Preguntas en protección de datos. Letradox Abogados

En entorno laboral:

¿La empresa en la que trabajas puede acceder al historial de navegación del ordenador de los empleados?

Si, siempre y cuando exista una política interna de privacidad.Tiene que estipular unas de instrucciones claras y demostrables sobre el uso de dispositivos puestos al servicio del trabajador. Se ha de informar al trabajar de los criterios establecidos. Dicha información ha de ser con carácter previo y explícita  sobre el uso restrictivo de los medios informáticos. Si no es así, conllevaría la vulneración del derecho a intimidad y el secreto de las comunicaciones de los trabajadores.  

En virtud del artículo 87 LOPDGDD. (Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral). La empresa deberá establecer criterios de utilización de los dispositivos digitales. Respetando los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. Asimismo, el acceso por el empleador al contenido de dispositivos digitales. Respecto de los que haya admitido su uso con fines privados. Requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores.

Tales como: la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.
Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado.

¿Se puede instalar GPS en los coches de empresa que utilizan los trabajadores?

Si, la legitimación que permite este tratamiento de datos personales sería en virtud del art. 6 RGPD. También el artículo 20.3 del Estatuto de los trabajadores. Establece que el empresario podrá adoptar las medidas que estime mas oportunas de vigilancia y control. Para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

La existencia de esta legitimación legitima que no es necesario el consentimiento previo del trabajador. Ello no excluye del cumplimiento del derecho de información del articulo 13 del RGPD. Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos de la existencia y características de estos dispositivos de GPS. Igualmente deberán informales acerca del posible ejercicio de los derechos de acceso, rectificación, limitación y supresión del tratamiento.

¿Se puede recoger la huella dactilar de un trabajador como sistema de fichaje para el registro horario?

En el tratamiento de la huella deben aplicarse los principios de finalidad y minimización. La huella dactilar es un dato biométrico. Dato especialmente protegido por el RGPD. Calificado como “categoría especial”.
Se deben establecer algunas garantías como la autorización del cifrado, el almacenamiento de esos datos biométricos en un dispositivo personal. Pero no en un almacenamiento centralizado o en el sistema. Como garantía para legitimar el control horario.

El sistema biométricos utilizado debería tener en cuenta que la reutilización de los datos para otros fines, no procede. Están diseñados de tal forma que se pueda revocar el vínculo de identidad.
También se podrán utilizar formatos y tecnologías que impidan la conexión de base de datos biométricos y la divulgación de datos no comprobadas.

El Gabinete Jurídico de la AEPD en su informe 65/2015. Señala que en base a los principios de proporcionalidad y minimización. Lo ideal sería que esos datos biométricos se incorporasen a una tarjeta inteligente en poder del usuario.

De ese modo para acceder a las instalaciones utilizaría la tarjeta y posicionaría su huella sobre el lector. El sistema informático central no almacenaría el algoritmo que estaría en la tarjeta personal.

En cuanto a la custodia de los datos que los trabajadores. Desde la AEPD indican que teniendo como base el articulo 34 del Estatuto de los Trabajadores y el RDLEy 8/2019. Los datos deberán guardarse durante cuatro años.

Se ha de tener en cuenta que si el sistema lo ha instalado una empresa tercera. Deberá firmar un contrato de encargado de tratamiento que defina claramente estas particularidades.

Por último, el artículo 9 del Reglamento General de Protección de Datos establece:

Que el tratamiento sea necesario para el cumplimento de obligaciones previamente establecidas. Para ejercer los derechos en protección de datos. Este es el supuesto por el que el control de la huella digital para la asistencia al puesto de trabajo estará autorizado. Habida cuenta que se busca comprobar que el trabajador cumple con su jornada laboral. En ningún caso este dato debe ser usado para otra finalidad.

Entorno web:

¿Cuáles son las obligaciones a tener en cuenta en el envío de comunicaciones publicitarias a empresas o personas que aparecen en las guías telefónicas? ¿Pueden enviar comunicaciones comerciales por email a esos destinatarios?

