Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Google no olvida. La AEPD tampoco …

por

La Agencia Española de Protección de Datos (AEPD) acaba de sancionar a Google con una multa récord de 10 millones de euros por cometer dos infracciones muy graves: una, por ceder datos a terceros y la otra por obstaculizar con un formulario confuso que la tecnológica ponía a disposición de los usuarios, precisamente, para ejercer el derecho al olvido.

Dos infracciones muy graves contra la normativa de protección de datos que suponen una multa récord de 10 millones de euros por ceder datos a terceros sin legitimación para hacerlo y obstaculizar el derecho de supresión de los ciudadanos, vulnerando los artículos 6 y 17 del Reglamento General de Protección de Datos (RGPD).

En cuanto a la primera, la cesión inconsentida de datos, la Agencia ha constatado que Google envía al Proyecto Lumen información de solicitudes que le hacen los usuarios, incluyendo la identificación, dirección de correo electrónico, motivos alegados y la URL reclamada. La finalidad del proyecto es la recogida y puesta a disposición de solicitudes de retirada de contenido en una base de datos accesible al público, lo que, en la práctica, supone frustrar la finalidad del derecho de supresión.

Recordemos que el derecho al olvido permite solicitar, en determinadas condiciones, que los enlaces a tus datos personales no figuren en los resultados de una búsqueda en Internet realizada en tu nombre. El ejercicio de este derecho no elimina el contenido en sí pero, al no estar disponible en los motores de búsqueda de los indexadores (Google, Bing, Yahoo, etc.), lo hace más difícil.

Lumen Database dispone de un buscador de reclamaciones que se alojan en su base de datos que se puede consultar por diversos parámetros (palabras clave, remitentes, temas, …)

De manera que, si puedes encontrarlo en la base de datos de Lumen ya no existe el derecho al olvido.

En cuanto a la segunda, el ejercicio del derecho mediante el formulario que ofrece Google, la AEPD ha entendido que es complejo, confunde al usuario y hacía muy difícil que se pudiera ejercer el derecho al olvido correctamente. El sistema conducía al interesado a través de varias páginas para cumplimentar la solicitud, sin mencionar la normativa de protección de datos de referencia, obligándolo a marcar opciones que se le ofrecían sin explicaciones.

Como resultado de este procedimiento, queda a criterio de Google la decisión de cuándo se aplica y cuándo no el RGPD, de forma que «aceptar el derecho de supresión de datos personales queda condicionado por el sistema de eliminación de contenidos por parte de la entidad responsable».

Según Google, ya han comenzado a «reevaluar y rediseñar las prácticas de intercambio de datos con Lumen a la luz de las consideraciones de la AEPD«. De las consideraciones y, apuntamos, de la sanción.

Seamos cuidadosos con nuestra información porque cuando ésta se publica en Internet ya no queda en nuestras manos. ¡Como siempre, cuidaos!

UE-EEUU, luz al final del túnel?

por

Pocos días atrás, saltó la noticia de que la UE y EEUU habían llegado a un acuerdo para transferir, entre ambos espacios, datos personales, garantizando su privacidad. La transferencia de datos estaba suspendida desde el pasado 2020, cuando el Tribunal de Justicia de la Unión Europea (TJUE) anuló el acuerdo llamado “Privacy Shield” al considerar que EEUU no ofrecía suficientes garantías por la privacidad de los ciudadanos europeos.

Este anuncio del Presidente Biden debe tomarse, como siempre, con mucha cautela, por varias razones. Primero, porque por lo que parece, estamos ante una declaración de intenciones. Segundo, porque, de ser así, hay mucho trabajo por delante y no es una cuestión que se va a resolver en unas semanas. Y, tercero, porque, o mucho nos equivocamos pero cuesta creer que Max Schrems (el activista que impulsó las demandas que dieron origen a la anulación) se conforme sin presentar batalla.

Ya hemos hablado de la cuestión en varias ocasiones (1,2,3,4) pero hacemos un resumen de cómo hemos llegado hasta aquí.

