Estás usando una versión desactualizada de este navegador (). Es probable que este sitio web no se muestre de forma adecuada o presente errores en su funcionamiento. Por favor, actualiza este navegador desde el sitio oficial del desarrollador. Haz click sobre este anuncio para cerrarlo. | You are using an outdated version of this browser. It is likely that this website will not display properly or could have errors. Please update this browser from the official developer site. Click on this ad to close it.
Este sitio web utiliza cookies propias y de terceros con fines estadísticos y para mejorar la experiencia del usuario. Más información
Las amenazas cibernéticas acechan por todas partes, no sólo desde los ordenadores personales. La Comisión Europea ha tomado conciencia del riesgo permanente que ofrecen el universo creciente de dispositivos conectados para reforzar la seguridad. El objetivo inicial consiste en regular desde su fabricación una serie de requisitos técnicos para todos los gadgets. Eso no solo afecta a los móviles, sino también a tabletas, televisores, relojes inteligentes, pulseras de actividad, artículos de puericultura como monitores para bebés y hasta los juguetes con conexión a la red.
«Estamos estableciendo nuevas obligaciones legales para salvaguardar la ciberseguridad de los dispositivos electrónicos», explica Margrethe Vestager, vicepresidenta ejecutiva para Una Europa Adaptada a la Era Digital y comisaria europea de Competencia.
Según ha explicado la Comisión Europea, las nuevas medidas pretenden «mejorar la resiliencia de la red», de forma que «los dispositivos y productos inalámbricos tendrán que incorporar funciones para impedir que dañen las redes de comunicación y para evitar la posibilidad de que se utilicen para perturbar la funcionalidad de los sitios web u otros servicios».
Protección de la privacidad
Las mismas fuentes abogan por mejorar la protección de la privacidad de los consumidores, con funciones que garanticen el blindaje de los datos personales. A modo de ejemplo, «los fabricantes tendrán que aplicar nuevas medidas para impedir el acceso no autorizado a datos personales o su transmisión sin autorización». La misma regulación también pretende «reducir el riesgo de fraudes económicos, con un mejor control de la autenticación del usuario.
Los estudios promovidos desde Bruselas han constatado el riesgo que suponen ciertos «juguetes que espían las actividades de los niños o sus conversaciones; los datos personales no cifrados almacenados en nuestros dispositivos, incluidos los relacionados con los pagos, a los que se puede acceder fácilmente; e incluso los equipos que pueden hacer un mal uso de los recursos de la red y reducir así su capacidad».
A partir de ahora, y en el supuesto de que el Consejo y el Parlamento no formulen objeciones, la iniciativa entrará en vigor en los dos próximos meses. Por lo tanto, a partir del 1 de enero de 2022, «los fabricantes dispondrán de un período transitorio de treinta meses para empezar a cumplir los nuevos requisitos legales». Según explica la CE, se ofrece a la industria «tiempo suficiente para adaptar los productos correspondientes antes de que entren en vigor los nuevos requisitos, hacia mediados de 2024 si se cumplen las previsiones».
Al mismo tiempo, el ejecutivo comunitario moverá las piezas necesarias para que las organizaciones europeas de normalización puedan elaborar normas al respecto y que los fabricantes se preparen a los futuros requisitos técnicos.
Fuente: El Economista
Según se relata en la resolución de la Agencia Española de Protección de datos, con fecha de 23 de agosto, el reclamante encontró una oferta de empleo a través de un portal de internet. Siguiendo las instrucciones que se indicaban en el anuncio, contactó por teléfono con la empresa y le remitió su currículum a través del sistema de mensajería instantánea WhatsApp, sin que los responsables de la misma le dieran ningún tipo de información relativa al tratamiento que efectuarían con sus datos personales ni sobre la posibilidad de ejercitar los derechos ante el responsable del tratamiento.
Al no facilitarle información alguna sobre el tratamiento que harían de sus datos personales ni de los derechos que le asistían como titular de los mismos, este decidió formalizar una denuncia ante la AEPD. En ella, también aportó un pantallazo de la web corporativa en la que constaba que solo se mostraba una dirección postal, un correo electrónico y el número de teléfono; no había referencias a quién era el responsable del tratamiento o el delegado de protección de datos. Después de que la empresa no respondiera a su requerimiento de información, el organismo inició un procedimiento sancionador.
