GUÍA SOBRE PROTECCIÓN DE LOS DATOS PERSONALES

guía protección datos personales

La presente guía pretende acercar y facilitar al ciudadano de calle  la comprensión del actual Reglamento Europeo y del Consejo de 27 de Abril del 2016 2016/679. Para ello, intentaremos resumir y explicar del modo más sencillo posible dicha Ley, dando a conocer los derechos de los ciudadanos en todo lo que afecta a la protección de sus datos personales en la Unión Europea. La información aquí mostrada también recoge datos y derechos de la Ley Orgánica 3/2018 del 5 de Diciembre del 2018.

EVOLUCIÓN Y SITUACIÓN ACTUAL

Hasta hace unos años, previa a la aparición de la informática y el uso masivo de Internet, la información que las empresas o administraciones disponían y almacenaban, como datos personales, era un tanto limitada. Los ficheros solo archivaban, normalmente, nuestra dirección postal, número del documento de identidad, estado civil y, en algunos casos que no todos, el número de teléfono.

Poco a poco, la administración pública y las empresas privadas fueron añadiendo más y más información en sus ficheros; ampliando éstos con nuevos datos como: números de cuentas bancarias, números de tarjetas de créditos, correos electrónicos, teléfono móvil, información médica o estilos de vida entre otros datos.

En los últimos años, la incorporación de datos a este tipo de ficheros ha sido masiva. La aparición de nuevas herramientas para poder tratar estos datos, y las nuevas tecnologías, conocidas como Big Data, para el tratamiento de toda esta información,  han supuesto una verdadera revolución en nuestra sociedad. En la mayoría de ocasiones hemos entregado muchísimas más información de lo que realmente era necesario. Ahora gracias a todos los datos que le hemos facilitado también conocen nuestros gustos personales, nuestra situación familiar, laboral y preferenciales de todo tipo, en algunos casos prediciendo nuestras algunas necesidades incluso antes de nosotros mismos saberlo.

Por todo ello, ha sido necesario la elaboración de un nuevo Reglamento Europeo que ponga limites  a esta nueva practica de toma de datos.  Sobre todo para establecer responsabilidades civiles y penales ante la constante y creciente información que se dispone de los ciudadanos, con y sin su permiso.

ADECUACIÓN Y SAFE HARBOR

La evolución constante de las nuevas tecnologías ha obligado también a actualizar la anterior Normativa Europea 46/1995 del 24/11/1995, con un nuevo Reglamento y a la Ley Orgánica 3/2015 del 5 de Diciembre para la Protección de Datos; el cual ofrece nuevas garantías a las personas sobre los derechos digitales.

Estas nuevas limitaciones, en su momento, no fueron bien aceptada por algunas empresas tecnológicas de EE.UU, que apostaban más por la autorregulación en temas de protección de datos, que por el control gubernamental. Algunas de ellas como Facebook, Google o Apple nunca han sido afines a este tipo de control o limitaciones. A pesar de ello, ofrecían servicios dentro de los estados Miembros de la Unión Europea.

Para de algún modo evitar este control se unieron bajo el denominado acuerdo SAFE HARBOR. La adhesión a dicho acuerdo otorgaba a la empresa una “presunción de adecuación” para de algún modo evitar las restricciones que el Reglamento Europeo imponía.

Afortunadamente el Tribunal de Justicia de la Unión Europea con fecha a 6 de Octubre de 2015 declaró nula la denominada disposición SAFE HARBOR, obligando a estas empresas a establecer un nivel mínimo de protección sobre los derechos de los usuarios, invalidando dicha disposición SAFE HARBOR y adaptando en parte sus servicios al nuevo Reglamento Europeo.

PROPÓSITO DE LA DIRECTIVA, REGLAMENTO EUROPEO Y LA LEY ORGÁNICA.

El único propósito tanto de la Directiva 46/1995 del 24/11/1995, como del Reglamento Europeo y del Consejo del 27 de Abril del 2016, así como de la Ley Orgánica 3/2018 del 5 de Diciembre del 2018 es:

  • Proteger del mejor modo posible los datos de las personas.
  • La protección de algunos derechos fundamentales.
  • El control sobre la información que pertenece a datos personales de las personas físicas.