Aunque el RGPD prevé otros mecanismos para blindar la privacidad de los datos en las transferencias internacionales (por ejemplo, las SCC –Standard Contractual Clauses– o las BCR –Binding Corporate Rules) es evidente que un acuerdo marco de adhesión por parte de las empresas americanas como el Privacy Shield facilitaba mucho las cosas, a ambos lados del Atlántico. Las empresas americanas sólo tenían que adherirse con un auto-certificado a los principios establecidos por el Departamento de Comercio de EEUU. Y las empresas, además de cumplir con sus obligaciones, sólo tenían que asegurarse de que la empresa que trataba a los datos estaba en la lista. Este planteamiento saltó por los aires en julio del 2020 con la citada sentencia.

¿Y que supone que el Escudo de Privacidad no esté en vigor? Pues que vayamos hacia dos años de incumplimiento continuado. Google, Facebook, Mailchimp y todas las empresas americanas que dan servicio a empresas europeas están en falso. Y las empresas europeas están, directamente, incumpliendo porque transfieren datos sin garantías. A veces de forma muy grosera como puede ser el caso de Mailchimp y otras, de forma más sutil como puede ser usando Google Analytics.

¿Y que dice el comunicado que pretende resolver la situación?

Pues literalmente dice que «Hoy hemos logrado un acuerdo sin precedentes sobre la protección de la privacidad de los datos y la seguridad de nuestros ciudadanos«. El acuerdo “permitirá el flujo de datos entre la UE y EEUU de forma predecible, fiable, equilibrando la seguridad, los derechos a la privacidad y la protección de datos”, aseguró Von der Leyen. Y, según Biden, que se reanude el flujo de datos tendrá un impacto positivo estimado en unos 6.500 millones de euros.

Intereses económicos versus privacidad. Y, está claro, al final debemos conseguir lo mejor de ambos aspectos: permitir la transferencia de datos sin perjudicar a las empresas y su economía pero manteniendo la privacidad que emana del RGPD. Por esa es la garantía de la prosperidad por las economías occidentales.

Como siempre, ¡vigile sus datos y cuídese!

¿Del interfono al Whatsapp?

por

Digo lo del interfono porque todavía no lo sabemos manejar correctamente y ahora cada día tenemos que aprender cosas nuevas. Pues bien, hoy toca repasar el Whastapp, que todos utilizamos, porque hay aspectos de los que quizás no somos conscientes de ello y pueden ocasionarnos problemas. Existen conductas, incluso, que pueden tipificarse como delito y tener consecuencias penales.

Más allá de cuestiones básicas como la de pedir el consentimiento para añadir a alguna persona a un chat grupal (ejemplo clásico son el grupo de padres de la clase o el grupo de viaje, en el marco de la normativa de protección de datos) o la difusión de imágenes íntimas, con o sin consentimiento (que vulnera el artículo 197.7 de nuestro Código Penal) y existen otras conductas más desconocidas que también pueden acarrear consecuencias.

Hablamos, por ejemplo, de prácticas muy habituales como es el compartir fotografías y reenviar capturas de pantalla con conversaciones ajenas, y archivos, mediante Whatsapp. Son infracciones, sino delito, cuando se realiza sin el consentimiento de los afectados y son especialmente graves cuando los datos se difunden de forma abierta ya un gran número de destinatarios. Sin olvidar la protección de los menores y personas vulnerables.

En estos supuestos podríamos estar lesionando el derecho a la intimidad o al honor de las personas implicadas. También puede ser delito difundir audios, vídeos o simplemente imágenes de un tercero sin consentimiento. En los casos más graves se puede incurrir en un delito de descubrimiento y revelación de secretos.

