Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

DNI por WhatsApp: Pedir la foto del DNI acaba en multa

por

El 5 de febrero de 2025, la AEPD impuso una sanción de 2.000€ a un alojamiento turístico por solicitar el envío del DNI por WhatsApp.

Hechos

La Agencia Española de Protección de Datos (AEPD) ha resuelto un procedimiento sancionador contra RESIDENTIAL QUALITY ENJOY, S.L. por exigir a sus clientes el envío de imágenes completas del DNI (incluyendo menores) a través de WhatsApp, sin informar sobre el tratamiento. La empresa alegó cumplir con el Real Decreto 933/2021 sobre registro de huéspedes. Sin embargo, la AEPD determinó que su práctica excedía los requisitos legales.

En primer lugar, la exigencia de aportar la imagen completa del DNI era desproporcionada, pues se recogía información innecesaria como el rostro, el número de expedición o los nombres de progenitores. Esto va en contra del principio que exige limitar los datos a lo «adecuado, pertinente y estrictamente necesario» (art. 5.1.c) RGPD).

Además, cabe recordar que el RD 933/2021 solamente requiere datos textuales básicos (nombre, apellidos, número de documento), no copias del documento.

Asimismo, la AEPD subrayó que, a pesar de que el alquiler turístico está sujeto a obligaciones de registro, (art. 4.3 RD 933/2021), «debe cumplirse sin necesidad de solicitar la entrega de copia o imagen del documento de identidad o escaneo del mismo, pues existen otras alternativas igualmente válidas que permiten realizar esta comprobación de forma fiable.» Es decir, verificar la identidad no equivale a almacenar copias del DNI, pues con métodos menos invasivos, como la transcripción manual de datos, se podría haber cumplido la obligación de registro perfectamente.

Por otro lado, el método de envío de la imagen del DNI solicitado era WhatsApp, por lo que surge un riesgo añadido, pues esta red social carece de cifrado y no se considera una vía segura a través de la cual enviar datos tan sensibles como los contenidos en el DNI.

Por todo lo expuesto, la AEPD decidió imponer una sanción de 2.000€ que, con el reconocimiento de responsabilidad y el pago voluntario por parte de RESIDENTIAL QUALITY ENJOY, S.L., quedó reducida a 1.200€.

Conclusión

Esta resolución recuerda a las empresas que no pueden utilizar la «seguridad» como excusa para recopilar datos excesivos, pues la imagen completa del DNI contiene información sensible irrelevante para el registro de huéspedes.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

El rompecabezas del tiempo efectivo: ¿qué cuenta como jornada laboral?

por

La Sentencia del Tribunal Superior de Justicia de Madrid nº962/2020 resuelve un conflicto laboral emblemático sobre el derecho a la desconexión digital y los límites de la formación obligatoria fuera de la jornada laboral. El caso enfrentó a un controlador aéreo de ENAIRE, quien fue sancionado por no completar cursos de formación online en sus días de descanso, y realizó algunas precisiones respecto al derecho a la desconexión digital.

Hechos

La empresa exigió a sus empleados realizar un curso formativo online—preceptivo, según la normativa europea y el convenio colectivo—de dos horas en sus periodos de descanso, sin alterar su horario laboral presencial, y destacó su obligación de realizar el curso «en los ciclos de descanso de tres días que de conformidad con el artículo 33 del convenio colectivo le son programados». Sin embargo, uno de los controladores aéreos rechazó realizar el curso fuera de su jornada laboral y exigió que se incluyera en su cuadrante de servicios (391 empleados realizaron el curso en plazo). Finalmente, lo completó fuera del plazo establecido, junto con otros 41 compañeros.

Debido a la falta de obediencia por parte de este empleado, la empresa le sancionó con 3 días de suspensión de empleo y sueldo, fundamentando su decisión en el artículo 95.2.i) EBEP, el cual tipifica como falta muy grave la «desobediencia abierta a órdenes de un superior».

