LA LEY ÓMNIBUS EXIME DEL CUMPLIMIENTO DE LA LEY DE SEGURIDAD PRIVADA A LAS EMPRESAS QUE INSTALEN DISPOSITIVOS DE VIDEOVIGILANCIA

Tras la entrada en vigor el 27 de diciembre de 2009 de la ley 25/2009, de Libre Prestación de Servicios (Ley Ómnibus), las empresas que vendan, entreguen, instalen o mantengan equipos de seguridad no deberán cumplir los requisitos obligados por la Ley de 23/92, de Seguridad privada, siempre que sus servicios no incluyan la conexión con centrales de alarma.

El que se haya excluido estas actividades de la Ley de Seguridad Privada implica que no es necesario que la empresa instaladora de sistemas de seguridad sea una empresa de seguridad acreditada ante el Ministerio del Interior, y que tampoco haya que notificar al ministerio el contrato celebrado.

El texto del artículo 14 de la ley Ómnibus el siguiente:

«Disposición adicional sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad.

Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación».

Respecto a las implicaciones de este artículo con el derecho de la protección de datos personales; la Agencia Española de Protección de Datos expone que dado que existe una habilitación legal, quienes adquieran estos dispositivos pueden tratar los datos personales derivados de la captación de las imágenes sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos (LOPD). No obstante, la instalación de un sistema de videovigilancia conectado a una red de alarma entra dentro del ámbito de aplicación de la Ley de Seguridad Privada, y por tanto debe cumplir sus requisitos.

Recordamos que el tratamiento de imágenes deberá cumplir los requisitos de la LOPD; entre otros: el principio de calidad, que implica que las imágenes captadas sean las necesarias y no excesivas para la finalidad perseguida, por ejemplo evitando, en la medida de lo posible, la captación de imágenes en la vía pública; el principio de información en cuya virtud se debe colocar carteles informativos y poner a disposición impresos para el ejercicio de derechos; la notificación de los ficheros ante la Agencia de Protección de Datos; y la implantación de las medidas de seguridad pertinentes.

DESAYUNOS LENER: “CLOUD COMPUTING. ASPECTOS LEGALES”

Se va a celebrar una nueva edición de DESAYUNOS LENER, bajo el título “CLOUD COMPUTING. ASPECTOS LEGALES” en nuestra oficina:

 

FECHA	HORA	DIRECCIÓN
16 Diciembre 2009	09:30 a.m	Paseo de la Castellana, 23, Esc. 1, 1ª planta Madrid

 

El objetivo del Desayuno es analizar desde un punto de vista práctico los problemas legales derivados de la prestación de servicios en la nube, así como proponer posibles soluciones legales para poder afrontar un proyecto de estas características con las máximas garantías. En el transcurso del Desayuno se analizarán los siguientes aspectos:

→ Servicios en la Nube: ¿Hay un único modelo? ¿Tienen todos los modelos de negocio sitio en la nube?

→ Riesgos: ¿Qué tenemos que tener en cuenta desde un punto de vista legal a la hora de afrontar un proyecto en la nube? ¿Pierdo el control de mis sistemas de información? ¿Cómo gestionamos la deslocalización?

→ Gestión contractual de los servicios en la nube: ¿Qué tenemos que tener en cuenta en la negociación? ¿Cómo configuro contractualmente el pago por uso? ¿Cómo configuramos las licencias de uso de las aplicaciones? ¿Cómo establezco las métricas del servicio? ¿Cómo cambio de proveedor?

→ Seguridad de la información y protección de datos personales: Gestión de Identidad, Aspectos Legales. ¿Cuál es la ley aplicable a los tratamientos? ¿Cómo configuro los controles de acceso? ¿Cómo gestiono la seguridad de la información?

En esta ocasión contaremos con la presencia de Fernando Ramos, Director del Departamento de Tecnologías de la Información de LENER y Eneko Ariz, Abogado del Departamento de Tecnologías de la Información de Lener Madrid, que nos  acercarán de modo práctico y sencillo a los problemas legales derivados de la prestación de servicios en la nube.

DESAYUNOS LENER es un foro dedicado al desarrollo a la difusión de temas jurídicos en el que nuestros profesionales, especialistas en la materia, comparten su experiencia y le acercan a  las cuestiones relevantes para su empresa. Por ello, nos complace invitarte personalmente a que participes. Esperamos sea de tu interés y te pueda ayudar a resolver las posibles dudas que te interese plantearnos.