No, puesto que La normativa de protección de datos requiere el consentimiento para el tratamiento de la información. Pero no exigía un consentimiento expreso. En el ámbito de la LSSI (y la LGTel) se requiere que quien envíe una comunicación comercial esté en disposición de demostrar que está tratando esos datos una vez ha obtenido el consentimiento expreso.

Para el envió de comunicaciones comerciales debe tenerse en cuenta el medio por el que va a llevarse a cabo la publicidad, en tanto que la realizada por comunicaciones electrónicas resulta de aplicación la LSSICE, exigiendo consentimiento expreso.

Este consentimiento, tiene que ser expreso y previo. Es decir, al tratamiento de datos para el envío del mensaje debe precederle la autorización expresa de su receptor. A través de una manifestación activa de su voluntad consiente el uso de sus datos con dichas finalidades. Dicho de otra forma, para el uso de datos con fines publicitarios en estos dos sectores. No será posible obtener el consentimiento de forma tácita del artículo 14.2 RLOPD. Sino como prevé el RGPD de forma expresa o indubitada.

¿Podrían enviar comunicaciones comerciales a sus contactos de Linkedin? ¿Por qué?

No. Puesto que el envío de correos electrónicos publicitarios no deseados a contactos de linkedin es contrario a LOPDGDD. También a las condiciones de uso de los usuarios de Linkedin. Se ha de obtener expreso consentimiento del receptor para aceptar la recepción de dichos correos comerciales o publicitarios.

Por otra parte, se tiene que tener en cuenta que LinkedIn es una red social. No una base de datos pública.
Como tal red social, no se puede considerar como “datos manifiestamente públicos (art. 45 RDLOPD)”. Por tanto, es fundamental tener el consentimiento del receptor.

También, indicar que la AEPD en su informe jurídico 0342-2008 indica que internet es una fuente de acceso público. Sin embargo, aunque estos datos estén disponibles públicamente, no pueden ser considerados como fuente accesible al público.

¿Podrían comerciar con los datos de sus usuarios y comunicarlos a una los datos a una tercera empresa? ¿Qué aspectos legales tendría que tener en cuenta?

En virtud del informe 2011-0241 sobre la utilización de la red social con fines publicitarios.
En dicho informe señala que, en el ámbito de la red social, el hecho de abrir una cuenta no es equiparable a la de los usuarios que forman parte de ella actuando en un ámbito puramente personal o familiar, ya que aquí la finalidad es otra.

La exención domestica no resulta aplicable. Tal y como señala el Grupo de Trabajo del artículo 29, en su Dictamen 5/2009, sobre redes sociales:

– Si un usuario del servicio de redes sociales actúa en nombre de una empresa o una asociación o utiliza la red principalmente como una plataforma con fines comerciales, políticos o sociales asume todas las obligaciones de un responsable de datos que está revelando datos personales a otro responsable de datos (el servicio de redes sociales) y a terceros (otros usuarios de Servicios de Redes Sociales o, potencialmente, otros responsables de datos con acceso a los mismos) En estas circunstancias, el usuario necesita el consentimiento de las personas concernidas.

En cuanto a la información que aparece en el perfil de los usuarios de redes sociales, con carácter general, revela sus intereses y actividades a todos aquellos que tengan la condición de amigos o a todos los demás usuarios si el perfil se encuentra abierto, ahora bien, la utilización de dichos datos, incluso en el ámbito de la propia red, con fines comerciales exige que dicho tratamiento de datos sea conocido y consentido por el interesado.

En cuanto al envío de correos comerciales por terceros. La utilización del servicio de mensajería de la red social resulta igualmente de aplicación lo previsto en el artículo 21 de la LSSICE. Aquellas opciones planteadas por la red social que permiten importar datos desde otros ficheros de que disponga el consultante. Dicha importación de datos supondrá una cesión de datos al servicio de red social. Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal.