En su resolución, la AEPD determina que la recogida de datos a través de formularios incluidos en portales web «constituye un tratamiento de datos», por lo que su responsable queda sometido a las exigencias del Reglamento europeo de privacidad (RGPD). En este sentido, la norma comunitaria define «dato personal» como «toda información sobre una persona física identificada o identificable» (lo que incluye, por ejemplo, el nombre, su número de DNI, etc.), y «tratamiento» como «cualquier operación o conjunto de operaciones realizada sobre datos personales», como la recogida, el registro o su utilización, entre otras.
Constatado, por tanto, que la captación de currículums supone el tratamiento de datos personales, la resolución recuerda que los responsables están obligados a facilitar determinada información a los ‘propietarios’ de los mismos. En concreto, según el artículo 13 del RGPD, deben comunicar, entre otros elementos, la identidad y los datos de contacto del responsable del tratamiento y del delegado de protección de datos; los fines y la base jurídica del tratamiento; el plazo durante el cual se conservará la información recogida, y los derechos que asisten al interesado (entre ellos, los de acceso, rectificación, supresión u oposición).
Tras analizar las circunstancias del caso, la AEPD entiende que la empresa titular de la oferta ha infringido los requisitos de información contenidos en el artículo 13 del Reglamento, «porque no identifica de manera apropiada a su responsable ni los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio», una información que la normativa exige que sea facilitada. Este incumplimiento del principio de transparencia o el derecho a la información del afectado, de acuerdo con el artículo 74.a) de la Ley Orgánica de Protección de Datos española constituye una «infracción leve».
Al no tener la compañía reclamada infracciones previas, ni haber obtenido beneficios directos de su conducta, ni estar considerada como gran empresa, la Agencia «gradúa» la sanción y a fija en una cuantía de 2.000 euros. Contra la resolución, en todo caso, cabe recurso ante la jurisdicción contencioso-administrativa.
Entre verificar la identificación del estudiante en una prueba online para evitar que sea suplantado o copie de alguna manera o proteger su privacidad, las autoridades públicas competentes se han decantado por la protección de datos, por lo que, de facto, limitan los sistemas de reconocimiento facial en la educación a distancia. Y lo hace incluso aunque el alumno dé su consentimiento, lo cual es distinto al caso de la banca, sector en el que el reconocimiento de la cara, el iris del ojo o la huella digital está permitido siempre con la connivencia del cliente.
En una reciente resolución de la Agencia Española de Protección de Datos (AEPD), de 27 de julio, se advierte que “no resulta justificado” la necesidad de utilizar datos biométricos para identificar al estudiante en un examen. E insta a la Universidad de la Rioja (UNIR), uno de los campus españoles que usó esta técnica, a que “adopte las medidas correctivas encaminadas a evitar que el tratamiento previsto pueda suponer un posible incumplimiento de la legislación de protección de datos”.
UNIR realizó una prueba piloto con el programa Smowl en septiembre del 2020, con el previo consentimiento del alumnado. Las técnicas faciales no solo identifican al usuario y comprueban que no se ha levantado de su asiento, sino también establecen patrones faciales que identifican comportamientos anómalos. Son útiles para la entidad porque pueden sustituir a la vigilancia en remoto de los profesores, menos fiable, pero identifican y almacenan datos del alumnado.
La entidad, que antes de la pandemia evaluaba de forma presencial como las otras universidades a distancia, decidió implementar este sistema para las pruebas finales del curso 2020-2021, explorando la posibilidad de introducir la opción de exámenes online en el futuro. Pero un grupo de estudiantes lo denunció y elevó la consulta a la AEPD. Ante esta circunstancia y un comunicado de la Conferencia de Rectores de las Universidades Españolas (Crue), que “no recomienda” su uso por su complejidad técnica y alto grado de exigencia legislativa, UNIR decidió desactivar los sistemas biométricos en los exámenes de julio (mantuvo el control del escritorio, los sonidos del entorno y la visualización por webcam).
“El uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online es un asunto controvertido en todo el mundo”, explica el vicerrector de UNIR, Rubén González. “Nosotros queremos ofrecer la máxima rigurosidad en la evaluación porque eso garantiza la calidad del título, de ahí nuestra inversión”, añade.