Si estás interesado en asistir, rogamos que te pongas en contacto con Cristina Soriano por correo electrónico (cristinasoriano@lener.es) para confirmar tu asistencia. En caso de que algún miembro de tu organización estuviese interesado en asistir, no dudes en extenderle la invitación. Las plazas son limitadas y requieren confirmación previa. El evento es gratuito.

En el caso de que no pudieras asistir pero estuvieses interesado en la materia objeto del Desayuno, no dudes en hacérnoslo saber para que te remitamos la documentación que distribuiremos con motivo del mismo.

Recibe un cordial saludo.

LENER

“nominados por la revista británica “The Lawyer” como candidato al galardón de mejor Firma Ibérica 2009″  

Información Desayuno Lener Madrid: Descargar

NUEVAS EDICIONES DE DESAYUNOS LENER: “LOS DEPARTAMENTOS DE RECURSOS HUMANOS Y LA LOPD: SOLUCIÓN A LOS PROBLEMAS”

Tras los éxitos obtenidos y agotarse todas las plazas en las ediciones anteriores, se va a celebrar una nueva edición de DESAYUNOS LENER, bajo el título “LOS DEPARTAMENTOS DE RECURSOS HUMANOS Y LA LOPD: SOLUCIÓN A LOS PROBLEMAS” en nuestras oficinas:

FECHA	HORA	DIRECCIÓN
19 Noviembre 2009	09:30 a.m	Paseo de la Castellana, 23, Esc. 1, 1ª planta Madrid
24 Noviembre 2009	09:30 a.m	Avd. Diagonal, 418, 2º 2ª
		Edificio “Casa de les Punxes”
		Barcelona

El objetivo del Desayuno es analizar desde un punto de vista práctico los problemas legales derivados del tratamiento de datos en los departamentos de RRHH y las soluciones legales que deben ser implantadas para el adecuado cumplimiento de la normativa de protección de datos. En el transcurso del desayuno se dará respuesta a diferentes cuestiones que esta materia suscita en los departamentos de RRHH:

→ Selección de Candidatos: ¿es necesario informar en materia LOPD a los CV recibidos? ¿puedo utilizar los CV´s por todas las empresas del grupo?

→ Inicio de la relación laboral: ¿la contratación de seguros médicos voluntarios requiere consentimiento del trabajador? ¿el uso de imágenes de los trabajadores y en la intranet o revistas corporativas incide sobre la LOPD?

→ Vigilancia y control del trabajador: ¿es lícito vigilar y controlar al trabajador sobre el uso del correo electrónico e Internet? ¿y a través de las cámaras de videovigilancia? ¿Qué medidas deben ser adoptadas para el control tecnológico del trabajador?

→ Cesión de Datos a terceros: ¿se pueden comunicar datos de trabajadores a empresas del grupo? ¿y a los sindicatos? ¿Qué datos personales pueden ser comunicados a los comités de empresa? ¿necesito consentimiento del para ceder los TC1 y TC 2 en supuestos de subcontratación de servicios?

→ La Prueba de contenido tecnológico en el Procedimiento Laboral: ¿Qué elementos debe reunir la prueba tecnológica en el procedimiento laboral?

Contaremos con la presencia de Fernando Ramos, Director del Departamento de Tecnologías de la Información de LENER, que nos  acercarán de modo práctico y sencillo a las principales obligaciones que los departamentos de RRHH tienen en el tratamiento automatizado de datos personales.

DESAYUNOS LENER es un foro dedicado al desarrollo a la difusión de temas jurídicos en el que los profesionales de LENER comparten su experiencia y le acercan a  las cuestiones relevantes para su empresa. Por ello, nos complace invitarle personalmente. Esperamos sea de su interés y pueda ayudarle a resolver las posibles dudas que le interese plantearnos.

Si está interesado en asistir, rogamos que se ponga en contacto con Cristina Soriano por correo electrónico (cristinasoriano@lener.es) para confirmar su asistencia o la de aquel miembro de su organización que estime conveniente.

En el caso de que no pudieras asistir pero estuvieses interesado en la materia objeto del Desayuno, no dudes en hacérnoslo saber para que te remitamos la documentación que distribuiremos con motivo del mismo.

Recibe un cordial saludo.