Otra conducta a la que quiero referirme es al espionaje del móvil de otra persona. Acceder al contenido de un móvil ajeno y hacerse con la información que contiene –fotos, vídeos, conversaciones, etc. es delito si no está autorizado por el propietario del dispositivo. Si además se reenvía la información a otras personas también se comete una ilegalidad, incluso la cometen quienes la difunden aunque no hayan participado en su obtención. Recordemos algunos ejemplos, a veces muy tristes, como el de la trabajadora de Iveco o el de Amanda Todd.

Respecto al espionaje, cabe decir que el Código Penal castiga incluso la mera adquisición de programas o contraseñas destinados a facilitar el acceso al dispositivo de otra persona. Pero si, además, se instalan y descubre la intimidad del propietario, estaríamos ante un delito de descubrimiento y revelación de secretos recogido en el citado artículo 197 del Código Penal que prevé penas de prisión de uno a cuatro años y multa de doce a 24 meses. No es ninguna broma.

Nos dejamos en el tintero muchos otros conductos habituales que tienen carácter de ilícitas como pueden ser las amenazas, las injurias, las calumnias, el grooming (engatusar a menores para que faciliten material sexual explícito), el stalking (acoso) y otros.

La tecnología pone en nuestras manos medios que hasta hace poco eran ciencia ficción. Debemos aprender a utilizarlos y, sobre todo, formar a los menores porque, desde la inconsciencia propia de la edad, existen conductas que, más allá de su reproche penal, pueden tener graves consecuencias para las personas afectadas. Como siempre, sentido común y prudencia.

Aprenda, también, cómo funciona el interfono que va siendo hora. ¡Cuidados!

Cuando la realidad supera a la ficción, una vez más

por

La RAE recoge en su diccionario, bajo la primera acepción de realidad, la «existencia real y efectiva de algo». Y, en la segunda, «verdad, lo que ocurre verdaderamente». Y por realidad virtual, la “representación de escenas o imágenes de objetos producida por un sistema informático, que da la sensación de su existencia real”.

Viene esto a cuento de algunas noticias aparecidas en los medios en los últimos días referidas a los “deepfakes”. El término se popularizó el pasado año a raíz de la aparición en la red social TikTok de la cuenta “deeptomcruise” que en cuestión de minutos se volvió viral con millones de seguidores.

En la cuenta se pueden ver imágenes del famoso actor haciendo trucos de magia, tocando la guitarra, promocionando productos de limpieza industrial y otras actividades, todas ellas con el denominador común de ser falsas o, como ahora se dice, “fakes. Esto con un realismo inquietante por las posibilidades, tan buenas como malas, que se nos pueden ocurrir.

Tanto es así que provocan el efecto que se denomina «uncanny valley«. Una hipótesis que afirma que cuando las réplicas antropomórficas se acercan en exceso a la apariencia y comportamiento de un ser humano real, causan una respuesta de rechazo entre los observadores humanos. Vale la pena visualizar algunos vídeos para hacernos una idea hasta dónde puede llegar esta tecnología que no ha hecho más que empezar.

De hecho, según Scientific American, «los humanos encuentran las caras generadas por IA más fiables que las reales«. Lo cierto es que las imágenes generadas por ordenador con Inteligencia Artificial son prácticamente indistinguibles de las caras humanas.

Y esta tecnología plantea muchas cuestiones a las que se les tendrá que dar respuesta. Porque esto va más allá del Photoshop o de los extraordinarios efectos especiales a los que Hollywood nos ha acostumbrado en los últimos años. Ahora cualquiera puede, de forma muy fácil y económica (en Internet hay muchos programas para hacerlo), sustituir una cara en un vídeo o en una foto y que resulte imperceptible al espectador.

Tecnología que permite desde bromear o divertirse poniendo la propia cara a un personaje de ficción en el cine (podemos ser Rick o Ilsa en Casablanca, por ejemplo) hasta hacer campañas de desinformación (políticas o de otro tipo ), creación de escenas porno falsas para chantajear o cualquier otra actuación orientada al fraude, al abuso o cualquier iniciativa orientada a extorsionar a otro.

