¿Cómo incorporar el registro de jornada laboral y cumplir con la normativa de protección de datos?

El registro de la jornada laboral ha sido recientemente introducido en las entidades con carácter de obligado cumplimiento para todas ellas.

El art.34.9 del Estatuto de los Trabajadores nos indica que: La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo.

Los sistemas que pueden utilizar las entidades para el cumplimiento de esta obligación legal podrán ser muy variados, desde sistemas manuales, analógicos o digitales. En todos ellos, la legitimación para el tratamiento de los datos personales no será el consentimiento del personal, sino la obligación que le viene impuesta al empleador por este artículo 34.9 del ET.

Si se utilizaran registros basados en sistemas de geolocalización o bien, sistemas en los que se recoge la huella digital, el responsable del tratamiento tiene el deber de informar previamente al personal antes de su incorporación, tal y como nos lo exige la LOPDPGDD en su art.90, que regula el Derecho a la intimidad ante la utilización de estos sistemas. Además, el responsable tendrá que garantizar unas medidas mínimas de seguridad y minimización de datos y realizar una evaluación de impacto en caso de ser necesaria.

La AEPD publica una guía con recomendaciones sobre protección de datos en la utilización de drones

Fuente: https://www.aepd.es/prensa/2019-05-30.html

(Madrid, 30 de mayo de 2019). La Agencia Española de Protección de Datos (AEPD), ha publicado la Guía ‘Drones y Protección de Datos’, que analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan datos, las que eventualmente podrían captar información y aquellas cuyo fin implica un tratamiento de datos personales, como en el caso de la videovigilancia o la grabación de eventos.

La Guía pone de manifiesto cómo se ha generalizado el uso de drones en el ámbito civil y el crecimiento exponencial que está experimentando la utilización de estas aeronaves no tripuladas. Estos equipos son susceptibles de incorporar no sólo GPS y cámaras de vídeo sino también escáner 3D o sistemas de detección de dispositivos móviles, y su empleo puede suponer un impacto en el derecho a la protección de datos de las personas y, por extensión, una lesión de sus derechos y libertades.

El artículo 26 del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad. La Guía publicada por la AEPD proporciona orientaciones a los operadores de drones que registren o procesen imágenes, vídeos, sonido, datos biométricos, de geolocalización o de telecomunicaciones, entre otros, relacionados con personas identificadas o identificables para cumplir con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.

El documento está dividido en cinco secciones. Las tres primeras están dedicadas a los tipos de operaciones que se pueden llevar a cabo con drones, clasificándolos según el tratamiento de datos. Así, distingue un primer tipo que comprende operaciones con configuraciones muy básicas, que carecen o no hacen uso de dispositivos de captación de imágenes, sonido o cualquier otro tipo de información personal. En esta categoría podrían incluirse usos de ámbito recreativo o deportivo.

Un segundo tipo comprende casos como el empleo de drones para la inspección de infraestructuras, la confección de planos de terrenos u otros servicios de vídeo para cine, televisión o publicidad, en los que se puede producir una captura de datos personales de forma no intencionada. Una tercera posibilidad es que la finalidad para la que se usa el dron implique un tratamiento de datos personales de forma inherente.

¿Pueden las Universidades publicar las calificaciones de las asignaturas de los alumnos/as?

La AEPD ha dado respuesta recientemente a esta pregunta en el informe publicado en https://www.aepd.es/media/informes/2019-0030-publicacion-calificaciones.pdf

La consulta acerca de la publicación de los  datos de la calificación de las asignaturas junto con el nombre y apellidos de los alumnos por parte de la Universidad, ya se planteó ante la AEPD en otras ocasiones mientras estaba vigente la LOPD15/1999, en este caso, el tratamiento de los datos de las calificaciones de los alumnos, se consideró una cesión de datos y, como tal, había que solicitar el consentimiento inequívoco de los alumnos para su publicación, salvo que, existiese una ley que permitiera dicha cesión, en ese periodo aún no se había modificado la Ley Orgánica de Universidades 6/2001, y por lo tanto, solo era posible su publicación mediante dicho consentimiento. Tras la modificación de la citada Ley Orgánica, se estableció que no era preciso recabarlo, ya que el legislador reconocía la existencia de un interés público en el conocimiento generalizado de los resultados de las evaluaciones.

La AEPD en el presente informe, siguiendo lo establecido en el RGPD y la LOPDPGDD, ha venido a reafirmar la legitimación del tratamiento por parte de las universidades en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, respetando siempre los principios de limitación de la finalidad, minimización y plazos de conservación.

Vodafone sancionada de nuevo por incumplimiento de la normativa de protección de datos

De nuevo la entidad VODAFONE ONO, S.A.U., ha sido sancionada por la AEPD https://www.aepd.es/resoluciones/PS-00092-2019_ORI.pdf

La AEPD recibe una reclamación presentada por D. A.A.A. en la que expone que, siendo cliente de VODAFONE recibió en la fecha de 10/08/2018 un correo publicitario comercial que incluía las direcciones y nombres de todos los clientes de VODAFONE a los que se dirigía este correo comercial.