 

LENER

“nominados por la revista británica “The Lawyer” como candidato al galardón de mejor Firma Ibérica 2009″  

Información Desayuno Lener Madrid: Descargar

Información Desayuno Lener Barcelona: Descargar

NUEVA EDICIÓN DESAYUNOS LENER: “LOS DEPARTAMENTOS DE RECURSOS HUMANOS Y LA LOPD: SOLUCIÓN A LOS PROBLEMAS”

Tras el éxito obtenido y agotarse todas las plazas en las ediciones anteriores, se va a celebrar una nueva edición de DESAYUNOS LENER, bajo el título “LOS DEPARTAMENTOS DE RECURSOS HUMANOS Y LA LOPD: SOLUCIÓN A LOS PROBLEMAS” en nuestras oficinas:

 

FECHA	HORA	DIRECCIÓN
18 Noviembre 2009	09:30 a.m	Paseo de la Castellana, 23, Esc. 1, 1ª planta Madrid

 

El objetivo del Desayuno es analizar desde un punto de vista práctico los problemas legales derivados del tratamiento de datos en los departamentos de RRHH y las soluciones legales que deben ser implantadas para el adecuado cumplimiento de la normativa de protección de datos. En el transcurso del desayuno se dará respuesta a diferentes cuestiones que esta materia suscita en los departamentos de RRHH:

→  Selección de Candidatos: ¿es necesario informar en materia LOPD a los CV recibidos? ¿puedo utilizar los CV´s por todas las empresas del grupo?

→ Inicio de la relación laboral: ¿la contratación de seguros médicos voluntarios requiere consentimiento del trabajador? ¿el uso de imágenes de los trabajadores y en la intranet o revistas corporativas incide sobre la LOPD?

→ Vigilancia y control del trabajador: ¿es lícito vigilar y controlar al trabajador sobre el uso del correo electrónico e Internet? ¿y a través de las cámaras de videovigilancia? ¿Qué medidas deben ser adoptadas para el control tecnológico del trabajador?

→ Cesión de Datos a terceros: ¿se pueden comunicar datos de trabajadores a empresas del grupo? ¿y a los sindicatos? ¿Qué datos personales pueden ser comunicados a los comités de empresa? ¿necesito consentimiento del para ceder los TC1 y TC 2 en supuestos de subcontratación de servicios?

→ La Prueba de contenido tecnológico en el Procedimiento Laboral: ¿Qué elementos debe reunir la prueba tecnológica en el procedimiento laboral?

Contaremos con la presencia de Fernando Ramos, Director del Departamento de Tecnologías de la Información de LENER y con Eneko Ariz, Responsable del Departamento de Tecnologías de la Información de LENER Madrid, que nos  acercarán de modo práctico y sencillo a las principales obligaciones que los departamentos de RRHH tienen en el tratamiento automatizado de datos personales.

DESAYUNOS LENER es un foro dedicado al desarrollo a la difusión de temas jurídicos en el que los profesionales de LENER comparten su experiencia y le acercan a  las cuestiones relevantes para su empresa. Por ello, nos complace invitarle personalmente. Esperamos sea de su interés y pueda ayudarle a resolver las posibles dudas que le interese plantearnos.

Si está interesado en asistir, rogamos que se ponga en contacto con Cristina Soriano por correo electrónico (cristinasoriano@lener.es) para confirmar su asistencia o la de aquel miembro de su organización que estime conveniente.

En el caso de que no pudieras asistir pero estuvieses interesado en la materia objeto del Desayuno, no dudes en hacérnoslo saber para que te remitamos la documentación que distribuiremos con motivo del mismo.

Recibe un cordial saludo.

 LENER

“nominados por la revista británica “The Lawyer” como candidato al galardón de mejor Firma Ibérica 2009″  

 Información Desayuno Lener Madrid: Descargar

LA NUEVA SITUACIÓN DE LOS TC1 Y TC2

La Agencia Española de Protección de Datos ha cambiado recientemente el criterio mantenido y reiterado de su negativa a la posibilidad de la comunicación de los datos contenidos en los TC2 para dar cumplimiento a las obligaciones nacidas del artículo 42 del Estatuto de los Trabajadores sobre responsabilidad ante la seguridad social por trabajadores subcontratados en los casos de subcontratación de obras y servicios, Así el  Informe 180/2006, luego reiterado en el Informe 0337/2008 exponía que:

“en ningún caso se pueden comunicar ni los TC2 ni los nóminas, ni los partes médicos, dado que en la información contenida en las nóminas, en el TC2 y en los partes médicos aparecen datos especialmente protegidos y el artículo 7.3 de la Ley Orgánica dispone que para la cesión tenga lugar es necesario o el consentimiento expreso del afectado o que una Ley lo disponga. Ni el Estatuto de los Trabajadores ni la Ley de Prevención de Riesgos Laborales exige la comunicación de dichos datos a la empresa contratante”

