Blog

La consulta es planteada a la AEPD https://www.aepd.es/es/documento/2018-0183.pdf por una entidad que se dedica a la comercialización de productos derivados del cerdo ibérico puro (con un alto valor económico).El responsable de la empresa pretende publicar semanalmente en el tablón de anuncios existentes en la sala de deshuesado, la productividad de cada persona según el número de sobres de jamón/paleta loncheado que hayan realizado.

Al final de mes el Departamento de Recursos Humanos pagará una prima de productividad. El objetivo de la publicación es generar una competitividad sana entre los empleados/as y, además, transparencia en la obtención de la prima.

Ante este planteamiento, la AEPD estima que la publicación de esos datos que consiste en el número de matrícula (dato conocido por el propio trabajador/a y el Departamento de Recursos Humanos) estaría legitimado en el interés legítimo del responsable (art.6.1. f del RGPD), que consiste en generar una competitividad sana que ayude a mejorar la productividad general. También hace referencia al interés legítimo del personal laboral, puesto que pueden conocer su propio rendimiento y se garantiza la transparencia en la obtención de la prima económica. La AEPD da unas pautas para su publicación recomendando que se haga solamente en el tablón de anuncios de la Sala en la que se desarrolla la actividad laboral.

En el reciente procedimiento sancionador https://www.aepd.es/es/documento/ps-00417-2019.pdf instruido por la AEPD, se sanciona a la entidad GLOVOAPP23, (en adelante el reclamado) por no tener designado un Delegado de Protección de Datos (en adelante DPD).

Está aumentando la conciencia de los usuarios respecto de la protección de sus datos personales, cada vez se preocupan más por conocer qué hacen los responsables con sus datos y cómo ejercer sus derechos reconocidos en el RGPD y LOPDGDD. Este es el caso de dos reclamantes que se dirigieron a la AEPD para poner en su conocimiento, que la entidad GLOVO no tenía nombrado un DPD al que dirigir las reclamaciones.

La AEPD en virtud de su potestad investigadora solicitó a la reclamada que presentara las alegaciones oportunas. La entidad, en su escrito de contestación a la reclamación, alegaba que había constituido un Comité de Protección de Datos que realizaba las funciones propias de un DPD, además, indicaba en ese escrito, que su actividad no estaba incluida dentro de los supuestos de designación obligatoria de DPD.

Finalmente, la AEPD determina en su resolución que la reclamada está obligada a nombrar un DPD, puesto que lleva a cabo un tratamiento de datos habitual y sistemático de interesados, considerado a gran escala. Es la primera sanción de este tipo y alcanza la cuantía de 25.000 euros.

Una de las principales características de la aplicación del RGPD es que es el propio responsable, mediante un minucioso análisis de riesgos, el que determina cuáles son las medidas técnicas y organizativas más apropiadas para el tratamiento que se lleva a cabo en su entidad.

En el art.32 del RGPD se indican como mínimo algunas de las medidas que se deben aplicar para garantizar la confidencialidad, disponibilidad e integridad de la información. En concreto, se menciona a la auditoría de protección de datos como “un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.

En la anterior normativa se establecía un plazo para su realización dependiendo del nivel de seguridad bajo, medio o alto. En la actualidad como estos plazos no se encuentran regulados por la ley, será el responsable el que en función del análisis de riesgos establezca la periodicidad para su realización.

No solamente será obligación del responsable, también el encargado del tratamiento. Este tiene que poner a disposición del responsable para permitirle la realización de auditorías, incluidas las inspecciones, por parte del responsable o auditor autorizado.

Madrid, 7 de mayo de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado un análisis preliminar de algunas tecnologías ya puestas en marcha, o cuya implementación se está valorando en la lucha contra el coronavirus, examinando la relación entre los posibles beneficios para el control de la pandemia y los riesgos para la privacidad. En el documento, la Agencia pone de manifiesto que nos encontramos en un punto de inflexión crítico, no solo debido a la situación de pandemia, sino en relación con nuestro modelo de derechos y libertades.

La AEPD recuerda que la utilización de la tecnología no puede ser entendida de forma aislada, sino en el marco de un tratamiento de datos personales con un propósito claramente definido. En la medida en que este propósito debe ser para la lucha efectiva contra la COVID-19, el tratamiento ha de implementar una estrategia coherente basada en evidencias científicas, evaluando su proporcionalidad en relación con su eficacia, eficiencia y teniendo en cuenta de forma objetiva los recursos organizativos y materiales necesarios. En todo caso, la utilización de estas tecnologías debe realizarse en el marco de los criterios establecidos por las autoridades sanitarias y, en particular, del Ministerio de Sanidad. Además, como en cualquier tratamiento de datos personales, deben cumplirse los principios establecidos en el Reglamento General de Protección de Datos (RGPD).

