubitativo silencio) “Uh… no” (risas en la sala)
  • “Si usted ha mandado un mensaje esta semana a alguien, ¿compartiría con nosotros el nombre de la persona?”
  • “No”
  • Yo creo que de esto se trata todo esto, del derecho a la privacidad…


Acerca de

Canal Compliance, surge con el afán de convertirse en canal de comunicación  e información Compliance. Estamos seguros de los beneficios sociales y empresariales del cumplimiento normativo. Somos conscientes que la eficacia de la norma se debe sustentar en la creación de una verdadera cultura Compliance y que ésta no es posible sin un verdadero canal de comunicación, una herramienta que permita que la información fluya con libertad e independencia y que ésta alcance a todos los actores del sector del Cumplimiento normativo.


CONTÁCTENOS

POR TELÉFONO