Blog

¿Podríamos difundir la identificación de un trabajador/a afectado por el COVID-19?

A lo largo de la evolución de la pandemia originada por el Covid-19 han surgido muchas dudas acerca del tratamiento de los datos personales relacionados con la salud de los trabajadores/as de las empresas.

El responsable de la entidad, en aplicación de la normativa de prevención de riesgos laborales, debe garantizar la seguridad y la salud de su centro de trabajo, para ello aplicará las medidas adecuadas al nivel de riesgo de su entidad, que vengan determinadas por los servicios de prevención de riesgos laborales y de la salud. En el caso de que uno de los trabajadores/as estuviera afectado por el virus, su identificación personal, solamente se realizará a las autoridades competentes, en concreto a las sanitarias.

La AEPD, en su apartado de consultas frecuentes, indica que en el caso de que no sea posible cumplir con el objetivo de garantizar la seguridad en el centro de trabajo sin identificar al afectado/a, se podrá proporcionar esa información identificativa.

Por otro lado, el personal laboral que se encuentre en alguna de estas situaciones, que presenten síntomas compatibles con Covid-19 o estén en aislamiento domiciliario o bien hayan tenido contacto estrecho con alguna persona infectada, deberán ponerlo en conocimiento del responsable.

La AEPD analiza por primera vez el cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria

(Madrid, 1 de junio de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado el ‘Plan de Inspección de oficio de la atención sociosanitaria’, que analiza por primera vez los tratamientos que se llevan a cabo en este ámbito e investiga su adecuación a la normativa de protección de datos.

Las inspecciones de oficio que realiza la Agencia en distintos sectores o áreas específicas no tienen carácter sancionador sino preventivo y se llevan a cabo para obtener una visión integral que permita detectar deficiencias y realizar las oportunas recomendaciones. La finalidad de estas inspecciones es elevar el nivel de protección de los ciudadanos a través del análisis de los datos que manejan las organizaciones.

El plan contiene conclusiones respecto del cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), así como recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para una correcta aplicación de la normativa. También incluye un decálogo que resume las principales conclusiones y un grupo de preguntas y respuestas frecuentes con las dudas recogidas durante su ejecución.

Entre las conclusiones más relevantes se encuentran las referidas a la información que se debe ofrecer al usuario de estos servicios, que preferiblemente será por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información. Por ejemplo, la primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, en los que se podrían incluir referencias a otras capas de información más detallada.

Durante las auditorías se detectaron problemas relacionados con la identificación por parte de los responsables de las bases jurídicas que amparan los tratamientos, por lo que la Agencia recuerda que para cada actividad de tratamiento realizada hay que identificar su base jurídica.

El apartado de preguntas frecuentes da respuesta a otras dudas surgidas en el contexto de la actividad de la atención sociosanitaria, por ejemplo, si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.

¿Es legal publicar en un tablón de la empresa un listado de productividad de los empleados/as?

La consulta es planteada a la AEPD https://www.aepd.es/es/documento/2018-0183.pdf por una entidad que se dedica a la comercialización de productos derivados del cerdo ibérico puro (con un alto valor económico).El responsable de la empresa pretende publicar semanalmente en el tablón de anuncios existentes en la sala de deshuesado, la productividad de cada persona según el número de sobres de jamón/paleta loncheado que hayan realizado.

Al final de mes el Departamento de Recursos Humanos pagará una prima de productividad. El objetivo de la publicación es generar una competitividad sana entre los empleados/as y, además, transparencia en la obtención de la prima.

Ante este planteamiento, la AEPD estima que la publicación de esos datos que consiste en el número de matrícula (dato conocido por el propio trabajador/a y el Departamento de Recursos Humanos) estaría legitimado en el interés legítimo del responsable (art.6.1. f del RGPD), que consiste en generar una competitividad sana que ayude a mejorar la productividad general. También hace referencia al interés legítimo del personal laboral, puesto que pueden conocer su propio rendimiento y se garantiza la transparencia en la obtención de la prima económica. La AEPD da unas pautas para su publicación recomendando que se haga solamente en el tablón de anuncios de la Sala en la que se desarrolla la actividad laboral.

Primera sanción por no tener nombrado un Delegado de Protección de Datos

En el reciente procedimiento sancionador https://www.aepd.es/es/documento/ps-00417-2019.pdf instruido por la AEPD, se sanciona a la entidad GLOVOAPP23, (en adelante el reclamado) por no tener designado un Delegado de Protección de Datos (en adelante DPD).

Está aumentando la conciencia de los usuarios respecto de la protección de sus datos personales, cada vez se preocupan más por conocer qué hacen los responsables con sus datos y cómo ejercer sus derechos reconocidos en el RGPD y LOPDGDD. Este es el caso de dos reclamantes que se dirigieron a la AEPD para poner en su conocimiento, que la entidad GLOVO no tenía nombrado un DPD al que dirigir las reclamaciones.