Naturalmente, como con cualquier nueva tecnología, ya han salido al mercado herramientas para ayudar a identificar a los “deepfakes” y ha comenzado la guerra entre dos tecnologías opuestas. Y también, como era previsible, ya aparecen voces que proponen prohibir la tecnología por los peligros que puede acarrear. Prohibición que, obviamente, tendrá poco recorrido. Creo más posible la instalación en el dispositivo de un software tipo antivirus que detecte los deepfakes, por lo que no seamos tomada de los delincuentes.

Y esto, sin duda, no ha hecho más que empezar.

Como siempre, ¡cuidados!

 

¿Qué sabes de Google Analytics?

por

Pues si sabes poco o nada y tienes una web que utiliza cookies para recoger datos de Google Analytics, ya puedes ir aprendiendo rápido. El Supervisor Europeo de Protección de Datos acaba de sancionar al Parlamento Europeo por infringir el Reglamento de Protección de Datos al utilizar, precisamente, Google Analytics.

No deja de tener gracia que la primera sanción de este tipo se haya impuesto en el Parlamento Europeo. Está claro que, a partir de ahí, todos –empresas, administraciones, instituciones, etc.– tendrán que cumplir la normativa porque, como decía el clásico de Rojas Zorrilla, “del rey abajo, ninguno”.

Durante la pandemia, el Parlamento contrató a una empresa para la realización de pruebas de detección de Covid a los europarlamentarios y al resto de trabajadores de la Cámara. Los usuarios debían registrarse en la web del proveedor que utilizaba cookies de Google Analytics y de la pasarela de pago Stripe. Los datos personales recogidos eran transferidos a Estados Unidos sin suficientes garantías de protección. El Parlamento ha estado apercibido y obligado a actualizar los avisos relativos al tratamiento de los datos personales.

¿Y esto en qué nos afecta? Pues que cualquier web, y son la mayoría, utilizan cookies de Google Analytics y los datos recogidos son transferidos a Estados Unidos, cometen una infracción en materia de protección de datos. No es el único caso. MailChimp es otra empresa muy conocida, que se utiliza por miles de empresas para hacer mailings, que tampoco cumple con la normativa. Y sus clientes, por tanto, tampoco.

Y esto, ¿por qué ocurre?

Pues eso ocurre porque en el verano de 2020, a raíz de la histórica sentencia conocida como Schrems II, una resolución del Tribunal de Justicia de la Unión Europea invalidó el escudo de protección de la privacidad (Privacy Shield) entre la Unión Europea y los Estados Unidos por no cumplir con los niveles de protección comunitarios. Lo que significa que si queremos continuar transfiriendo datos deberemos hacerlo aumentando las garantías por el usuario (por ejemplo, con Cláusulas Contractuales Tipo CTT, Normas Corporativas Vinculantes NCV y otros).

Si no se establecen las garantías y medidas técnicas adecuadas, a las empresas españolas –europeas– no les que otro que alojar los datos en servidores localizados fuera de Estados Unidos. Y puestos a cambiar, la recomendación es hacerlo en territorio comunitario. Y lo que decimos es válido, no sólo para el cloud sino también para aquellas aplicaciones que utilizamos a diario y que, muchas veces inadvertidamente para casi todos, transfieren los datos a un país no adecuado.

Lo dicho. Tenga cuidado. Y cuando contratamos un servicio (web, cloud, marketing, etc.) hacemos la pregunta de rigor: ¿se realizan transferencias internacionales de datos personales? Y no nos conformamos con una respuesta verbal. Pidámoslo por escrito al proveedor.

Como siempre, cuide los datos y ¡Cuídese!

¿Publicas fotos de tus trabajadores en la web o en las redes sociales?

por

Pues hay que tener cuidado. La AEPD ha sancionado a una empresa con 9.000 euros por publicar en su web y redes sociales fotos de un trabajador sin su consentimiento.