En este sentido, el Tribunal razona que, si bien la orden de realizar formación en días de descanso aparentemente contravendría el derecho del trabajador a la intimidad personal y familiar del artículo 18 de la Constitución en su vertiente de desconexión digital, regulado en el artículo 88 de la LOPDGDD, las dos horas dedicadas a la realización del curso online por el trabajador son reconocidas por la empresa como tiempo de trabajo y, por tanto, no existe derecho a la desconexión digital dentro del tiempo de trabajo, sino solamente dentro del tiempo de descanso.

De esta manera, el Tribunal razona que la empresa puede ordenar la realización de trabajo retribuido fuera de horario laboral y, por ello, el período para realizar la formación a distancia computaría como horas extraordinarias de tiempo efectivo de trabajo, evidentemente, con las consecuencias legales derivadas.

Además, añade que el convenio colectivo, en su artículo 29.1.1.3, indica claramente que «la jornada programable no incluye el tiempo necesario para la formación que no tenga la consideración de actividad aeronáutica». Teniendo en cuenta que la formación era relativa a Recursos Humanos, la exigencia de que la formación online del artículo 227 del convenio se incluyera en la jornada programable carecería de fundamento jurídico.

El Tribunal argumenta que la falta de criterios establecidos por la empresa para garantizar el cumplimiento del número de horas de jornada exigido no implica la ilegalidad de la orden ni justifica la desobediencia de esta, pues hay que tener en cuenta el escaso número de horas de formación requerido y el largo período para realizarlo (hecho que permitía perfectamente el respeto de los descansos legales). Si bien podría cuestionarse la legalidad de la orden en relación con la ordenación del tiempo de trabajo y descansos, no implica la vulneración de un derecho fundamental, tal y como alega el trabajador.

Asimismo, el motivo por el que el trabajador se negó a cumplir la orden no fue su ignorancia sobre las normas aplicables a jornada y descansos para elegir correctamente el momento de su actividad formativa online, sino la exigencia de que se incluyese en la jornada programable de actividad aeronáutica, lo cual el Tribunal indica que carece de fundamentación jurídica.

Conclusión

Esta sentencia ofrece un razonamiento profundo sobre los límites entre trabajo y descanso. Si bien el derecho a la desconexión digital es esencial, hay matices que valorar, pues, como hemos indicado, no existe derecho a la desconexión digital dentro del tiempo de trabajo, sino solamente dentro del tiempo de descanso.

Puede leer la sentencia aquí

Como siempre, cuidad los datos y ¡cuidaos!

Protección de datos vs. mentiras en el CV: Cuando la empresa cruza la línea de la legalidad en su investigación

por

El 19 de abril de 2024, el TSJ de Castilla y León (STSJ CL 1540/2024) declara improcedente el despido disciplinario de una trabajadora por mentir en su CV. La empresa había detectado irregularidades, y por ello solicitó el informe de vida laboral a los trabajadores para contrastar dicha información con sus currículums. Así es cómo pudieron descubrir que en el de esta empleada había discrepancias. No obstante, el Tribunal ha declarado el despido como improcedente debido al uso ilícito de los datos personales.

Hechos

La empleada, que inició su relación laboral con la empresa en septiembre de 2020, aportó inicialmente un currículum en el que indicaba que había trabajado como operaria de cadena en el departamento de soldadura en Renault. Sin embargo, este dato no aparecía en el currículum que entregó en 2022; en su lugar, se indicó otra experiencia profesional como operaria de cadena que no se correspondía con lo expuesto en su día.

Ese mismo año, a raíz de un procedimiento interno de selección, la empresa solicitó a los trabajadores la remisión de su vida laboral y, al contrastar el currículum de la trabajadora con su vida laboral, se observó la incongruencia. 

Por ello, en marzo de 2022 la empresa procedió a notificarle su despido disciplinario, con efectos a partir del 24 de junio y fundamentado en su transgresión a la buena fe contractual (artículo 54.2.d) del Estatuto de los Trabajadores).

No obstante, la empleada impugnó el despido y alegó que se había vulnerado su derecho a la protección de datos, dado que la empresa empleó su informe de vida laboral para justificar su despido sin ningún tipo de base legítima para ello.