En algunos países está ampliamente aceptado, como EE.UU. o México, pero en la mayoría pone coto a sistemas que pudieran recoger y almacenar datos sensibles del usuario. El proyecto de reglamento europeo de la inteligencia artificial prevé una moratoria sobre estos sistemas, considerados de “alto riesgo”.
El estado de alarma declarado en marzo del 2020 por la pandemia de coronavirus aceleró la posibilidad de implementar estas técnicas, tanto para identificar a los estudiantes como para verificar sus conocimientos, dado que todas las actividades docentes se trasladaron a entornos online.
En su resolución, la agencia de protección de datos declara que esa situación no puede servir de excusa para dejar de respetar los derechos de protección de los ciudadanos, sin un análisis riguroso de los riesgos en los que se puede incurrir, máxime cuando existen otros medios que ya se utilizan.
La Agencia envía un requerimiento de información a Canarias y Galicia con el fin de comprobar la licitud del tratamiento de datos personales.
La Agencia Española de Protección de Datos (AEPD) ha tenido constancia de la proliferación de varias iniciativas públicas que generalizan la utilización del certificado de vacunación para acceder a diversos establecimientos. En este sentido, la Agencia ha enviado un requerimiento de información a las Consejerías de Sanidad de las comunidades autónomas de Canarias y Galicia con el objetivo de comprobar la licitud del tratamiento de datos personales.
Las autoridades europeas de protección de datos hemos expresado nuestra preocupación por la utilización de certificados dentro de los Estados para finalidades tales como el acceso a tiendas, restaurantes o gimnasios, así como su uso en otros contextos como el laboral.
La utilización para estos fines de certificados acreditativos de la situación sanitaria en relación con la COVID-19 implica la necesidad de contar con una base legal apropiada que se ajuste a los principios de eficacia, necesidad y proporcionalidad, atendiendo a la existencia de otras medidas de protección que puedan resultar menos invasivas, evitando efectos discriminatorios y estableciendo las garantías adecuadas. En ese sentido, debe tenerse en cuenta que la vacunación no es obligatoria, que hay colectivos que no pueden recibir la vacuna por razones médicas o de otro tipo y que, en último extremo, el proceso de vacunación se basa en unos criterios de priorización que suponen que parte de la población aún no haya podido acceder a la vacuna.
La gama de dispositivos IoT domóticos está evolucionando constantemente. De forma continua surgen nuevos productos orientados a proporcionar servicios más confortables en el hogar, que pueden manejarse desde Apps instalas en dispositivos móviles o integrados en asistentes de voz.
El IoT supone una evolución de la domótica tradicional, en la que los dispositivos incorporan una capa de inteligencia y conectividad que permite que se adapten mejor a las necesidades domésticas. Algunos ejemplos son persianas motorizadas, sensores de temperatura y humedad, controladores de climatización, bombillas inteligentes, cerraduras electrónicas, interruptores o centralitas de alarma.
La mayoría de estos dispositivos están diseñados para que su gestión o uso precise conectividad a Internet y acceso a servicios en la nube. Los riesgos para la privacidad que se derivan van más allá de los problemas de seguridad. Este modelo de IoT supone la comunicación y gestión de datos personales por terceros, y el tratamiento de datos personales adicionales, como son metadatos de comunicación.
Un dispositivo IoT genera una gran cantidad de datos que son enviados y tratados por distintos servicios en Internet para satisfacer las solicitudes de los usuarios. Sin embargo, podrían utilizarse para muchas otras finalidades, como por ejemplo la elaboración de perfiles de comportamiento. De esta forma, el riesgo para los ciudadanos es mayor cuanto mayor es el número de servicios que tratan estos datos personales. Es más, la integración de dispositivos de distintos fabricantes podría aumentar dicho riesgo, por ejemplo, cuando se ha de utilizar una App distinta en la que hay que registrarse para cada fabricante.
Un ejemplo de materialización del riesgo, en este caso debido a una brecha de seguridad, ocurrió en 2016 cuando se produjo el ataque DDoS más dañino de la historia debido a la falta de actualizaciones de seguridad en estos dispositivos. Otros ejemplos podrían ser el secuestro de los dispositivos del hogar y su control por parte de terceros o las brechas de datos personales.