Porque publicar imágenes de un trabajador sin permiso es sancionable pero no hacer caso a las peticiones para retirarlas aún más. Esto es lo que le ha pasado a una empresa de formación que ha sido sancionada con 9.000 € por tratar los datos del trabajador sin consentimiento (6.000 €) y no atender a las demandas para eliminar las imágenes de las redes sociales (Facebook e Instagram), otros 3.000€. Además del coste reputacional, por supuesto. No es ninguna broma.

Así lo ha entendido la AEPD en su Resolución de Procedimiento Sancionador. La empresa publicó fotografías de la trabajadora sin consentimiento. La trabajadora pidió a la empresa, al menos en dos ocasiones, que retiraran las fotografías en las que aparecía, sin que la empresa atendiera su petición. Tras intentarlo una segunda vez, de nuevo sin éxito, la trabajadora afectada presentó una reclamación, en noviembre de 2020, ante la AEPD.

La Agencia intentó ponerse, por distintas vías, en contacto con la empresa sin conseguirlo. Quedó acreditado que la empresa había llevado a cabo un tratamiento de datos consistente en haber subido las fotografías a su página web y sus redes sociales. No consta que la exhibición de las imágenes estuviera amparada por ninguna base legitimadora del arte. 6 RGPD (por ejemplo, el consentimiento), quedando acreditada la comisión de la infracción.

Para agravarlo más si cabe, la empresa no atendió el derecho de supresión de la interesada, amparado por el artículo 17 RGPD, y no excluyó los datos personales de su tratamiento. Según este artículo “el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”. Y el responsable estará obligado a suprimir sin tardar los datos personales cuando, entre otras condiciones, se dé la recogida en el apartado “d) los datos personales hayan sido tratados ilícitamente”.

Para graduar las sanciones, la Agencia considera que los tratamientos vienen de lejos -desde 2017 a 2020-, la cantidad no es escasa y el alcance es importante ya que figuran en dos redes sociales y la propia web de la empresa. Respecto a la infracción por no atender el derecho de supresión del artículo 17 RGPD, la Agencia relata que se solicitó en dos ocasiones, sin obtener ninguna respuesta, lo que pone de manifiesto una falta de cumplimiento en los deberes que le corresponden a la empresa.

Aprendamos la lección. No se pueden publicar imágenes de los trabajadores sin su consentimiento. Atendamos las peticiones de supresión que nos hagan. La carencia de diligencia es imperdonable. Y un recordatorio. Cuando un trabajador deja la empresa (despedido o por voluntad propia), recordemos suprimir las imágenes en las que aparece (web, redes, folletos, anuncios, etc.). Salvo, claro, que no tengamos su consentimiento expreso.

Como siempre, ¡Cuidados!

La agresión sexual ya está pasando en el Metaverso

por

Meta afirma que los usuarios no lo usaban correctamente. La plataforma de realidad virtual  Horizon Worlds, apenas acaba de presentarse al público, y los usuarios ya están siendo asediados sexualmente e incluso agredidos, según podemos leer en The Verge.

Empecemos por el principio. ¿Qué es Meta? El pasado mes de octubre, por los que lo desconocen, el inefable Mark Zuckerberg presentó Meta, la nueva marca de Facebook, la finalidad de la cual será dar vida al metaverso y ayudar la gente a conectarse, encontrar comunidades y hacer crecer negocios. En la presentación, Zuckerberg explicó que, a partir de ahora, su compañía se centraría en hacer realidad esta idea, la del metaveros, y, por lo tanto, tenía sentido cambiar el nombre para reflejar mejor sus objetivos: Facebook ahora se llama Meta.

La realidad es que, según parece, el cambio de nombre representa un intento por deshacerse de lo que los propios empleados consideran una marca tóxica y que afecta, cada día más, a la percepción de sus productos. La marca que hasta hace unos años era reconocida y valorada, ha perdido su reputación, justo es decir, que por los errores cometidos por su fundador. Los escándalos de privacidad se asocian cada vez más con la marca FB. Recordamos solo el de Cambridge Analytica que, a pesar de ser de los más famosos, no ha sido el único ni mucho menos.