El informe está centrado en siete tecnologías: geolocalización mediante la información recogida por los operadores de telecomunicaciones; geolocalización de los móviles a partir de redes sociales; apps, webs y chatbots para auto-test o cita previa; apps de información voluntaria de contagios; apps de seguimiento de contactos por Bluetooth; pasaportes de inmunidad y cámaras infrarrojas.

En cuanto a las apps de seguimiento de contactos por Bluetooth, el informe detalla que los riesgos para la privacidad provienen, entre otros, de la posible realización de mapas de relaciones entre personas, la reidentificación por localización implícita, la recogida de datos de terceros o la fragilidad de los protocolos a la hora de intercambiar información. Cuanto mayor sea el tratamiento que se realice en un servidor que recoja los datos de los usuarios, menos control tienen éstos sobre sus propios datos, por lo que las soluciones centralizadas siempre parecen menos respetuosas con la privacidad que las distribuidas. La posibilidad de que, debido a la acumulación de los datos de forma centralizada, se produjese un abuso, se ampliaran los propósitos del tratamiento o se sufriera una quiebra de seguridad son otras de las amenazas.

Recientemente la AEPD ha emitido un comunicado https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-aepd-temperatura-establecimientos

En este comunicado, la AEPD manifiesta su preocupación por las prácticas que se están llevando a cabo en algunos establecimientos y centros de trabajo. Estas medidas suponen un tratamiento de datos personales y por lo tanto una intrusión a los derechos de los afectados. El valor de la temperatura corporal es un dato de salud en sí mismo, y, además, a partir de él, se asumirá que una persona padezca o no una concreta enfermedad, en este caso la infección por coronavirus.

La AEPD determina también que dependiendo del contexto en el que se aplique la posible denegación del derecho de acceso puede suponer un importante impacto para el afectado.

La aplicación de la toma de temperatura a través de cualquier proceso, incluidas las cámaras térmicas, requieren de unos criterios previos del Ministerio de Sanidad, que, a fecha de hoy, no se han publicado.

Por otro lado, dependiendo del tipo de tecnología que se pudiera emplear, como es el caso de las cámaras térmicas que también graban imágenes, se tendrían que tener en consideración otros aspectos, tales como, la aplicación de los principios de limitación, finalidad, minimización de datos.

La AEPD ha sancionado al BAZAR SUSANA en adelante el reclamado por haber difundido las imágenes de un funcionario público recogidas en su sistema de videovigilancia. https://www.aepd.es/es/documento/ps-00360-2019.pdf

La reclamación interpuesta por la D.G. DE LA GUARDIA CIVIL-PAFIF DE COSTA TEGUISE (reclamante) alude a que D.BBB interpuso una reclamación contra el Bazar SUSANA por difusión de su imagen a través de Whatsapp. Las imágenes son grabadas por las cámaras de seguridad del citado establecimiento mientras D.BBB estaba llevando a cabo labores de Peritaje Judicial en Patentes y Marcas acompañando a la Guardia Civil.

La AEPD tras las investigaciones oportunas constata que las imágenes difundidas se han obtenido del disco duro donde estaban almacenadas.  Se ha incurrido en un incumplimiento del art. 5.1f del RGPD, puesto que se ha cometido un acceso ilícito a las imágenes procediendo a compartirlas en la red social sin causa justificada. La sanción se agrava teniendo en cuenta la intencionalidad del reclamante, ya que con esa difusión pretendía identificar a D.BBB en sus funciones de peritaje de productos que podrían ser falsificaciones.

En el informe se indica también la ausencia de un cartel informativo. Este hecho es subsanado a lo largo del procedimiento. La sanción económica impuesta al establecimiento ascendió a 4.000 euros.

El tratamiento de los datos personales de las personas físicas a las que se aplica el RGPD requiere que se haga con unas medidas técnicas y organizativas que garanticen una adecuada seguridad incluyendo la confidencialidad de los datos.

A lo largo de la lectura del RGPD y de sus considerandos, encontramos muchas referencias a esa obligación, por parte del responsable, de mantener la seguridad aplicando medidas técnicas y organizativas adecuadas. Ahora cabe preguntarse, cómo puede conocer la entidad cuáles son esas medidas.

Lo primero que se tiene que realizar es un exhaustivo análisis de los riesgos que ese tratamiento puede ocasionar. Para ello tenemos que definir los activos involucrados en el proceso de tratamiento de datos, sus vulnerabilidades y las amenazas a las que se encuentran expuestos. El responsable tiene que aplicar unas medidas adecuadas, según el resultado de la probabilidad de que ocurran las amenazas y el daño que producirían.