Si bien el tribunal de instancia declaró la procedencia del despido, la trabajadora recurrió al TSJ de Castilla y León, el cual ha declarado el despido como improcedente.

Este TSJ ha reconocido el uso ilícito de los datos personales cedidos por la trabajadora que realizó la empresa, dado que esta los utilizó para un fin distinto al que se suponía—la trabajadora había entregado el informe voluntariamente para procesos de selección, no para una investigación disciplinaria.

Asimismo, el Tribunal subraya la ilicitud del tratamiento, indicando que se ha vulnerado el derecho a la protección de datos de la trabajadora, el cual considera como un derecho fundamental protegido por el artículo 18.4 de la Constitución española

El Tribunal considera que esta vulneración es motivo suficiente para afirmar la improcedencia, dado que, en caso de prescindir de la información obtenida de la vida laboral de la empleada, el despido carecería de justificación. Además, destaca el defecto formal en la carta de despido, ya que esta no describía con claridad la conducta sancionada y que la falta alegada por la empresa había prescrito, pues, desde el conocimiento de la supuesta irregularidad en marzo de 2022 hasta el despido en junio de 2022, ya habían transcurrido más de 60 días, lo cual superaba el plazo legal para sancionar una falta muy grave.

El Tribunal Superior de Justicia de Castilla y León condenó a la empresa a readmitir a la trabajadora o abonarle una indemnización de 5.462’42€, además de una indemnización adicional por daños morales de 3.000€, debido a la vulneración de su derecho fundamental a la protección de datos.

Conclusión

La empresa no pudo acreditar un interés legítimo superior al derecho fundamental a la protección de datos de la trabajadora, por lo que la causa del despido quedó invalidada. Este fallo sienta un precedente sobre los límites de las empresas para verificar CVs, priorizando el cumplimiento del RGPD incluso en casos de presunta mala fe del trabajador.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

Cómo un acceso a ASNEF costó el puesto a un directivo bancario: El TS equipara consultar morosidad sin causa al robo de información

por

La Sentencia del Tribunal Supremo nº37/2025 resuelve un recurso de casación presentado por Banco Sabadell SA contra una sentencia que declaró improcedente el despido disciplinario de un empleado por accesos no autorizados a ficheros de morosidad y retrocesión irregular de comisiones.

Hechos probados

El trabajador, que llevaba desde el 2000 trabajando para el Banco Sabadell, consultó datos en ficheros de morosidad de varias personas y empresas sin consentimiento, algunas de ellas sin relación contractual con el banco. Por ello, la entidad bancaria le comunicó su despido disciplinario, fundamentado en infracciones muy graves tipificadas en el art. 69.1 del convenio colectivo del sector de Banca, relativo al art. 54.2.d) del Estatuto de los Trabajadores.

El Banco alegó que el trabajador realizó varias consultas sin justificación de ficheros de morosidad. Concretamente, el empleado realizó, sin justificación alguna, búsquedas de hasta 4 personas físicas y una empresa en seis fechas distintas. Una de estas personas investigadas presentó una queja al Banco por haberse consultado sus datos personales tener una base legítima para ello y reclamó que se le compensara el daño ocasionado.

Asimismo, el actor también realizó retrocesiones de comisiones por un valor de 133’80€ a favor de un amigo que era cliente de otra oficina.

El trabajador despedido defendió sus acciones alegando que realizó los accesos a los ficheros de morosidad como una mera acción comercial. Por otro lado, respecto a las retrocesiones de comisiones, indicó que lo realizó como un favor a su amigo personal.

No obstante, el Banco decidió ejecutar el despido disciplinario al considerar los hechos como muy graves y constitutivos de transgresión de la buena fe contractual, abuso de confianza en el desempeño del trabajo y fraude o deslealtad en las gestiones encomendadas.