¿Y qué es entonces el metaverso? Podríamos entenderlo como un ciberespacio evolucionado. En un sentido amplio, involucra una serie de tecnologías, la primera de las cuales es la realidad virtual, caracterizada por mundos virtuales persistentes que continúan existiendo, con vida propia, aunque tú no estés. El acceso al metaversp se hace a través de gafas de realidad virtual como, por ejemplo, Oculus. El metaverso abre nuevos horizontes y un montón de posibilidades. Cómo podía ser Internet a finales de los 70 del siglo pasado. Nadie sabía exactamente cómo sería pero todo el mundo (los que estaban al corriente de la tecnología) tenían la percepción que sería una cosa grande. Bien, al final esta siendo una cosa inmensa que no se ve donde acabará.

Y todo esto es para explicar que la nueva plataforma de Zuckerberg ya ha sufrido el primer tropiezo. En efecto, ya han llegado las primeras denuncias por acoso e incluso por agresión sexual en el metaverso. Según un testigo, “No solo me palparon ayer noche, sino que había otras personas que apoyaron a este comportamiento que me hizo sentir aislada en la Plaza.”

La condición humana no cambia ni tanto solos en el metaverso. Comportamiento delictivo en unos y mirar hacia otro lado, los otros. Está claro que nos tenemos que adaptar a lo que está por venir porque es inevitable. De manera similar a que no podemos ir contra la ley de la gravedad, tampoco podemos ir contra el metaverso. Eso sí, ya de buen comienzo tenemos que asentar las bases de convivencia. Si no, se nos irá de las manos.

Como siempre, cuidaos (en el metaverso, también)!

FanPages, cumplimiento obligado del RGPD

por

A raíz de una consulta empresarial, hacemos este post para aclarar conceptos sobre la relación entre las FanPages y el RGPD. La respuesta corta es que sí, las empresas que las usan tienen que cumplir con la normativa de protección de datos.

Empezaremos para explicar, para quien no lo sepa, qué es una FanPage. Las fanpages son una funcionalidad que Facebook introdujo ya hace años. Es una página creada especialmente para ser un canal de comunicación con fans dentro de la red social.

A diferencia de los perfiles, son espacios que reúnen a personas interesadas sobre un asunto, empresa, causa o algún rasgo en común sin la necesidad de la aprobación de la solicitud de amistad. Es el fan el que elige si seguirá o no las actualizaciones de una determinada página.

Son canales de comunicación muy apreciados por las empresas porque es una forma económica, rápida, sencilla y cuantificable de comunicar en tiempo real con clientes potenciales. Una especie de televisión o radio pero con unos costes infinitamente más económicos.

La consulta que nos hacía el empresario era básicamente sobre dos puntos ¿Estamos obligados a cumplir con el RGPD? y, si es así, ¿Qué tenemos que hacer?

A efectos de la normativa de protección de datos, estas páginas funcionan como una página web. Recogen datos personales de los usuarios y, por lo tanto, se tiene que aplicar la misma normativa, es decir, proporcionar acceso al Aviso legal, a la Política de Privacidad y a la Política de Cookies de la empresa. Y naturalmente que toda la documentación cumpla la normativa vigente. Si además, como es frecuente, la empresa instala el píxel de seguimiento de Facebook, con más motivo. Pero del píxel ya hablaremos otro día.

Dicho esto y entienden que es una página situada en una plataforma en la que la empresa tiene muy poco margen de maniobra, conviene establecer quién es realmente el responsable de los datos personales, la empresa o Facebook. Pues bien, lo son los dos.