La AEPD en virtud de su potestad investigadora solicitó a la reclamada que presentara las alegaciones oportunas. La entidad, en su escrito de contestación a la reclamación, alegaba que había constituido un Comité de Protección de Datos que realizaba las funciones propias de un DPD, además, indicaba en ese escrito, que su actividad no estaba incluida dentro de los supuestos de designación obligatoria de DPD.

Finalmente, la AEPD determina en su resolución que la reclamada está obligada a nombrar un DPD, puesto que lleva a cabo un tratamiento de datos habitual y sistemático de interesados, considerado a gran escala. Es la primera sanción de este tipo y alcanza la cuantía de 25.000 euros.

Las auditorías de protección de datos

Una de las principales características de la aplicación del RGPD es que es el propio responsable, mediante un minucioso análisis de riesgos, el que determina cuáles son las medidas técnicas y organizativas más apropiadas para el tratamiento que se lleva a cabo en su entidad.

En el art.32 del RGPD se indican como mínimo algunas de las medidas que se deben aplicar para garantizar la confidencialidad, disponibilidad e integridad de la información. En concreto, se menciona a la auditoría de protección de datos como “un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.

En la anterior normativa se establecía un plazo para su realización dependiendo del nivel de seguridad bajo, medio o alto. En la actualidad como estos plazos no se encuentran regulados por la ley, será el responsable el que en función del análisis de riesgos establezca la periodicidad para su realización.

No solamente será obligación del responsable, también el encargado del tratamiento. Este tiene que poner a disposición del responsable para permitirle la realización de auditorías, incluidas las inspecciones, por parte del responsable o auditor autorizado.

La AEPD publica un estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos

Madrid, 7 de mayo de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado un análisis preliminar de algunas tecnologías ya puestas en marcha, o cuya implementación se está valorando en la lucha contra el coronavirus, examinando la relación entre los posibles beneficios para el control de la pandemia y los riesgos para la privacidad. En el documento, la Agencia pone de manifiesto que nos encontramos en un punto de inflexión crítico, no solo debido a la situación de pandemia, sino en relación con nuestro modelo de derechos y libertades.

La AEPD recuerda que la utilización de la tecnología no puede ser entendida de forma aislada, sino en el marco de un tratamiento de datos personales con un propósito claramente definido. En la medida en que este propósito debe ser para la lucha efectiva contra la COVID-19, el tratamiento ha de implementar una estrategia coherente basada en evidencias científicas, evaluando su proporcionalidad en relación con su eficacia, eficiencia y teniendo en cuenta de forma objetiva los recursos organizativos y materiales necesarios. En todo caso, la utilización de estas tecnologías debe realizarse en el marco de los criterios establecidos por las autoridades sanitarias y, en particular, del Ministerio de Sanidad. Además, como en cualquier tratamiento de datos personales, deben cumplirse los principios establecidos en el Reglamento General de Protección de Datos (RGPD).

El informe está centrado en siete tecnologías: geolocalización mediante la información recogida por los operadores de telecomunicaciones; geolocalización de los móviles a partir de redes sociales; apps, webs y chatbots para auto-test o cita previa; apps de información voluntaria de contagios; apps de seguimiento de contactos por Bluetooth; pasaportes de inmunidad y cámaras infrarrojas.

En cuanto a las apps de seguimiento de contactos por Bluetooth, el informe detalla que los riesgos para la privacidad provienen, entre otros, de la posible realización de mapas de relaciones entre personas, la reidentificación por localización implícita, la recogida de datos de terceros o la fragilidad de los protocolos a la hora de intercambiar información. Cuanto mayor sea el tratamiento que se realice en un servidor que recoja los datos de los usuarios, menos control tienen éstos sobre sus propios datos, por lo que las soluciones centralizadas siempre parecen menos respetuosas con la privacidad que las distribuidas. La posibilidad de que, debido a la acumulación de los datos de forma centralizada, se produjese un abuso, se ampliaran los propósitos del tratamiento o se sufriera una quiebra de seguridad son otras de las amenazas.

Preocupación por la AEPD de la toma de temperatura en comercios y centros de trabajo

Recientemente la AEPD ha emitido un comunicado https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-aepd-temperatura-establecimientos

En este comunicado, la AEPD manifiesta su preocupación por las prácticas que se están llevando a cabo en algunos establecimientos y centros de trabajo. Estas medidas suponen un tratamiento de datos personales y por lo tanto una intrusión a los derechos de los afectados. El valor de la temperatura corporal es un dato de salud en sí mismo, y, además, a partir de él, se asumirá que una persona padezca o no una concreta enfermedad, en este caso la infección por coronavirus.