Decisión del Tribunal Supremo

En este supuesto, el Tribunal Supremo considera probada la transgresión de buena fe contractual y abuso de confianza por parte del ahora ex-empleado y subraya el uso indebido de facultades directivas para beneficiar a terceros sin interés empresarial. Además, destaca que los accesos realizados en más de una ocasión fueron accesos a datos sensibles sin base legítima, por lo que se constituye una vulneración del art. 20 de la LOPDGDD, precepto que indica que solo se puede consultar la información de los sistemas de información crediticia cuando se mantuviese una relación contractual con el afectado.

Por otro lado, se identifica también una vulneración del art. 5.1.f) RGPD, el cual prevé que los datos personales deben ser tratados garantizando una seguridad adecuada, incluyendo la protección contra el tratamiento no autorizado o ilícito (principio de confidencialidad).

Conclusión

Esta sentencia sienta precedente sobre el alcance del deber de lealtad en el manejo de datos personales, estableciendo que el uso no autorizado de sistemas de información crediticia por directivos bancarios, aunque sea puntual, justifica la extinción contractual por riesgo sustancial para los intereses empresariales.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la sentencia, haga clic aquí.

DNI vs RGPD: La delgada línea entre identificación legal y vulneración de datos

por

El Documento Nacional de Identidad (DNI) no está clasificado como dato de categoría especial  bajo el RGPD (no incluye información sobre salud, origen étnico u orientación sexual). Sin embargo, su tratamiento genera un debate legal y práctico por su potencial para identificar inequívocamente a una persona y su uso masivo en procesos empresariales. Por otro lado, las estafas, las suplantaciones de identidad y los perjuicios económicos derivados de las dos situaciones anteriores están a la orden del día, por lo que realmente se trata de un dato de un riesgo y relevancia vital.

La Agencia Española de Protección de Datos (AEPD) se ha pronunciado al respecto e indica que el DNI contiene datos especialmente sensibles y susceptibles de un mal uso, sobre todo con su recopilación o almacenamiento indebido, dado que un tercero que tenga acceso a estos puede suplantar la identidad del titular del DNI con total facilidad y perpetrar conductas que supongan un alto riesgo para la privacidad, el honor y el patrimonio del suplantado.

Así lo ha reflejado al sancionar con 100.000€ a una compañía por solicitar una fotocopia del DNI por correo electrónico para acreditar la identidad de una persona sin informar adecuadamente sobre el tratamiento de sus datos (artículo 13. RGPD) y sin cumplir con las medidas de seguridad adecuadas.

En este caso, la AEPD cuestiona el envío del DNI por correo electrónico, pues no lo considera una vía segura para la transmisión de unos datos tan sensibles como los que figuran en el DNI.

Por su parte, la reclamada no presentó el análisis de riesgos ni tenía implementadas medidas de seguridad adecuadas para garantizar que el envío de dicha información fuera seguro, por lo que la AEPD ha decidido sancionarla con 50.000€ por la ausencia de medidas de seguridad y otros 50.000€ por no facilitar información sobre el tratamiento.

Conclusión

La AEPD ha enviado un mensaje contundente: gestionar el DNI con negligencia no solo vulnera la privacidad, sino que abre la puerta a consecuencias legales y económicas. La próxima vez que solicites una copia del DNI, recuerda: identificar no es sinónimo de exponer.

Para leer la resolución, haga clic aquí.

Como siempre, cuidad los datos y ¡cuidaos!

¿Trabajas o te vigilan? La CNIL multa con 40.000€ a una empresa por controlar hasta el segundo de inactividad de sus empleados

por

El 19 de diciembre de 2024, la autoridad de protección de datos francesa (CNIL) impuso una sanción de 40.000€ a una empresa del sector inmobiliario por controlar a sus empleados sin informar, sin adoptar medidas de seguridad adecuadas y sin haber realizado una EIPD.

Hechos

A raíz de varias denuncias, la CNIL realizó una inspección en la que observó que la empresa filmaba constantemente a sus empleados y captaba la imagen y el sonido, además de medir su tiempo de trabajo y evaluar su rendimiento de forma muy precisa gracias al programa informático instalado en sus ordenadores.