La adaptación de estas leyes  han venido prácticamente obligadas por el exceso de información que estas empresas almacena. La redacción de estas leyes llega con cierto retraso. Ante el ritmo vertiginoso de la tecnología a lo largo de los últimos años parece difícil anticiparse a los hechos.

Los países miembros de la UE han puesto en vigor nuevas leyes que además de proteger, obligan a las empresas a informar a sus usuarios previamente de los datos que almacenan de ellos. También obliga a todas las empresas a hacer un uso proporcionado de la información que solicitan, a respetar las normas vigentes y a custodiar de un modo fehaciente los ficheros que administran.

Es obligación de los responsables de los ficheros informar de un modo transparente, antes y durante el periodo que almacenen sus datos personales; así como informar en caso de amenaza o peligro que pudiese correr la información tratada, incluso en caso de un ataque informático.

ATENCIONES ESPECIALES

Caso especial es la protección de los menores. Dicho tratamiento se considerará licito cuando el consentimiento sea dado por el titular de la patria potestad o tutela del menor. En tales casos, el responsable del tratamiento deberá hacer un esfuerzo razonable, para que el consentimiento se procese con claridad por parte del tutor del menor.

Algunos datos personales siempre deberían quedar prohibidos para su tratamiento. Estos pueden ser el origen étnico, político, religioso, sexuales o datos con carácter genético. La excepción está en que estos datos tengan un consentimiento explícito para diferentes fines:

  • La afiliación a determinados servicios autorizados por la propia persona.
  • La protección de intereses vitales del afectado u de otra persona física.

Consideración especial tienen también los datos médicos necesarios para evaluar la capacidad laboral, diagnósticos médicos, etc. En estos casos el trabajador conocerá el resultado de sus diferentes pruebas y analíticas; en ningún caso la empresa tendrá derecho a ellos. El único resultado facilitado será la confirmación sobre si el trabajador es válido o no para las tareas que desempeña en la empresa.

En todo caso las personas propietarias de los datos  debería conocer:

  • Quien es propietario del fichero.
  • Los datos almacenados.
  • Los fines del fichero.
  • Posibles destinatarios
  • El tiempo que estos datos van a permanecer almacenados.

Todos aquellos casos en que los datos del interesados hayan sido obtenido sin la preceptiva autorización, éste podrá ejecutar los derechos para conocer la procedencia y origen de la fuente de los mismos.

El interesado tendrá en todo momento derecho a obtener sin dilación la rectificación de los datos personales inexactos, así como la supresión de los datos que le conciernan si así lo decidiera.

AUTORIDAD DE CONTROL.

Ha sido necesario la creación, en España, de un ente de control como es la  AGENCIA DE PROTECCIÓN DE DATOS ESPAÑOLA. Esta agencia vela por el respeto y cumplimiento de estas leyes. Para asegurar este cumplimiento también ha sido necesario crear un régimen sancionador.

Uno de los requisitos indispensables por parte de las empresas es definir  los responsables de los ficheros, así como la responsabilidad de los mismos en caso de incumplimiento.

El RGPD establece tres niveles diferentes para calificar las infracciones que se pudieran cometer: leves, graves y muy graves. El plazo de prescripción se establece en:

  • Tres años para las sanciones “Muy Graves”
  • Dos años para las “Graves”
  • Un año para las “Leves”.

En todo momento, la responsabilidad de la custodia de todos los datos registrados recae siempre en el responsable de los ficheros. El incumplimiento de esta ley puede llegar a sanciones de hasta 20.000.000 € o al 4% de su facturación.

Grandes empresas han sido condenadas con multas millonarias por la mala praxis de la información que disponen. También pequeñas empresas han sido objeto de sanciones simplemente por el envío de un mail infringiendo los derechos de sus clientes como puedes comprobar en este enlace.

DERECHO AL OLVIDO.

Una de las novedades de esta ley es el derecho al olvido. Los ciudadanos podrían exigir la retirada de información obsoleta o desactualizada que pudiesen afectarle, a pesar de que ésta pueda ser incluso verídica. Aunque a decir verdad nunca es fácil ni sencillo. En muchos casos suele prevalecer el derecho a la información por encima de los derechos de las personas, sobre todo en personas famosas o cargos públicos.