Dispositivos como mirillas o cerraduras que se controlan desde Apps instaladas en móviles implica el tratamiento de imágenes, vídeo, audio e información sobre los hábitos de las personas. Esta información, junto con otros datos de las personas, puede utilizarse para la generación de perfiles y diversas finalidades adicionales.
Los dispositivos inteligentes implementan distintas formas de conectividad. Las más habituales son:
Conexión distribuida: los dispositivos se conectan directamente a un router wifi, que realiza la función de gateway hacia la nube del fabricante, gestionado mediante su propia App. La conexión es individual, utilizando protocolos como HTTP o HTTPS. Ejemplos de estos dispositivos suelen ser las cámaras IP, algunos enchufes inteligentes o mirillas electrónicas.
Conexión centralizada: los dispositivos se conectan a través de un hub o gateway que centraliza las comunicaciones, siendo dicho hub el único dispositivo que se conecta a Internet directamente. En este caso las comunicaciones suelen utilizar protocolos inalámbricos específicos de domótica como Zigbee y Z-wave, y en menor medida Bluetooth.
IoT III (blog)- Conexión distribuida
IoT III (blog)- Conexión centralizada
Dada la diversidad de opciones disponibles, es habitual que en una misma vivienda se incorporen dispositivos de diferentes fabricantes, lo que produce una mezcla heterogénea de las configuraciones anteriores.
En un futuro inmediato se espera la adopción masiva de dispositivos IoT conectados, a través de 5G, a la nube del fabricante, y a la que se deberá acceder a través de una App. Esta nueva forma de conectar los dispositivos IoT podría suponer nuevos riesgos para la privacidad de las personas. Puede obtener más información sobre los riesgos de 5G en la Nota Técnica: Introducción a las tecnologías 5G y sus riesgos para la privacidad.
IoT III (blog)- Conexión IoT a través de 5G
A nivel de comunicaciones internas en los dispositivos domóticos, tanto Zigbee como Z-Wave son los estándares más utilizados por los diferentes fabricantes, incluso algunos dispositivos incorporan ambas tecnologías. Estos protocolos también suelen estar incluidos como una funcionalidad en altavoces inteligentes o SmartTVs permitiendo su integración completa con el resto de dispositivos IoT del hogar. Zigbee y Zwave cuentan con bastantes años de uso y evolución, pero no están libres de vulnerabilidades, malas implementaciones o configuraciones.
Zigbee es un estándar abierto ideado para que los dispositivos consuman poca energía. Dicho estándar Minimiza los envíos de información, pasando la mayoría del tiempo en estado latente captando datos, y permite disponer de hasta 65.000 dispositivos como sensores de temperatura, de puertas o ventanas que con una simple pila de botón puede dar servicio durante años. También existen otros dispositivos como enchufes inteligentes, motores de puertas o bombillas que utilizan este protocolo a través de la red eléctrica. Los dispositivos de nuestro hogar conforman una red Zigbee. Opera a 2,4GHz intercambiando información con el gateway. La cobertura inalámbrica es de hasta 20 metros. Además, los dispositivos conectados a la red eléctrica funcionan como repetidores para los dispositivos de batería.
Z-Wave es un estándar propietario similar a Zigbee. Algunas diferencias son el número de dispositivos en una red que pasa a 232, la frecuencia para Europa es 868MHz y la cobertura inalámbrica es de hasta 100 metros de distancia. También cuenta con una arquitectura en la que los dispositivos enchufados a la red eléctrica dan servicio a los dispositivos de batería.
Es importante que las personas tomen conciencia de que los dispositivos inteligentes son algo más que un electrodoméstico tradicional. Van a interactuar en la realización de las labores cotidianas de las personas realizando un gran número de tratamientos de datos. A la hora de adquirirlos debe adoptarse una actitud crítica y exigente hacia las garantías de privacidad. El criterio de selección no solo ha de basarse en el precio o las características principales que se ofertan. El usuario debe comprobar que ofrezcan las suficientes garantías sobre sus datos personales.
Los fabricantes y desarrolladores deben aplicar medidas de protección de datos por defecto y desde el diseño. Los tratamientos que realicen deben ser de acuerdo con los principios del RGPD, prestando especial atención a la seguridad de los tratamientos, las posibles transferencias internacionales de datos, la transparencia en las finalidades para las que se tratarán los datos personales, la elaboración de perfiles y las decisiones automáticas individualizadas. En particular, debe evitarse el uso de protocolos que utilizan claves de cifrado por defecto, y que son públicas, o la posibilidad de añadir dispositivos a la red de forma automática, sin control del interesado.