El sistema de videovigilancia captaba constantemente imágenes y sonidos de los empleados del local, tanto en sus puestos de trabajo como en los espacios de descanso. Además, estas imágenes podían ser visualizadas por los supervisores mediante una aplicación móvil. Esta medida no fue justificada de ninguna manera, lo cual supone una clara vulneración excesiva de los derechos de los trabajadores, así como del principio de minimización de datos (art. 5.1.c) RGPD).

Por otro lado, en cuanto al software instalado en los ordenadores de los empleados para monitorear su actividad, la CNIL consideró que esta medida era totalmente desproporcionada y una vigilancia especialmente intrusiva. Este software permitía, además de contar las horas de trabajo, saber si el empleado no escribía en el teclado ni movía el ratón en un período de entre 3 y 15 minutos, en el cual también podían tomarse capturas de pantalla periódicas. En caso de detectar estos períodos de inactividad, si no se justificaban o compensaban, se aplicaba una deducción de salario.

La CNIL indicó que este programa no era fiable, dado que los períodos de aparente inactividad podían corresponder a tiempo de trabajo efectivo en el marco de sus funciones (como reuniones o llamadas telefónicas), por lo que no había una garantía de que el software cumpliese con su finalidad de forma correcta.

Además, el sistema, al permitir la captura de datos potencialmente privados (como correos electrónicos personales, conversaciones de mensajería instantánea o contraseñas confidenciales), constituía una vulneración desproporcionada de la privacidad, intereses y derechos fundamentales de los trabajadores, y el tratamiento de los datos carecía de fundamentación legal (art. 6 RGPD).

Asimismo, la empresa tampoco proporcionó información escrita suficiente sobre el tratamiento que realizaba el software de monitorización, ni en documentos de información internos de la empresa ni en los contratos de trabajo y de estudio de los empleados, lo que constituye una infracción del artículo 13 del RGPD.

En último lugar, la empresa tampoco realizó una evaluación de impacto sobre la protección de datos (EIPD) para el tratamiento que realizó al implementar el programa de monitorización, la cual era necesaria al haber un alto riesgo para los derechos y libertades de los empleados.

Conclusión

La monitorización excesiva y el control laboral sin tomar las medidas técnicas y organizativas necesarias transgreden los derechos de los empleados a niveles excesivos. Hay que recordar que siempre que se realiza un tratamiento de datos que afecta derechos sensibles, debe realizarse con cautela y actuando en el marco de la normativa de protección de datos.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

Día de la Protección de Datos 2025: Protegiendo Nuestra Privacidad en la Era Digital

por

El 26 de abril de 2006, el Consejo de Europa decidió fijar el 28 de enero como el Día de la Protección de Datos, dado que fue el 28 de enero de 1981 cuando se firmó el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108), primer instrumento jurídico internacional vinculante para proteger la privacidad en la era digital.

Esta fecha nos debería recordar la importancia de salvaguardar nuestra información personal en un mundo cada vez más conectado. Este año, la conmemoración adquiere especial relevancia ante los desafíos y avances en materia de privacidad digital, en especial, en áreas como la Inteligencia Artificial y neurociencia.

Desafíos que afrontar en 2025

El 2024 ha sido un año definitivamente lleno de decisiones regulatorias y judiciales que han transformado el ámbito de la privacidad de los datos. Hemos visto sanciones a Meta, LinkedIn, Uniqlo, OpenAI, Netflix y otras empresas conocidas que muestran las consecuencias de la falta de alineación con el RGPD.

Asimismo, también hemos vivido la entrada en vigor del Reglamento de Inteligencia Artificial, la cual es la primera ley en introducir ciertas directrices en relación con el uso de estas tecnologías avanzadas.

Estos sucesos evidencian la transformación digital que estamos viviendo y la necesidad de imponer la privacidad de nuestros datos como una prioridad legal.

Este nuevo año plantea nuevos retos para las empresas, las cuales van a tener que ajustarse a normativas más estrictas en esta materia, así como establecer medidas de seguridad para protegerse de las amenazas cibernéticas.