En el Informe Jurídico 0413/2008 en el que se analizaba el supuesto en relación con la ley 32/2006, de 18 de octubre, reguladora de la subcontratación en el Sector de la Construcción se decía que:

“ningún precepto de la Ley 32/2006 viene a exigir para hacer frente a las posibles responsabilidades derivadas de la subcontratación que se comuniquen al contratista principal los datos de todos los trabajadores del subcontratista, no encontrándose la cesión de los datos, amparados en la Ley Orgánica 15/1999 sin contar con el consentimiento del interesado”

Pero finalmente, en su reciente Informe 0412/2009, este criterio varía. Para ello parte una diferenciación de los dos apartados del artículo 42 del estatuto de trabajadores, centrándose en el segundo de ellos como fundamento para el cambio de criterio en concreto, dice:

“es preciso indicar que hasta el momento presente, esta Agencia Española de Protección de Datos había venido analizando ambos apartados de forma conjunta, obteniéndose una respuesta contraria a la cesión de los datos contenidos en los TC2 y las  nóminas en ambos casos. Sin embargo, el planteamiento efectuado en la consulta ahora planteada exige la realización de un análisis más detallado en que ambas obligaciones sean estudiadas de forma diferenciada, lo que a su vez podrá implicar, y de hecho implicará, como se verá posteriormente, reconsiderar el criterio hasta ahora mantenido en relación con las obligaciones derivadas de lo previsto en el artículo 42.2 del Estatuto de los Trabajadores.”

En referencia a este apartado, que es sobre el que justifica la cesión expone:

“A continuación analizaremos el segundo apartado donde se prevé que el empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata”.

Por tanto, explica:

“El artículo 42.2 del Estatuto de los Trabajadores, impone al contratista principal una responsabilidad solidaria, responsabilidad que implica atender el cumplimiento de una obligación de naturaleza salarial y las referidas a la Seguridad Social durante el período de vigencia de la contrata”

Y prosigue:

“cuando estemos en presencia de una obligación solidaria cada uno de los deudores deberá prestar íntegramente la cosa objeto de la misma. Por tanto, si el contratista principal es obligado solidariamente de la deuda salarial y a las referidas a la Seguridad Social durante el período de vigencia de la contrata, deberá de conocer el contenido íntegro de dicha obligación para poder cumplirlas.

A mayor abundamiento el artículo 10.2 del Reglamento de Desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre señala que “ (..)2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando: a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes: El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre o El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.”

Es decir que ahora la Agencia entiende que el apartado 42.2 interpretado aisladamente tiene una significación distinta, y habilita para la cesión de datos de los trabajadores sin necesidad de consentimiento de los mismos. Pero el cambio no se queda aquí, si no que hace extensible la autorización a los datos de salud contenidos en un TC2, y así argumenta:

“No podemos obviar que la comunicación de los TC2 puede implicar la cesión de ciertos datos relativos a la salud de la persona, así lo ha manifestado la Agencia Española de Protección de Datos en numerosas ocasiones.

El artículo 7.3 de la Ley Orgánica 15/1999 dispone que “Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente”.

Y especifica:

“La Agencia Española de Protección de Datos ha puesto reiteradamente de manifiesto que la aplicación del artículo 7.3 implica, por mor del principio de especialidad, la imposible aplicación a los datos referidos en el mismo de cualquiera de las causas legitimadoras del tratamiento previstas en el artículo 11.2 de la Ley Orgánica, quedando limitados los supuestos habilitantes del tratamiento y cesión de estos datos a los establecidos en la norma especial o a aquéllos en los que la norma general se refiere expresamente a tales datos.”

En resumen que si no hay una ley especifica que autorice el tratamiento de datos especialmente protegidos, ni estos se mencionan de manera expresa en una ley general que autorice su tratamiento sin consentimiento, debe entenderse que dicho tratamiento requiera del consentimiento previo y expreso del interesado.

Tras este análisis concluye:

“Por todo ello, dado que el Estatuto de los Trabajadores impone un deber al empresario principal, la comunicación de ciertos datos tales como el TC2, resulta conforme con al Ley Orgánica 15/1999 y el Reglamento de desarrolla, pues se haya expresamente prevista en una norma con rango de Ley. Además el propio Código Civil exige atender íntegramente las obligaciones solidarias por lo que es preciso conocer el contenido de la misma.