En el periodo de investigación se le requiere a la entidad denunciada que aporte toda la información relacionada con los hechos, ésta, presenta un informe en el que consta que a fecha de 31 de enero de 2019 dirigió un escrito al denunciante, pidiéndole disculpas, así como, indicando que se había enviado a la plantilla comercial un comunicado recordando como han de realizarse las comunicaciones comerciales, para evitar que volviera a suceder en el futuro.

La AEPD en su resolución determina que VODAFONE ha vulnerado el principio de confidencialidad. La sanción es considerada como una infracción muy grave, apreciando, además, una falta de diligencia significativa. La multa administrativa alcanzaba la cantidad de 60.000 euros, aunque se redujo a 36.000 euros ya que se aplicaron las reducciones previstas en el acuerdo, en concreto, reconocer la responsabilidad dentro del plazo y el pronto pago.

Vodafone España, S.A.U., obligada a pagar una cuantiosa multa económica por vulnerar el principio de exactitud

La conducta imputable a VODAFONE ESPAÑA, S.A.U, se describe en el procedimiento sancionador, https://www.aepd.es/resoluciones/PS-00411-2018_ORI.pdf.

El reclamante manifiesta que en la fecha de 04/06/2015, solicitó el derecho de cancelación de sus datos a VODAFONE, recibiendo una carta por parte de la entidad en la que se le comunicaba que se había procedido a la cancelación, pese a ese escrito, el reclamante siguió recibiendo SMS de la entidad, más de 200, inclusive durante todo el año 2018.

La AEPD sanciona a VODAFONE por vulnerar el principio de exactitud de los datos, pues no solamente no se canceló, sino que siguió utilizando dicho número para la realización de pruebas de distinta naturaleza, cómo verificar la calidad del proceso, dentro de los servicios de la Tienda Online de VODAFONE.

Se presenta un escrito de reclamación ante la AEPD, el día 23/04/2018, cuando aún no había entrado en aplicación el RGPD, pero como la infracción del uso indebido de los datos por parte de VODAFONE continuó en el tiempo, el reclamante hizo llegar otra reclamación el 25/09/2018 por lo que ya se aplica la norma europea. La cuantía económica alcanzaba los 45.000 euros. Descontando las reducciones contempladas en el RGPD, entre ellas la de pronto pago, finalmente la multa económica ascendió a 27.000 euros.

¿Son legales las cámaras instaladas en los vehículos según el RGPD?

La AEPD ha dado respuesta en la consulta que plantea la instalación de cámaras on board en los vehículos conforme al RGPD https://www.aepd.es/media/informes/informe-juridico-rgpd-camaras-on-board.pdf

Teniendo en cuenta que, al igual que cualquier otra información, la imagen es un dato personal, que permite determinar, directa o indirectamente, la identidad de una persona física, la captación de las imágenes y en su caso, grabación constituye un ámbito de aplicación del RGPD.

Partiendo de que, en este caso, el tratamiento de las imágenes obtenidas con las cámaras on board, estaría legitimado en el interés legítimo del responsable, en concreto a la tutela judicial efectiva, y con la finalidad de obtener pruebas para denunciar infracciones de tráfico, se tendrá que realizar la regla de ponderación, y que el interés legítimo perseguido por el responsable no prevalezca sobre el interés o los derechos y libertades fundamentales del interesado.

En el caso de la consulta, la AEPD consideró desfavorable la incorporación de las cámaras, ya que no se habían determinado cuáles eran los sistemas que garantizarían la protección de los datos personales, sin embargo, en otro informe la AEPD lo estimó favorable, ya que el fabricante garantizaba que el sistema de grabación solo se activaba en caso de producirse un evento de accidente o situación de peligro y que la recuperación de las grabaciones se limitaba a un periodo máximo de 20 segundos anteriores y posteriores al evento.

El Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.

Éste es uno de los derechos digitales que ha venido a regular la nueva LOPDPGDD en el ámbito laboral, a través del cual, se pretende proteger la intimidad de los trabajadores y empleados públicos en el uso de los dispositivos digitales que pone a su disposición el empleador.

En este sentido el art.87 de la LOPDPGDD permite al empresario acceder a los contenidos que se derivan del uso de esos medios digitales que facilita a su personal. Lo que cabría preguntarse es ¿cuál es la finalidad de ese acceso? La respuesta la encontramos en el propio artículo, “a los solo efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos”.

Por tanto, se deberán establecer, los criterios para su utilización respetando los estándares mínimos de protección de la intimidad. Para la elaboración de estas políticas de usos de dispositivos digitales en el ámbito laboral, deberán participar los representantes de los trabajadores, además, el personal tiene que ser informado de una forma expresa, clara y concisa.