  • Reglamento de Cibersolidaridad: aprobado el 19 de diciembre de 2024 y con efectos en febrero de 2025, prevé los mecanismos que debe disponer la UE para aumentar su resiliencia y su capacidad de reacción en caso de recibir ciberamenazas.
    Sus objetivos se centran en: apoyar la detección y la conciencia de amenazas e incidentes de ciberseguridad significativos; reforzar la solidaridad a escala de la UE, gestionar de forma concertada las crisis y la capacidad de respuesta en todos los Estados miembros; y contribuir a garantizar un entorno digital seguro y protegido para los ciudadanos y las empresas.
  • Ley de Resiliencia Cibernética (CRA, por sus siglas en inglés): aprobada el 12 de marzo de 2024 y aplicable por completo a partir del 11 de diciembre de 2027, es la primera legislación que establece requisitos de ciberseguridad a los productos digitales a lo largo de su ciclo de vida. Las empresas deben prepararse ya para cumplir con los nuevos requisitos. Entre sus especificaciones, se encuentran: requisitos de ciberseguridad obligatorios, actualizaciones continuas para corregir las vulnerabilidades, notificación obligatoria de vulnerabilidades, supervisión de mercado y transparencia para los consumidores.
    Esta normativa (que complementa la NIS-2) se aplica a todos los fabricantes de productos digitales, independientemente de si tienen base en la UE o fuera de ella, siempre que ofrezcan productos en el mercado europeo; afecta a fabricantes de hardware, desarrolladores de software, distribuidores e importadores.
  • Directiva NIS-2: Entró en vigor el 16 de enero de 2023 y aplicable desde finales de 2024, se espera establecer la lista de entidades esenciales e importantes como máximo hasta el 17 de abril de 2025. Esta norma revisa y amplía la Directiva NIS-1 de 2016, dado que esta ha quedado obsoleta en el contexto actual en el que los incidentes de ciberseguridad han ido in crescendo.
    Establece obligaciones en materia de ciberseguridad para impulsar un nivel de ciberseguridad adecuado y común y busca proteger la infraestructura digital en los Estados miembros y armonizar los requisitos de ciberseguridad a nivel europeo. Sus ámbitos de intervención son los siguientes: exigencia de altos niveles de seguridad a los Estados miembros, creación de un Grupo de Cooperación entre Estados miembros, obligaciones de ciberseguridad a empresas públicas y privadas en sectores «esenciales» e «importantes».
    En España, se ha aprobado recientemente el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, la cual traspone al ordenamiento jurídico español la Directiva NIS-2. Este anteproyecto diseña la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad, que se encargará de la gestión de las crisis de ciberseguridad.
  • Reglamento DORA (Digital Operational Resilience Act): entró en vigor el 16 de enero de 2023 pero se estableció un periodo de dos años para desplegar sus efectos por completo. Se aplica a todas las entidades financieras de la UE y busca crear un marco jurídico común para la gestión de los riesgos digitales en el sector financiero.
    Debido al aumento global de ataques cibernéticos, quiere lograrse la ciberresiliencia en las entidades financieras para garantizar la estabilidad financiera en el continente, por lo que sus objetivos se centran en: gestión de riesgos en los sistemas, clasificación y notificación de incidentes en ciberseguridad, pruebas de resiliencia operativa digital, normativa para el intercambio de información segura, entre otros.  
  • Reglamento de Datos de la UE: entró en vigor el 11 de enero de 2024 pero será aplicable a partir del 12 de septiembre de 2025. Deriva de la necesidad que despierta el auge del Internet de las Cosas (IoT) y complementa el Reglamento de Gobernanza de Datos. Con esta ley, los precios de los servicios posventa y la reparación de los dispositivos inteligentes serán más bajos; habrá nuevas oportunidades para utilizar servicios basados en el acceso a los datos; y se establecerá un mejor acceso a los datos recogidos o producidos por un dispositivo.