La AEPD determina también que dependiendo del contexto en el que se aplique la posible denegación del derecho de acceso puede suponer un importante impacto para el afectado.

La aplicación de la toma de temperatura a través de cualquier proceso, incluidas las cámaras térmicas, requieren de unos criterios previos del Ministerio de Sanidad, que, a fecha de hoy, no se han publicado.

Por otro lado, dependiendo del tipo de tecnología que se pudiera emplear, como es el caso de las cámaras térmicas que también graban imágenes, se tendrían que tener en consideración otros aspectos, tales como, la aplicación de los principios de limitación, finalidad, minimización de datos.

Sancionado un establecimiento de ropa por difusión ilícita de las imágenes captadas por su sistema de videovigilancia

La AEPD ha sancionado al BAZAR SUSANA en adelante el reclamado por haber difundido las imágenes de un funcionario público recogidas en su sistema de videovigilancia. https://www.aepd.es/es/documento/ps-00360-2019.pdf

La reclamación interpuesta por la D.G. DE LA GUARDIA CIVIL-PAFIF DE COSTA TEGUISE (reclamante) alude a que D.BBB interpuso una reclamación contra el Bazar SUSANA por difusión de su imagen a través de Whatsapp. Las imágenes son grabadas por las cámaras de seguridad del citado establecimiento mientras D.BBB estaba llevando a cabo labores de Peritaje Judicial en Patentes y Marcas acompañando a la Guardia Civil.

La AEPD tras las investigaciones oportunas constata que las imágenes difundidas se han obtenido del disco duro donde estaban almacenadas.  Se ha incurrido en un incumplimiento del art. 5.1f del RGPD, puesto que se ha cometido un acceso ilícito a las imágenes procediendo a compartirlas en la red social sin causa justificada. La sanción se agrava teniendo en cuenta la intencionalidad del reclamante, ya que con esa difusión pretendía identificar a D.BBB en sus funciones de peritaje de productos que podrían ser falsificaciones.

En el informe se indica también la ausencia de un cartel informativo. Este hecho es subsanado a lo largo del procedimiento. La sanción económica impuesta al establecimiento ascendió a 4.000 euros.

Cumplir con las medidas de seguridad del tratamiento

El tratamiento de los datos personales de las personas físicas a las que se aplica el RGPD requiere que se haga con unas medidas técnicas y organizativas que garanticen una adecuada seguridad incluyendo la confidencialidad de los datos.

A lo largo de la lectura del RGPD y de sus considerandos, encontramos muchas referencias a esa obligación, por parte del responsable, de mantener la seguridad aplicando medidas técnicas y organizativas adecuadas. Ahora cabe preguntarse, cómo puede conocer la entidad cuáles son esas medidas.

Lo primero que se tiene que realizar es un exhaustivo análisis de los riesgos que ese tratamiento puede ocasionar. Para ello tenemos que definir los activos involucrados en el proceso de tratamiento de datos, sus vulnerabilidades y las amenazas a las que se encuentran expuestos. El responsable tiene que aplicar unas medidas adecuadas, según el resultado de la probabilidad de que ocurran las amenazas y el daño que producirían.

En el art.32 del RGPD se recoge un listado de medidas que han de aplicarse. La seudonimización, el cifrado de datos personales, una evaluación periódica de la eficacia de las medidas y la capacidad de garantizar la confidencialidad y recuperación de los datos, entre otras.

¿Tienen los responsables que seguir notificando a la AEPD las brechas de seguridad durante el estado de alarma?

Recientemente se publicaba en nuestro País el Real Decreto 463/2020 que establecía en España el estado de alarma para combatir la situación de Pandemia originada por el COVID-19. En la disposición adicional tercera de este decreto, se indica lo siguiente “se suspenden términos y se interrumpen los plazos para la tramitación de los procedimientos de las entidades del sector público”.

¿Se supone entonces que los responsables y encargados del tratamiento de datos tienen que suspender las comunicaciones de brechas de seguridad ocurridas durante este plazo de tiempo?

La respuesta sería negativa. En este caso en concreto no afecta esa suspensión. Al contrario, es ahora más que nunca, cuando las entidades deben de mostrar su lado más proactivo y poner todos los medios que tengan a su alcance para hacer frente a los peligros y amenazas que puedan ocasionar ciberataques en nuestra entidad. Según la AEPD, las notificaciones de las brechas de seguridad proporcionan información que permiten a las Autoridades de Control y los ciudadanos aplicar las medidas necesarias, generando confianza en el uso de la nuevas tecnologías y seguridad de la información.

En el caso de que la brecha de seguridad no cumpla los criterios para su notificación a la AEPD tenemos que registrarla en el registro de incidencias y aplicar las medidas que sean necesarias.