Por tanto, la inexistencia de consentimiento de los afectados por el tratamiento para la cesión de datos a la red social dará lugar a una vulneración de lo previsto en la LOPDGDD.

¿Qué información tienen que trasladar a los usuarios para la instalación de cookies en sus terminales?

En virtud del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos. Por consiguiente, la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán. La información sobre cómo revocar el consentimiento y eliminar las cookies deberá de estar a disposición del usuario de forma accesible y permanente.

La Guía AEPD establece diferentes fórmulas para mostrar la información. Una de las fórmulas es la información por capas:

En la primera capa de información:

Se ha de mostrar cuando se accede a la página web— se ha de exponer la información más importante, claramente identificada, pidiendo el consentimiento para instalar las cookies en el navegador. En aquellos casos en que se pretenda obtener un «consentimiento tácito», será necesario advertir en este punto al usuario que si sigue navegando se considerará que ha prestado su consentimiento a la instalación de tales cookies.

El aviso deberá ofrecer la posibilidad de desactivar las cookies mediante un link que dirija a una segunda capa en la que, además, encuentre la restante información requerida por la normativa.

Información a incluir en la primera capa:

– Advertencia del uso de cookies no exceptuadas que se instalan al navegar por dicha página o al utilizar el servicio solicitado.
– Identificación de las finalidades de las cookies que se instalan.
– Información sobre si la instalación y uso de las cookies será solo del editor responsable de la web, o también de terceros asociados a él.
– En su caso, advertencia de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.
– Un enlace a una segunda capa informativa en la que se incluye una información más detallada

Información a incluir en una segunda capa de información:

– Información sobre la definición y función de las diferentes cookies
– Información y posibilidad sobre la forma de desactivar cada uno de esos tipos de cookies enunciados de forma sencilla

¿Qué modalidades tiene la página web para requerir el consentimiento de los usuarios?

El consentimiento expreso en la recogida de datos, podría cumplirse a través de la inclusión de una casilla en una web o el envío de un correo electrónico a la persona que se ha registrado en una web para que confirme dicho registro.

Esta casilla no debe estar premarcada, ya que de esta forma no realiza una manifestación activa de su voluntad.

Este consentimiento, para que sea válido, deberá ir precedido por la información que, si se recaba a través de una página web, estará en la cláusula de privacidad y habrá de recoger los siguientes elementos:

– Quién es el responsable (identidad y datos de contacto).
– Categorías exactas de datos personales que se recogerán y tratarán.
– Finalidades determinadas, explícitas, legítimas y relacionadas con la actividad publicitaria.
– Posibles comunicaciones de datos (sectores específicos y concretos de actividad respecto de los que podrá recibir mensajes publicitarios).
– Derechos del interesado.
– Menores.
– Consentimiento (expreso para la remisión de comunicaciones comerciales).

Sobre la forma de pedirlo, dos tipos de casillas relacionadas con el consentimiento del interesado:

Casilla Opt In:

Casilla no premarcada. Que se deberá incluir en el formulario de registro de datos con la finalidad de que el interesado pueda consentir:

– El tratamiento de sus datos con la finalidad de recibir, por medios electrónicos, comunicaciones comerciales sobre productos y/o servicios que no son similares a los contratados.
– La cesión de sus datos a terceros cuando se vayan a remitir comunicaciones comerciales por medios electrónicos.

Casilla de Opt Out:

Para casos en los que haya una relación contractual previa, se hubieran obtenido los datos lícitamente y sean para productos o servicios de la propia empresa similares a los que fueron objeto de contratación. Casilla no premarcada que se deberá incluir en el formulario de registro de datos con la finalidad de que el interesado se pueda oponer al:
– Tratamiento de los datos con motivo de las finalidades indicadas en el formulario.
– Envío de comunicaciones promocionales por medios no electrónicos.
– Por medios electrónicos sobre productos y/o servicios similares a los contratados.