  • Reglamento de Inteligencia Artificial: entró en vigor el 1 de agosto de 2024 y es la primera norma del mundo que regula la Inteligencia Artificial. Despliega efectos por completo el 2 de agosto de 2026; no obstante, algunas disposiciones serán aplicables a partir de 2025. Por ello, las empresas deben prepararse para ajustarse a la normativa cuanto antes.
    Esta norma prohíbe ciertas aplicaciones de IA que afectan los derechos fundamentales como los sistemas de categorización biométrica, reconocimiento facial, de emociones
    Además, establece obligaciones para promover la alfabetización en IA, requisitos de gestión de riesgos y transparencia y estructuras de gobernanza.

Cómo proteger tus datos

En honor al día de hoy, te recomendamos lo siguiente para poder proteger tus datos:

  1. Utiliza contraseñas robustas y autenticación de dos factores.
  2. Mantén tus dispositivos y software actualizados.
  3. Evita compartir información sensible en redes públicas.
  4. Sé cauteloso con los permisos que otorgas a las aplicaciones.
  5. Realiza copias de seguridad de forma regular.

Para las empresas

Las organizaciones deben:

  • Implementar políticas de protección de datos sólidas.
  • Formar a sus empleados en materia de privacidad y seguridad. Invertir en formación en este ámbito puede prevenir de brechas de seguridad o errores humanos.
  • Designar un Delegado de Protección de Datos cuando sea necesario.
  • Realizar auditorías periódicas de cumplimiento.

Recordemos que la protección de datos no es solo una obligación legal, sino una responsabilidad compartida que nos beneficia a todos. Este Día de la Protección de Datos tomemos conciencia y actuemos para salvaguardar nuestra privacidad en el mundo digital.

Como siempre, cuidad los datos y ¡cuidaos!

E-mails en baja: ¿intrusión digital o comunicación inocua?

por

¿Qué es el derecho a la desconexión digital?

Este derecho está reconocido en el art. 88 de nuestra Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) y se dispone como un requisito indispensable en una relación laboral para respetar el tiempo de descanso, permisos y vacaciones, así como de la intimidad personal y familiar de los empleados.

Con la incorporación del teletrabajo y las nuevas tecnologías, que no son más que herramientas que facilitan la comunicación a distancia, los límites de la comunicación en el ámbito laboral se vuelven más difusos. Sin embargo, es importante respetar el horario laboral de los empleados y velar por el derecho a la desconexión digital.

Comentario de la STSJ de Madrid 534/2024, del 26 de junio de 2024

El pasado 26 de junio, el Tribunal Superior de Justicia de Madrid dictaminó que el envío de correos electrónicos corporativos a una persona en situación de incapacidad temporal no vulnera el derecho a la desconexión digital.

En este supuesto, el centro educativo en el que la empleada estaba de baja le envió correos electrónicos durante su periodo de incapacidad temporal. Este hecho plantea cuestiones sobre el derecho a la desconexión digital de los trabajadores, especialmente durante periodos de baja médica.

Cabe destacar que la demandante comunicó en reiteradas ocasiones que no contactaran con ella y que, a raíz de este hecho, se dejaron de enviar comunicaciones. Por lo tanto, el centro educativo respetó la solicitud de la trabajadora de no ser contactada, en alineación con el derecho a la desconexión digital.

En su recurso, la demandante alegó la vulneración de varios artículos relacionados con la protección de datos y el derecho al descanso, incluyendo el artículo 88 de la LOPDGDD y el artículo 18 de la Constitución Española. Argumentó que el envío de emails durante su incapacidad temporal entorpecía su recuperación y constituía una intromisión en sus derechos.

La parte demandada alegó que los correos electrónicos fueron enviados a la cuenta corporativa de la demandante como miembro del equipo docente y que, además, fueron enviados de manera automática al formar parte del listado de trabajadores del centro, por lo que la trabajadora no tenía obligación de abrir o leer estos correos durante su periodo de incapacidad temporal.

Además, se menciona que, tras la solicitud de la demandante en junio de 2023, su cuenta fue retirada de los grupos de trabajo. Esto indica una respuesta positiva a la petición de desconexión por parte del centro educativo.