En consecuencia, la cesión de los TC2 estaría amparada en el artículo 7.3 de la Ley Orgánica 15/1999, en relación con el artículo 42.2 del Estatuto”

Bien parece que a través de este razonamiento jurídico la Agencia ha tratado dar carta de normalidad a un uso ampliamente extendido entre las empresas, como es el de exigir el TC2 para permitir el acceso del personal de la empresa subcontratada en las instalaciones de la empresa principal. Para ello flexibiliza la interpretación de la literalidad legal en cuanto a la necesidad de una mención expresa en la ley a los datos especialmente protegidos para que se entienda que su cesión queda comprendida en el supuesto habilitado legalmente, entendiendo que esta situación, “se haya expresamente prevista en una norma con rango de Ley”, en alusión a la obligación impuesta en el artículo 42.2 del Estatuto de los Trabajadores.

No obstante lo anterior, el informe de la Agencia insiste nuevamente en que el acceso por parte del contratista debería limitarse a los datos relacionados con los trabajadores subcontratados y no a cualesquiera trabajadores de la empresa subcontratada, recordando la aplicación del principio de calidad de datos (artículo 4. 1 de la Ley Orgánica 15/1999) por el cual  “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” Igualmente nos recuerda el Informe de la Agencia que el hecho de que la comunicación de datos se encuentre se encuentre amparada por la Ley Orgánica 15/1999 no eximirá del deber del empresario de informar a los trabajadores subcontratados de la cesión de datos a la empresa subcontratista.

En definitiva este informe supone un alivio para los empresarios, preocupados por el entorpecimiento de la actividad que en ocasiones supone cumplir de manera exhaustiva con los requisitos de la ley.

Por otro lado, queda la reflexión de si con todas las obligaciones a las que se someten las actividades empresariales, no sería obligación del legislador de dotar de mecanismos que faciliten el cumplimiento de dichas normas, en lugar de permitir que la descoordinación entre las distintas legislaciones  ponga a los empresarios en la disyuntiva de tener que elegir entre la aplicación de una u otra norma según criterios propios, normalmente orientados al negocio o riesgo por incumplimiento.

Si quieres leer la nota completa de la Agencia Española de Protección de Datos, haz clic aquí

RECOMENDACIÓN DE LA COMISIÓN EUROPEA RESPECTO DEL USO DE APLICACIONES RFID

RECOMENDACION DE LA COMISION EUROPEA RESPECTO DEL USO DE APLICACIONES RFID

La Comisión Europea ha publicado este mes de mayo una Recomendación a propósito del uso de aplicaciones apoyadas en la identificación por radiofrecuencia. La Comisión muestra su preocupación por la problemática relativa a la protección de datos que este tipo de tecnología de identificación, de uso cada vez mas masivo, pueda conllevar, y que podría agravarse en el futuro por no tomar medidas a tiempo para limitar y controlar la forma en que los desarrolladores y usuarios de este tipo de tecnología tratan y acceden a los datos.

Las RFID son las siglas inglesas (Radio-Frequency IDentification) de denominación genérica de los sistemas que mediante ondas de radio permiten la identificación  (mediante un número de serie único) de un objeto o persona de forma inalámbrica. Un caso común del uso de este tipo de tecnología son las tarjetas identificativas que en muchos centros de trabajo se utilizan para controlar el acceso y la hora de entrada de los empleados en sus instalaciones.

Para la Comisión el problema para la privacidad reside en que, en no pocas ocasiones, entre la información que transmite el dispositivo se encuentran datos referentes a la esfera personal de su titular, y estos pueden ser recabados por terceros, sin conocimiento ni consentimiento de su portador, por el simple hecho de encontrarse en un radio de acción en que los datos son “legibles” por un dispositivo de recepción.

Para evitar estos efectos perniciosos del avance de la tecnología, la Comisión ha publicado estas recomendaciones, por las que se pretende que los fabricantes y desarrolladores tengan en cuenta estos peligros y adapten los dispositivos de forma que los usuarios puedan, entre otras cuestiones, disponer de la opción de activar y desactivar las posibilidad de identificación, así como que en el momento de su adquisición sean informados de las características del producto y se le ofrezca la posibilidad de deshabilitar dicha función, facilitando que sean los titulares de los datos personales los que determinen si quieren o no comunicar sus datos, tal como requiere la Directiva Europea que rige en la materia.

Además de esta recomendación, la comisión ha publicado una serie de “preguntas frecuentes”, para que el ciudadano de la Unión pueda resolver sus dudas sobre las interrogantes que estas cuestiones le pudiesen plantear.