Puede ampliar información sobre protección de datos y privacidad en Internet en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:
La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, ha presentado hoy la iniciativa ‘Lo paras o lo pasas’, un proyecto para difundir la utilización del Canal prioritario de la Agencia para denunciar la publicación de contenido sexual o violento en Internet sin el consentimiento de las personas.
Con esta iniciativa la Agencia se dirige a todas las personas que en algún momento pueden ver publicado un contenido de este tipo, aunque inicialmente no lo grabasen ellos. Al ver ese vídeo o fotografía cada persona debe decidir qué hacer: si se convierte en cómplice o si va a actuar para parar la cadena. El objetivo es transmitir que todos podemos denunciar ante la Agencia la publicación de ese tipo de contenidos en páginas web y que no sólo tiene una responsabilidad la persona que inicialmente decide publicar un contenido de carácter sexual o violento sin el permiso de la persona que aparece en las imágenes sino todos aquellos que contribuyen a su difusión a través de diferentes vías. En el caso de que las imágenes sensibles se hayan subido a alguna red social o estén públicamente accesibles en un sitio web, los ciudadanos pueden acudir al canal.
Para llevar a cabo la difusión de #LoParasOLoPasas la Agencia Española de Protección de Datos ha contado con la colaboración de Ana Milán (Twitter e Instagram), que ha planteado en sus redes sociales qué harían sus seguidores si reciben un vídeo de carácter sexual grabado sin el consentimiento de la mujer que aparece en el mismo. La actriz reflexiona sobre la importancia y el poder que tiene cada persona en ese momento para poner freno a ese contenido: “Eres la solución o eres cómplice”.
La iniciativa ‘Lo paras o lo pasas’ forma parte del Pacto Digital para la Protección de las Personas, un proyecto para fomentar la protección de datos y el uso responsable de las nuevas tecnologías en el que las entidades adheridas, más de 200 en este momento, se comprometen a difundir entre sus usuarios, clientes y empleados el Canal prioritario.
Durante el año 2020 la AEPD ha recibido 358 peticiones de retirada de contenidos sexuales o violentos a través del Canal Prioritario. Tras su análisis se han tramitado como urgentes casi medio centenar de estas peticiones por encontrarse dentro de los objetivos de este Canal, solicitando en 29 de estos casos la retirada urgente de los contenidos a los proveedores de servicios, que era lo que solicitaba el denunciante. Entre los casos más frecuentes resueltos por la Agencia se encuentra la difusión de vídeos o fotografías de carácter sexual grabadas inicialmente con el consentimiento de la mujer que aparece en ellos pero difundidas sin su permiso a través de páginas pornográficas, contenidos sexuales grabados sin consentimiento y difundidos posteriormente, la grabación de agresiones y humillaciones a menores de edad y personas LGTBIQ+ y la publicación de perfiles falsos en páginas web pornográficas utilizando la imagen real y el número de teléfono de mujeres sin su consentimiento. De hecho, en algunos de los casos, las mujeres afectadas no son conscientes de que esos contenidos se están difundiendo hasta que alguien cercano las avisa de ello. El porcentaje de efectividad del Canal Prioritario en la retirada de estos contenidos se situó en torno al 86% tras el envío de la medida cautelar a las páginas que lo alojan. En general, la retirada de contenidos se produce en un plazo de 72 horas cuando el responsable de la plataforma se encuentra en España.
Por otro lado, la Agencia tiene abiertos en este momento 19 actuaciones previas de investigación y 3 procedimientos sancionadores contra los responsables de haber subido este tipo de contenidos a la Red o de haber creado los perfiles falsos.
Acerca del Canal prioritario
El Canal prioritario ofrece una vía rápida y gratuita para denunciar la publicación en Internet de contenidos sexuales o violentos difundidos sin el permiso de las personas que aparecen en ellos, en particular, en casos de acoso a menores o violencia sexual contra las mujeres pero también en situaciones de violencia digital de todo tipo. Además, esta denuncia es independiente de las que puedan plantearse ante las Fuerzas y Cuerpos de Seguridad del Estado o la Fiscalía.