Conclusión

La sentencia distingue entre los correos enviados desde la cuenta del centro y los enviados por un individuo desde su cuenta personal. Esto plantea cuestiones sobre la responsabilidad institucional frente a las acciones individuales en materia de desconexión digital.

Este caso ilustra la complejidad de equilibrar la comunicación laboral con el derecho al descanso y la desconexión, especialmente durante periodos de incapacidad temporal. La sentencia sugiere que, si bien inicialmente hubo comunicaciones no deseadas, el centro educativo finalmente respetó la solicitud de desconexión de la trabajadora, por lo que no hubo vulneración alguna.

Puede leer la sentencia aquí

Como siempre, cuidad los datos y ¡cuidaos!

Netflix: privacidad primero, ¡por favor!

por

Como decía Tim Cook, CEO de Apple, en una declaración de 2018, «Nuestra información personal, desde lo cotidiano hasta lo más íntimo, se ha convertido en un arma que se utiliza contra nosotros mismos con precisión militar. (…) Cada día, se mueven miles de millones de dólares y se toman innumerables decisiones sobre la base de nuestros gustos, amigos y familiares, relaciones y conversaciones, deseos y miedos, esperanzas y sueños (…) Estos datos, inofensivos por separado, son cuidadosamente combinados, sintetizados, analizados, comercializados y vendidos. Llevado al extremo, este proceso crea un perfil digital permanente de cada uno de nosotros y permite a las empresas conocernos mejor de lo que nos conocemos a nosotros mismos.» (1)

Ya hace años que se habla de la economía de datos y de los nuevos modelos de negocio denominados «privacy-first«, es decir, aquellos que anteponen la privacidad y que no requieren de la extracción de datos, ya que no monetizan los datos personales. Ya sabemos que no es fácil para muchas empresas pero no tener muy presente la privacidad tiene consecuencias.

La DDPA (Dutch Data Protection Authority), Agencia neerlandesa de Protección de Datos, ha propuesto una sanción de 4’75M€ a Netflix debido a la vulneración de ciertos principios del RGPD.

A raíz de una investigación iniciada en 2019 por el Centro Europeo para Derechos Digitales (NOYB, por sus siglas en inglés de None Of Your Business), la DDPA ha concluido que Netflix no ofrecía a los clientes información suficiente sobre el tratamiento de sus datos personales entre 2018 y 2020 y la información ofrecida no era transparente.

El Centro Europeo para Derechos Digitales, que es una organización sin ánimo de lucro fundada en Viena en 2017, fue el que identificó las vulneraciones del RGPD de Netflix—en especial, el art. 15—y advirtió a la Autoridad de Protección de Datos austríaca, la cual trasladó el expediente a la neerlandesa, dado que Netflix tiene su sede europea en Países Bajos.

Según la Agencia neerlandesa, la compañía de streaming no era lo suficientemente clara en los siguientes puntos:

  • Base de legitimación para recoger y tratar los datos personales ( 6 RGPD).
  • Comunicación de datos a terceros.
  • Período de conservación de datos.
  • Medidas de seguridad en transferencias internacionales de datos.

Por otro lado, cuando los usuarios se ponían en contacto con Netflix para ejercer sus derechos en el ámbito de la protección de datos, la compañía no ofrecía respuestas claras al respecto.

Si bien la decisión de la DDPA ha sido celebrada por NOYB, Stefano Rosetti, abogado del Centro ha criticado el largo periodo de tiempo—cinco años—que ha transcurrido para adoptar una postura teniendo en cuenta que «era un caso muy claro».

Netflix actualizó su política de privacidad en 2020 y ha ampliado la información ofrecida a los usuarios, sin embargo, se ha opuesto a la multa.

NOYB ha iniciado reclamaciones similares contra Amazon, Apple Music, Spotify y Youtube. En el caso de Spotify, la IMY (Autoridad de Protección de Datos sueca) impuso una multa de 5M€ por vulnerar el art. 15 RGPD.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la Resolución, haga clic aquí

(1) Del Infome Digital Future Society. (2019). Privacy-first: un nuevo modelo de negocio para la era digital. Barcelona, España.

Revisión Textos Legales Web