¿Todos los centros docentes tienen que nombrar a un DPD/DPO?

Siguiendo lo dispuesto en el art.34 de la LOPDPGDD, que regula las entidades que deberán nombrar a un delegado de protección de datos, entre otros supuestos, hace referencia a: “los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas”.

A la respuesta de si todos los centros docentes tienen que nombrar un DPD/DPO, será afirmativa, siempre y cuando en ellos se ofrezcan las siguientes enseñanzas, tal y como dispone su propia normativa en la Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su disposición adicional 16ª

Denominación de las etapas educativas:

a) Educación infantil.

b) Educación primaria.

c) Educación secundaria obligatoria.

d) Bachillerato.

e) Formación profesional.

f) Enseñanzas de idiomas.

g) Enseñanzas artísticas y

    Enseñanzas deportivas.

i)  Educación de personas adultas.

j)  Enseñanza universitaria.

El artículo no hace distinción entre centros privados o docentes, por lo que se entiende que engloba a los dos supuestos, los que no estarían obligados a nombrar un DPO/DPD, por ejemplo, serán las academias que imparten algún tipo de formación.

¿Para qué puede ser útil al ciudadano el registro de Delegados de Protección de Datos?

Su objetivo es facilitar a los ciudadanos el acceso a las empresas u organismos para todas aquellas cuestiones y reclamaciones que tengan que ver con la protección de sus datos.


Supongamos que una persona quiere oponerse a que una empresa continúe enviándole publicidad. ¿Qué debe hacer, dónde debe dirigirse? En esta infografía te contamos los pasos básicos que debes dar si no quieres seguir recibiendo publicidad. Pero, cuando se trata de dirigirse a la empresa u organismo que está tratando tus datos para ejercer los derechos que establece la normativa de protección de datos o para plantearle una queja o una reclamación, ¿a quién debes dirigirte? Al Delegado de Protección de Datos (DPD) si tiene obligación de designarlo o, si no la tiene, si voluntariamente lo ha designado. Para localizarlo, puede resultar de gran utilidad el Registro de Delegados de Protección de Datos ya que, con sólo conocer el organismo o empresa a la que quieras dirigirte, te ofrece la información necesaria para que puedas ponerte en contacto con él.   

El Delegado de Protección de Datos es una figura clave para ayudar a las organizaciones y empresas a cumplir con el Reglamento General de Protección de Datos (RGPD), además de ser su interlocutor con los ciudadanos en todas las cuestiones relacionadas con la protección de datos, incluyendo las reclamaciones. Conforme al RGPD, contar con un delegado de protección de datos es obligatorio para organismos y autoridades públicas, así como para aquellas entidades que realicen tratamientos de datos que requieran una observación sistemática a gran escala o tratamientos masivos de categorías especiales de datos y, en todo caso, para las entidades recogidas en el artículo 34.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Además, las empresas que no están obligadas a tener un DPD pueden también designarlo voluntariamente.

El Reglamento General de Protección de Datos recoge que los responsables o encargados del tratamiento deben publicar los datos de contacto de los DPD y comunicar esa designación a la autoridad de control correspondiente, en este caso, a la Agencia Española de Protección de Datos. En la actualidad, casi 25.000 responsables (tanto organismos públicos como entidades privadas) han notificado a la Agencia los datos de contacto de su Delegado de Protección de Datos.

El Registro de Delegados de Protección de Datos, que se actualiza diariamente, se encuentra disponible para todas aquellas personas que estén interesadas en conocer los datos de contacto del DPD de una empresa o institución. Te recordamos que para ejercitar tus derechos o presentar una reclamación ante una entidad puedes buscar el contacto introduciendo el nombre o NIF de la organización.

¿Se pueden grabar las imágenes de los alumnos durante la realización de exámenes en las aulas de una Universidad?

La consulta planteada a la AEPD, queda resuelta en el informe: https://www.aepd.es/informes/historicos/2017-0186.pdf.

La finalidad que pretende la Universidad con la instalación de las cámaras es la de disuadir a los estudiantes de que cometan actuaciones fraudulentas durante la realización de los exámenes y si se produjeran, sirvan como medio de prueba, en principio podría parecer que está legitimada, en su propia normativa, puesto que la grabación de imágenes se podría utilizar como un acto necesario para el seguimiento y evaluación de los estudiantes.

La AEPD responde que, teniendo en cuenta que la imagen de una persona es un dato personal y que por lo tanto hay que proteger el derecho a la intimidad de los alumnos, la medida se consideraría desproporcionada, puesto que no cumpliría los criterios de proporcionalidad a los que hace referencia la Instrucción 1/2006 sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras y videocámaras. Así, para comprobar si una medida considerada restrictiva de la intimidad del interesado supera el juicio de proporcionalidad, tendrá que cumplir los siguientes requisitos:

  • Consigue el objetivo propuesto
  • Es necesaria y no existe otra más moderada.
  • Ofrece más beneficios para el interés general que desventajas.