Para acceder a la Recomendación: CLIC AQUÍ

Para acceder a las FAQ´s: CLIC AQUÍ

OBLIGATORIEDAD DE REALIZAR COPIAS DE SEGURIDAD DE LOS FICHEROS DE VIDEOVIGILANCIA: PRONUNCIAMIENTO DE LA AGENCIA

La Agencia de Protección de Datos acaba de resolver una cuestión que estaba generando bastante controversia en la práctica al concluir que el artículo 94.2 del Reglamento de desarrollo de la LOPD, que obliga a la realización de copias de respaldo con una periodicidad mínima semanal, es plenamente aplicable a los ficheros de videovigilancia.  

Al hilo de esta aclaración la Agencia se pronuncia también sobre la necesidad de cancelar los datos contenidos tanto en la grabación original como en la copia de respaldo de la misma en el periodo máximo de un mes desde su captación. A este respecto precisa que la cancelación no implica en todos los casos la eliminación de los datos, sino que cabe su bloqueo tal y como dispone el artículo 16,3 de la LOPD. Mientras que los datos estén bloqueados se impedirá su tratamiento y se conservarán únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales para la atención de las posibles responsabilidades nacidas del tratamiento, en tanto transcurran los plazos de prescripción de las responsabilidades. La copia de seguridad seguirá la misma suerte que el original de manera que si el original se encuentra bloqueado por algún motivo, la copia lo estará también y se someterá a los mismos plazos para la supresión de los datos que el original del que éstos proceden.

PUBLICADA LA MEMORIA DEL AÑO 2008 DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS: ES MOMENTO DE HACER BALANCE

La AEPD acaba de publicar la memoria de sus actuaciones durante el año 2008 y, como cada año, llega el momento de hacer una parada en el camino para analizar la valiosa información que esta memoria nos aporta y poder sacar conclusiones. En esta ocasión la tarea es fácil porque las cifras son tan significativas que prácticamente hablan por si solas. Entrando en materia la primera cuestión que habría que resaltar es el claro aumento de la preocupación ciudadana por el destino de sus datos personales. Los sistemas informáticos permiten que se puedan manejar fácilmente ingentes cantidades de datos, y el conocimiento de este hecho ha provocado una progresiva concienciación e información de la ciudadanía acerca de la normativa de protección de datos personales. Sólo así es explicable que durante el 2008 las solicitudes a la AEPD para la tutela de derechos se hayan incrementado en un 88% hasta totalizar 1.687. Por otro lado, la AEPD esta respondiendo a esta preocupación social con un incremento de su actividad en todos los sectores: se han producido 2.362 actuaciones de inspección, aumentando en un 45,4% respecto al 2007.

La Memoria de 2008 remarca el crecimiento general de las actuaciones de la AEPD. Este crecimiento se ve acompañado de una mayor dotación presupuestaria: el presupuesto asignado a la Agencia casi se ha duplicado entre los ejercicios 2.005 y 2.008, alcanzando una cifra de más de 14 millones de euros.

La videovigilancia se encuentra entre las actividades que más preocupaciones suscitan en la ciudadanía. La AEPD ha actuado en consecuencia y las resoluciones de procedimientos sancionadores relacionados con la videovigilancia se han incrementado en un 633% respecto al ejercicio anterior. Además, la videovigilancia está relacionada con la vulneración del derecho a la privacidad en Internet. Por ejemplo, se palpa la preocupación que genera el hecho de que en portales de videos como Youtube se puedan divulgar grabaciones a un gran número de público.

Por otro lado la videovigilancia en el entorno laboral es otro de los sectores que ha generado gran controversia, así la AEPD nos recuerda en su memoria que la jurisprudencia del Tribunal Supremo exige que se informe a los trabajadores de una manera previa y suficiente. En este sentido es llamativo el escaso número de ficheros de videogilancia que han sido dados de alta durante el 2008 por la gran empresa.

Respecto a las sanciones impuestas por la vulneración de la LOPD se ha producido un incremento de un 93% a lo largo de 2008, si a este hecho añadimos el  aumento de las sanciones por infracciones graves en un 75%, llegamos a la conclusión de que la actividad controladora de la AEPD está aumentando a un ritmo vertiginoso.

Durante el 2008 se puede observar que principalmente la actividad punitiva de la Agencia ha recaído sobre los sectores de la banca y las telecomunicaciones, justificándose en su gran mayoría en el mal uso de los ficheros de solvencia patrimonial y crédito; así mismo, y atendiendo a la gravedad de las sanciones, también es reseñable el alto número de infracciones relacionadas con los ficheros de Personal y Recursos Humanos que contienen datos de salud e imágenes de videovigilancia.