En el art.32 del RGPD se recoge un listado de medidas que han de aplicarse. La seudonimización, el cifrado de datos personales, una evaluación periódica de la eficacia de las medidas y la capacidad de garantizar la confidencialidad y recuperación de los datos, entre otras.

Recientemente se publicaba en nuestro País el Real Decreto 463/2020 que establecía en España el estado de alarma para combatir la situación de Pandemia originada por el COVID-19. En la disposición adicional tercera de este decreto, se indica lo siguiente “se suspenden términos y se interrumpen los plazos para la tramitación de los procedimientos de las entidades del sector público”.

¿Se supone entonces que los responsables y encargados del tratamiento de datos tienen que suspender las comunicaciones de brechas de seguridad ocurridas durante este plazo de tiempo?

La respuesta sería negativa. En este caso en concreto no afecta esa suspensión. Al contrario, es ahora más que nunca, cuando las entidades deben de mostrar su lado más proactivo y poner todos los medios que tengan a su alcance para hacer frente a los peligros y amenazas que puedan ocasionar ciberataques en nuestra entidad. Según la AEPD, las notificaciones de las brechas de seguridad proporcionan información que permiten a las Autoridades de Control y los ciudadanos aplicar las medidas necesarias, generando confianza en el uso de la nuevas tecnologías y seguridad de la información.

En el caso de que la brecha de seguridad no cumpla los criterios para su notificación a la AEPD tenemos que registrarla en el registro de incidencias y aplicar las medidas que sean necesarias.

Mientras dure la situación de alerta los ciberdelincuentes aprovecharán para lanzar ataques de phishing y de todo tipo para sacar provecho.

El modus operandi será siempre muy similar: los ciberdelincuentes tratarán de suplantar organizaciones legítimas con información relevante sobre el COVID-19 como el Ministerio de Sanidad, una Consejería de Sanidad de una Comunidad Autónoma, Fuerzas del Orden, Organizaciones Internacionales, simulando prestar ayuda y consejo, o incluso fingiendo ser la empresa en la que trabajas. Lo harán a través de mensajería instantánea como WhatsApp o Telegram y también a través de emails. En la mayoría de los casos te pedirán que abras un archivo con urgencia o sigas un enlace de internet para obtener la información.

Si se sigue el enlace y se descarga y ejecuta un archivo adjunto, se tratará de algún tipo de malware que permita a los ciberdelincuentes tomar el control de tu dispositivo, acceder a tu información y datos personales e incluso cifrar esos datos.

Los enlaces de internet incluidos en estos mensajes o correos electrónicos también te pueden llevar a páginas web que suplantan la identidad de otras organizaciones para robar tus credenciales de acceso a un servicio u otra información personal, por ejemplo, tu número de la seguridad social, los datos bancarios para el pago de un test de coronavirus, etc.

Sigue las siguientes recomendaciones:

• Mantente informado mediante fuentes oficiales y confiables, acudiendo directamente a las webs de las instituciones o medios de comunicación, nunca a través de un enlace proporcionado en un mensaje o en un email.
• Verifica la dirección de correo electrónico remitente del mensaje y también el enlace web al que te remite el mensaje. A veces, resulta obvio que la dirección web no es legítima, pero otras veces los ciberdelincuentes son capaces de crear enlaces que se parecen mucho a las direcciones legítimas.
• Ten cuidado con las solicitudes de datos personales a través de webs a las que has llegado siguiendo un enlace contenido en un mensaje o correo electrónico. Mejor accede directamente a la web de esa organización.

En este informe la AEPD da respuesta a la legitimación de los tratamientos de datos de salud en relación con el COVID-19. https://www.aepd.es/es/documento/2020-0017.pdf

El RGPD en su considerando (46) recoge que, en situaciones excepcionales, como una pandemia, la base jurídica de tratamientos puede ser múltiple. Partiendo de la exigencia del reglamento, para el tratamiento de los datos de salud, no basta una base jurídica, sino que además ha de existir una circunstancia que levante la prohibición del tratamiento, siendo éstas las siguientes:

1º Entre el empleador y empleado cumplimiento de obligaciones y derechos en el ámbito del Derecho laboral y de la seguridad y protección social, según lo dispuesto en la normativa de prevención de Riesgos Laborales. No solamente debe velar por la prevención el empleador, sino también el trabajador. En el ámbito de la situación actual del COVID-19 supone que el trabajador debe informar a su empleador si sospecha de contacto con el virus, con el objetivo de salvaguardar su salud y la de los demás trabajadores del centro de trabajo.

2º El tratamiento es necesario por razones de un interés público esencial y un interés público en el ámbito de la salud pública como protección frente a amenazas transfronterizas.3ºEs necesario para realizar un diagnóstico medico o asistencia de tipo sanitario y gestión de los sistemas de asistencia sanitaria y social.