La Agencia, como autoridad independiente, puede adoptar medidas urgentes para limitar la difusión y el acceso a los datos personales. Tras el análisis de la denuncia (que puede ser realizada tanto por la víctima como por un tercero), la Agencia puede determinar la adopción de medidas cautelares para evitar la continuidad del tratamiento ilegítimo en casos particularmente graves. Al tiempo, la Agencia también valora la apertura de un procedimiento sancionador contra los responsables de haber realizado el tratamiento ilegítimo.
La denuncia de fotografías, vídeos o audios de contenido sexual o violento difundidos en Internet sin el consentimiento de las personas afectadas puede realizarse a través de este enlace
En el caso de los menores de 18 años, la Agencia también ha habilitado una forma de contacto para denunciar la difusión de este tipo de contenidos
Este 18 de mayo de 2021, la Agencia Española de Protección de Datos ha publicado una Guía sobre protección de datos y relaciones laborales.
La guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo como de la patronal y organizaciones sindicales
El documento aborda cuestiones que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales, los sistemas internos de denuncias, el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control
La Guía persigue el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales.
La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control.
El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral. Aborda también el principio de minimización, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras. Además de los deberes de secreto y seguridad (que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos), el documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal.
En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.
En cuanto a los sistemas internos de denuncias o whistleblowing, la Agencia considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial. La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.
En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica.
La guía también incorpora una novedad relevante sobre el derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos.
Otro de los aspectos que aborda el documento es la difusión de las ayudas concedidas por acción social, especificando que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos con discapacidad) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado.
La guía ‘Protección de datos y relaciones laborales’ también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y determina que sus datos personales y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, recoge que deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora.
La Agencia también aborda en la guía la tecnología wearable. La AEPD indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, a menos que esté establecida por ley o reglamentariamente, dado que no se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales, supone el tratamiento de una categoría especial de datos (salud) sin una base jurídica, no cuenta con una finalidad legítima y vulnera el principio de proporcionalidad, dado que conlleva una monitorización permanente y permitiría al empleador acceder a datos de salud específicos, y no exclusivamente a la valoración sobre la aptitud para desempeñar el trabajo.
La Sala de lo Contencioso-administrativo del Tribunal Supremo ha aclarado, en una reciente sentencia, que el cargo de representante sindical no puede servir de excusa para acceder a todo tipo de documentación laboral. Confirma la denegación del acceso a datos como el inicio de la prestación del servicio de un grupo de facultativos, los nombramientos por «acúmulo de tareas» o las sustituciones de personal.
En el fallo, de 9 de febrero de 2021, puede consultar la sentencia en este enlace: https://www.poderjudicial.es/search/AN/openDocument/94d7fea2394e6481/20210223. El alto tribunal delimita el alcance de la protección como datos personales de los datos profesionales. En concreto, cuando un representante sindical solicita acceder a dicha información, en base a la función sindical. La mera invocación, sin justificación alguna, de la representación sindical, no puede servir de excusa para acceder a todo tipo de documentación, apunta la Sala.
Para el Tribunal, el derecho fundamental a la protección de datos se refiere a cualquier dato de la persona en las esferas en las que se desenvuelve.El concepto de «dato» que establece el art. 3.a) de la LOPD, abarca «cualquier información concerniente a personas físicas identificadas o identificables», y dentro de ésta, también alcanza a los datos profesionales.
La protección de datos no se reduce a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros puede afectar a sus derechos, sean fundamentales o no, porque su objeto, según subraya la sentencia, no es sólo la intimidad individual.
Una vez sentado lo anterior y definido el alcance de los datos protegidos, la mera invocación, sin justificación alguna, de la representación sindical, no puede servir de excusa para acceder a todo tipo de documentación, porque acceder a la información supondría vaciar el contenido del derecho fundamental a la protección de datos, cuando el titular de los mismos ignore el uso que se hace de sus datos, perdiendo su poder de disposición, en supuestos en los que no se justifica la concurrencia de alguna de las excepciones legalmente establecidas.
En la petición, cuando se solicita la documentación e información, no se ofrece ninguna explicación, ni se hace ninguna referencia o mención, sobre su posible utilidad para el cumplimiento de las tareas sindicales. Tampoco se intenta vincular su solicitud de datos con las tareas legalmente atribuidas a los representantes sindicales, por lo que no se han justificado las razones por las que, para el ejercicio de su función sindical, resultaba necesario, relevante, o simplemente conveniente, que se procediera a un volcado masivo e indiscriminado de datos personales.