Podemos concluir por tanto que la Memoria de la AEPD de 2.008 muestra una clara voluntad pública de controlar del tratamiento de datos personales, sobre todo en el sector privado, haciéndolo coincidir de forma paralela con el desarrollo de la sociedad de la información.

LAS REDES SOCIALES Y LA PROTECCIÓN DE DATOS

Hace tiempo se viene hablando de una nueva generación en la concepción del mundo Web, conocida como Web 2.0, utilizada para referirse a los fenómenos relacionados con la interactividad de la webs con los usuarios y la de estos entre si, se engloban aquí conceptos como las redes sociales, los blogs, los wikis y toda una nueva progresión de servicios cada vez mas adaptados al usuario.

La rápida evolución de las tecnologías, cuya punta de lanza suele manifestarse en Internet, nos lleva a asimilar nuevas realidades sin tener en consideración las consecuencias que la llegada de las mismas traen consigo.

Curiosamente, toda esta maraña de servicios que nos atrapan suelen tener una nota común que los hace quizás más atractivos, la gratuidad. Esto debería hacer que nos preguntásemos cual es el motor que hace funcionar toda esta maquinaria, dado que las empresas ofertan servicios gratuitos a sus clientes, asumiendo el coste que para ellas supone su mantenimiento. La respuesta la hayamos en uno de los factores más valorados en el mercado actual: La información.

Sin darnos cuenta, cada día facilitamos más datos a nuestros prestadores de servicios, da igual que intentemos facilitar datos falsos, la enorme cantidad de datos que se facilitan acaban permitiendo tener un perfil “auténtico” de nuestra personalidad.

Centrándonos en las Webs de redes sociales, cualquier persona que se adhiera a una red como Facebook, tan sólo con la mera actividad de agregarse a grupos que despierten su simpatía, estará dejando un rastro de preferencias que irá descubriendo claramente el perfil de su personalidad, que en el mejor de los casos, será utilizado de forma anónima por la empresa prestadora de servicios para obtener información estadística.

Sin querer ahora entrar a valorar los usos reales que de los datos se puedan hacer por estas empresas y suponiendo que su política fuera poco intrusiva, nos queda la otra parte de la relación, la de los usuarios entre si.

Las redes sociales se están convirtiendo en un motivo de preocupación muy importante para las autoridades, como lo demuestran por ejemplo las jornadas organizadas por la AMPD para AMPAS sobre Privacidad y Redes Sociales, tratando de aconsejar a la juventud del peligro de la revelación de datos personales que puedan ser conocidos por terceros o, por ejemplo, la Resolución de las Autoridades de protección de datos advirtiendo de los potenciales peligros para la privacidad de las redes sociales.

El uso poco apropiado que en la generalidad de los casos se hace de las posibilidades de control de la privacidad de los datos que subimos a la red provoca que emitamos una cantidad ingente de datos accesibles a casi cualquier persona, estamos hablando de todo tipo de datos personales, que puestas a disposición de la “universalidad” de usuarios, generan un constante peligro de apropiación de los mismos para actividades ilícitas, así como el provocar situaciones no deseadas como pueda ser su conocimiento por terceros que no queremos que la tengan, así se advierte de que:

 −      Los datos incluidos en los perfiles de las redes sociales pueden filtrarse fuera ellas cuando son indexados por los buscadores.

 −      La divulgación de información personal y fotografías.

 −      Se alerta sobre el incremento de fraude de identidad, por la amplia disponibilidad de datos personales en los perfiles de sus usuarios.

 −      Responsables de personal de algunas empresas suelen investigar los perfiles de candidatos a un puesto de trabajo o empleado.

 −      Se recomienda a los menores evitar revelar sus domicilios o números de teléfono.

Por tanto, es muy recomendable, cuando uno hace uso de las nuevas utilidades ofrecidas en la red, tener en cuenta de manera previa el tipo de información que se quiere comunicar, a quien y de que modo, para así elegir aquellos servicios que se adapten a nuestras preferencias y, dentro de estos, elegir aquellos que garanticen una protección adecuada  de la privacidad del usuario, con trasparencia en el uso de nuestra información personal así como posibles usos de terceros de forma tal que eviten futuras sorpresas desagradables.

Enlace de Interés

Como continuación del post, incluimos un enlace al interesante reportaje sobre Redes Sociales, “Tu ‘extimidad’ contra mi intimidad”, publicado hoy, 24 de Marzo de 2009 en el Diario EL País. Para acceder al reportaje CLIC AQUÍ.