A una noticia que afecta a una persona cualquiera, podría solicitarse que se retirase, y probablemente se haría efectivo. En cambio, si la noticia afecta a una persona pública será más difícil, ya que prevalecerá el derecho a la información por encima del derecho a la intimidad.

También pueden ser exigible el derecho al olvido cuando los datos obtenidos hayan sido tratado de forma ilícita o sin permiso.

DATOS PERSONALES EN LA EMPRESA.

Son muchos los casos que generan dudas y muy variada la casuística que afecta a la toma de datos en el ámbito laboral. En general, la empresa puede recabar todos aquellos datos que entienda necesario para su actividad. Esto es siempre y cuando la privacidad del trabajador no sea invadida.

El primer punto caliente siempre ha sido la obtención de imágenes en la zona de trabajo o en vehículos de trabajo. Esta práctica habitual está autorizada, siempre y cuando las cámaras hayan sido instaladas respetando las recomendaciones que la Agencia de Protección de Datos autoriza. Las grabaciones deben estar justificadas y no invadir la privacidad de las personas. En ningún caso las grabaciones con audio en dichas cámaras estarían justificadas, así como la instalación en las áreas de descanso, baños, etc.

Especial relevancia a día de hoy cobran también la geolocalización en la empresa. Cualquier dispositivo móvil necesario para realizar las tareas del trabajador o en el propio vehículo podría almacenar toda la información de los movimientos realizados por un trabajador. Esto se entenderá  lógico cuando la tarea lo requiera. En ningún caso se podrían grabar el audio de la cabina o las conversaciones que afectan a la vida privada del trabajador.

La instalación de estas cámaras de seguridad o equipos de geolocalización deben ser siempre previamente informadas y señalizadas. No se entenderían legales las imágenes procedente de equipos instalados de modo oculto, o sin la previa información a los usuarios afectados.

CÁMARAS DE SEGURIDAD Y VIDEOVIGILANCIA.

La Agencia Española de Protección de Datos ha redactado una guía sencilla y práctica que informa acerca de todo lo necesario revisar respecto de la instalación de cámaras de seguridad y que se puede visitar en este enlace.

Actualmente la nueva normativa de protección de datos ha invalidado la obligatoriedad de inscribir las instalaciones en la Agencia Española de Protección de datos. Ha sustituido este requisito por un registro de las actividades fruto de su tratamiento, que deberá estar disponible a las autoridades que lo pudiesen requerir en un futuro.

Siempre será obligatoria la señalización de las cámaras de seguridad en las entradas de las zonas instaladas, ya sea una comunidad de vecinos, una empresa o cualquier espacio donde pudiesen instalarse. De este modo, los posibles afectados serán siempre conocedores de la existencia de cámaras grabando,  e instalado, en los espacios destinado a tal fin, el cartel preceptivo. Este cartel debe indicar nombre y datos de contacto del responsable del fichero, ya sea persona física o jurídica, con el único objeto que las personas puedan ejercer sus derechos, o que en caso de necesidad la Fuerzas y Cuerpos de Seguridad lo requieran al titular del mismo.

El almacenamiento de estas imágenes no debe superar los 30 días de grabación, a excepción de las imágenes obtenidas por las Fuerzas y Cuerpos de Seguridad que sean necesarias para la investigación o pruebas de hechos delictivos.

Para dar cumplimiento al derecho de acceso de los posibles interesados, el responsable del fichero deberá registrar la persona que lo requiera y una fotografía actualizada del mismo. En ningún caso se facilitara al interesado imágenes de terceros.

Determinadas empresas o instalaciones públicas pueden estar incluso obligados a instalar equipos de videovigilancia. Es el caso de empresas críticas que gestionen energía o el suministro de agua; sectores como la banca, joyerías o empresas de seguridad. Cada una de ellas deberán cumplir y hacer cumplir todo lo que se recoge en su normativa de seguridad sectorial.

Otras entidades como las comunidades de vecinos también podrán instalar cámaras de seguridad en sus espacios privados. Deben limitar la grabación de viales públicos a las zonas de acceso y enmascarando, si fuese necesario la grabación de espacios no autorizados. En ningún caso dichas instalaciones podrán monitorizar las cámaras en canales comunitarios.

FORMULARIO TIPO PARA UNA INSTALACIÓN CCTV

guía formulario CCTV