Por todo ello, el Alto Tribunal confirma la inexistencia de una vulneración del derecho a la libertad sindical consistente en la denegación de la información solicitada, que sólo podrá facilitarse conforme a las prescripciones de la LOPD (LO 15/1999).
Fuente: Agencia Española de Protección de Datos
Los vídeos detallan paso a paso cómo configurar la privacidad en Android, iOS, Firefox, Twitter, Facebook, Instagram y Whatsapp, añadiendo como novedades los navegadores Chrome y Edge, la app Telegram y la red social Tik Tok
Las nuevas tecnologías constituyen un elemento imprescindible en la vida diaria de millones de personas. El 64,7% de la población de 16 a 74 años utiliza redes sociales como Instagram, Facebook, Twitter o YouTube, según datos de 2020 de la ‘Encuesta sobre Equipamiento y Uso de Tecnologías de Información y Comunicación en los Hogares’ del INE. Sin embargo, no todas las personas son conscientes de las opciones de privacidad que se ofrecen por defecto y qué pasos deben seguir si desean cambiarlas.
La Agencia, que ya contaba con una sección de videotutoriales para ayudar a los usuarios de estos servicios a modificar las opciones de privacidad, ha actualizado su repertorio de vídeos de los sistemas operativos Android e iOS; el navegador web Firefox; las redes sociales Facebook, Instagram y Twitter y la aplicación de mensajería instantánea WhatsApp. Asimismo, ha incorporado nuevos vídeos, como los de los navegadores Chrome y Edge, la aplicación de mensajería instantánea Telegram y la red social Tik Tok.
Los vídeos se inician con una breve introducción explicando qué es y para qué se utiliza cada servicio. A continuación, realizan un detallado repaso que guía a los usuarios paso a paso a través de las opciones de configuración de privacidad y seguridad de cada uno de estos servicios, ofreciendo recomendaciones para optar por el mayor grado de privacidad posible.
Cambiar los ajustes para que sólo nuestros contactos puedan ver nuestra foto de perfil o inhabilitar la hora de nuestra última conexión en WhatsApp; administrar quién puede ver la actividad de nuestro perfil en Facebook y de qué manera pueden encontrarnos y ponerse en contacto con nosotros el resto de usuarios; o activar la opción ‘cuenta privada’ en Tik Tok para que sólo los usuarios que aprobemos puedan seguirnos y ver los vídeos que publicamos son algunas de las opciones que se abordan en los vídeos.
Fuente: Comisión Europea
La Comisión ha puesto en marcha hoy el procedimiento para la adopción de dos decisiones de adecuación para las transferencias de datos personales al Reino Unido, una, al amparo del Reglamento general de protección de datos (RGPD) y otra para la Directiva sobre protección de datos en el ámbito penal. La publicación de los proyectos de decisión marca el inicio del procedimiento para su adopción. Esto supone la obtención de un dictamen del Comité Europeo de Protección de Datos (CEPD) y la aprobación de un comité compuesto por representantes de los Estados miembros de la UE. Una vez finalizado este procedimiento, la Comisión podrá adoptar las dos decisiones de adecuación.
En los últimos meses, la Comisión ha evaluado detenidamente la legislación y la práctica del Reino Unido en materia de protección de datos personales, incluidas las normas sobre el acceso por parte de las autoridades públicas. Ha concluido que el Reino Unido dispone de un nivel de protección esencialmente equivalente al garantizado en virtud del Reglamento general de protección de datos (RGPD) y, por primera vez, de la Directiva sobre protección de datos en el ámbito penal.
Věra Jourová, vicepresidenta responsable de Valores y Transparencia, ha declarado: «Garantizar la libre y segura circulación de datos personales es crucial para las empresas y los ciudadanos de ambos lados del Canal. El Reino Unido ha abandonado la UE, pero no la familia europea de privacidad. Al mismo tiempo, debemos asegurarnos de que nuestra decisión se adapte al paso del tiempo. Por ello tenemos la intención de incluir en nuestras decisiones de adecuación mecanismos claros y estrictos en términos tanto de supervisión como de revisión, suspensión o retirada de tales decisiones, a fin de abordar cualquier cambio problemático del sistema británico una vez que se conceda la adecuación».