REGIMEN SANCIONADOR DEL USO DE VIDEOCÁMARAS EN EL ÁMBITO LABORAL

La Agencia Española de Protección de Datos (AEPD) y los Tribunales de lo Social a través de su actividad jurisprudencial, han proporcionado seguridad jurídica en una actividad en continua expansión: La utilización de videocámaras, y en particular su uso para la verificación del cumplimiento de las obligaciones laborales. En el artículo, presentamos una imagen general del actual marco jurídico español en el sector de la videovigilancia. 

La AEPD ha llevado a cabo 365 actuaciones en el 2.008 relacionadas con el ámbito de la vigilancia mediante cámaras de seguridad, lo que supone un incremento del 196% respecto al año anterior.

En los últimos meses, la actividad sancionadora de la AEPD ha incidido particularmente en los sectores del comercio, la hostelería y la seguridad privada. Frecuentemente, hay un elemento común en las sanciones: La ubicación de dispositivos de videovigilancia que enfocan a la vía pública.

El criterio de la AEPD, y de los Tribunales de lo Social, para conceder su permiso a la ubicación de cámaras de videovigilancia es el de la proporcionalidad.  Dicho principio supone que se pueden utilizar estos sistemas cuando otras medidas de prevención, protección y seguridad, de naturaleza física o lógica, que no requieran captación de imágenes  resulten claramente insuficientes o inaplicables en relación con los fines legítimos mencionados anteriormente. (por ejemplo, la utilización de puertas blindadas para combatir el vandalismo, la instalación de puertas automáticas y dispositivos de seguridad, sistemas combinados de alarma, sistemas mejores y más potentes de alumbrado nocturno en las calles, etc.)

   

La utilización de Dispositivos de Videovigilancia en el Ámbito Laboral

 

El ámbito laboral  es uno donde el uso de videocámaras ha generado mayor controversia, pues se contraponen dos derechos: el derecho a la intimidad personal, refrendado por el artículo 18 de la Constitución y desarrollado por la LO 1/1982, y el Estatuto de los Trabajadores que en su artículo 20.3 faculta al empresario a adoptar las medidas de vigilancia y control que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

Una sentencia relevante al respecto es la relativa a la procedencia de un despido, fundamentado en unas grabaciones hechas por una videocámara no notificada, donde se clarifican los criterios de los tribunales españoles para el uso de videocámaras en el entorno laboral.

El empresario contrató los servicios de una agencia de investigación privada porque sospechaba de la conducta de sus trabajadoras. La agencia dispuso tres videocámaras, que posteriormente recogieron las grabaciones que constituyeron la prueba del despido procedente. La trabajadora impugnó la prueba de la grabación por no constar el conocimiento de las trabajadoras ni la autorización judicial para el uso de videocámaras.

El Tribunal fundamentó la procedencia del despido en los siguientes fundamentos jurídicos:

 

a)    No consta que las cámaras de vídeo invadieran terreno personal porque se colocaron en lugares del centro de trabajo no amparados por la privacidad, y con el único fin de acreditar unos hechos indemostrables con otros medios de prueba. (Por tanto, no se vulneran los bienes jurídicos de la intimidad y la privacidad del artículo 18 de la Constitución española).

b)    El Tribunal expone que el derecho a la intimidad no es absoluto y que el Estatuto de los Trabajadores atribuye al empresario la facultad de adoptar las medidas oportunas para verificar el cumplimiento del trabajador de sus obligaciones laborales. Se señala que la constitucionalidad de cualquier medida restrictiva de un derecho fundamental depende del juicio de proporcionalidad, cuyos requisitos son: idoneidad, necesidad y proporcionalidad en sentido estricto.

c)     El Tribunal argumenta respecto de la alegación por la trabajadora de la de la vulneración de la Instrucción 1/2006 de la AEPD sobre vigilancia “…que carecen de sustento, al igual que la cita del Instrucción 1/2006 de 8 de noviembre de la Agencia Española de Protección de Datos y Ley Orgánica 15/1999, pues mal podría servir a los fines pretendidos si la instalación de cámaras se anuncia en la entrada o sitio visible del establecimiento”

Por lo tanto, de la Sentencia se desprende que la instrucción 1/2006 de la AEPD no supone un impedimento para la facultad del empresario de ubicar dispositivos de videovigilancia para la verificación del cumplimiento de los deberes laborales, siempre que la colocación de las mismas no vulnere la intimidad y su utilización sea proporcionada.