Por su parte, Didier Reynders, comisario de Justicia, ha declarado: «Un flujo de datos seguros entre la UE y el Reino Unido es crucial para mantener estrechos lazos comerciales y cooperar eficazmente en la lucha contra la delincuencia. Hoy ponemos en marcha el procedimiento a tal efecto. Hemos comprobado exhaustivamente el sistema de privacidad que se aplica en el Reino Unido después de haber abandonado la UE. Ahora las autoridades europeas de protección de datos examinarán detalladamente los proyectos de textos. El derecho fundamental de los ciudadanos de la UE a la protección de datos nunca debe verse comprometido al cruzar el Canal de la Mancha. Las decisiones de adecuación, una vez adoptadas, garantizarán precisamente esto».
En comparación con otros países no pertenecientes a la UE en los que la convergencia se desarrolla a través del proceso de adecuación entre sistemas a menudo divergentes, el Derecho de la UE ha conformado el régimen de protección de datos del Reino Unido durante decenios. Al mismo tiempo, es esencial que las conclusiones sobre la adecuación sean aplicables en el futuro, dado que el Reino Unido dejará de estar sujeto a las normas de privacidad de la UE. Por lo tanto, una vez adoptados estos proyectos, las decisiones serán válidas durante un primer período de cuatro años. Transcurridos cuatro años, será posible renovar las conclusiones sobre la adecuación si el nivel de protección en el Reino Unido sigue siendo adecuado.
Hasta entonces, los flujos de datos entre el Espacio Económico Europeo y el Reino Unido continúan y siguen siendo seguros gracias a un régimen provisional condicional previsto en el Acuerdo de Comercio y Cooperación entre la UE y el Reino Unido.. Este período provisional vence el 30 de junio de 2021.
Etapas siguientes
Tras tener en cuenta los dictámenes del Comité Europeo de Protección de Datos, la Comisión Europea solicitará la luz verde de los representantes de los Estados miembros mediante el denominado procedimiento de comitología. A continuación, la Comisión podrá adoptar las decisiones definitivas de adecuación para el Reino Unido.
Contexto
El artículo 45, apartado 3, del RGPD y el artículo 36, apartado 3, de la Directiva otorgan a la Comisión la facultad de decidir, mediante un acto de ejecución, que un país no perteneciente a la UE garantiza «un nivel de protección adecuado», es decir, un nivel de protección de los datos personales esencialmente equivalente al existente en la UE. Si se considera que dicho país es «adecuado», las transferencias de datos personales al mismo pueden tener lugar sin estar sujetas a ninguna otra condición.
En el Reino Unido, el tratamiento de datos se rige por el denominado «RGPD del Reino Unido» y la Ley de Protección de Datos de 2018, que se basan en el RGPD de la UE y en la Directiva. Ofrecen garantías, derechos individuales, obligaciones para los responsables y encargados del tratamiento, normas sobre transferencias internacionales, sistemas de supervisión y vías de recurso que son similares a los que ofrece el Derecho de la UE. Los proyectos de decisión también incluyen una evaluación detallada de las condiciones y limitaciones, así como los mecanismos de supervisión y las vías de recurso aplicables en caso de acceso a los datos por parte de las autoridades públicas del Reino Unido, en particular con fines policiales y de seguridad nacional.
También cabe señalar que el Reino Unido es, y se ha comprometido a seguir siendo, parte del Convenio Europeo de Derechos Humanos y del «Convenio 108» del Consejo de Europa, el único instrumento multilateral vinculante sobre protección de datos. Esto significa que, aunque ha abandonado la UE, el Reino Unido sigue siendo miembro de la «familia de privacidad» europea. La adhesión continuada a dichos convenios internacionales reviste especial importancia para la estabilidad y la durabilidad de los resultados de adecuación propuestos.
Los proyectos de decisiones de adecuación enviados hoy al CEPD se refieren al flujo de datos de la UE al Reino Unido. Los flujos de datos en la otra dirección (del Reino Unido a la UE) están regulados por la legislación británica, que se aplica desde el 1 de enero de 2021. El Reino Unido decidió que la UE garantiza un nivel adecuado de protección y que, por lo tanto, los datos pueden circular libremente desde el Reino Unido hacia la UE.