Una sentencia de junio de 2018 del Tribunal de Justicia de la Unión Europea resolvió que el concepto de responsable del tratamiento comprendía también al administrador de un página web alojada en una red social. Según la sentencia, a pesar de que Facebook trata los datos personales mediante cookies sin informar a la empresa, no es menos cierto que FB pone a disposición de la empresa estadísticas (anónimas) de los visitantes y que la empresa puede definir criterios a partir de los cuales se tienen que elaborar las estadísticas e, incluso, designar las categorías de personas los datos de las cuales serán objeto de explotación por parte de FB. La sentencia concluye que el administrador de la página tiene que ser calificado como responsable del tratamiento conjuntamente con FB.

Por lo tanto tenemos que cumplir con lo siguiente: informar de los datos y su finalidad, recoger el consentimiento explícito para el tratamiento, pedir solo los datos necesarios, no usar los datos con una finalidad diferente a la pedida, no conservar los datos más tiempos del necesario, implementar medidas organizativas adecuadas, atender las solicitudes de ejercicio de los derechos de los usuario y crear la correspondiente actividad en el Registro.

Como siempre, atentos a todos los detalles de cumplimiento. Y si tenéis dudas, consultadnos.

Y lo más importante, cuidaos!

Registro de Jornada y Datos biométricos, una relación difícil

por

El tratamiento de datos biométricos siempre comporta una dificultad añadida cómo es la de realizar la obligatoria Evaluación de Impacto (EIPD). La identificación biométrica implica el tratamiento de categorías especiales de datos para las cuales el Reglamento requiere garantías reforzadas. Las identificaciones más comunes de este tipo son la facial y la huella digital. De esta última y de las consecuencias de hacerlo mal hablamos en este post.

Y es que la AEPD acaba de sancionar a una empresa por implantar indebidamente un registro de jornada laboral mediante la huella digital. En la resolución se imputa a la reclamada que, al tratarse de datos de categoría especial y existiendo la obligación  de hacer una Evaluación de Impacto, incumplió el artículo 35 RGPD. Este artículo dice que cuando sea probable que el tratamiento, en especial si se usan nuevas tecnologías, puede comportar un alto riesgo para los derechos y libertades de las personas físicas, el responsable realizará, antes del tratamiento, una Evaluación de Impacto de las operaciones de tratamiento en la protección de datos personales.

En la Resolución, la AEPD considera que la empresa trataba datos de categoría especial, datos biométricos, pero la empresa insiste en que la tecnología empleada es la de verificación / autenticación biométrica que no entra en la categoría especial de datos y, en consecuencia, no exigiría la realización de EIPD. Los datos de identificación biométrica que permiten identificar de manera unívoca a una persona física serían las que obligarían a realizar la Evaluación, como es el caso que nos ocupa.

También señala la Resolución que existen medios menos intrusivos para mantener este tipo de registros y que la tecnología empleada no superaba el necesario juicio de proporcionalidad que se tenía que haber hecho y que hay sistemas alternativos como, por ejemplo, tarjetas identificativas.

Desde el punto de vista laboral, la Agencia considera que las empresas no tendrían que ampararse en el consentimiento como base legitimadora del tratamiento, salvo que se trate de casos excepcionales. Esto es porque no se parte de una posición de equilibrio entre las partes ya que en la relación laboral hay una relación de subordinación. El consentimiento solo puede ser válido si el interesado puede realmente elegir y no existe un elemento de compulsión, presión o incapacidad para ejercer la libre voluntad. Además, tiene que ser posible retirarlo en cualquier momento, sin coste ni desventaja para el interesado, y se tienen que ofrecer alternativas. Por último, los interesados tienen derecho a la supresión de los datos cuando el consentimiento se ha retirado.

Como conclusión, decir que la tecnología de reconocimiento biométrico es muy invasiva, que hay que distinguir entre identificación biométrica (requiere Evaluación de Impacto) y autenticación biométrica, menos intrusiva, y que hay sistemas más proporcionados para llevar el control de la jornada horaria de los trabajadores. Importante tener esto en cuenta, porque la sanción asciende a 20.000 € para este caso concreto.

Como siempre, cuidaos!

Revisión Textos Legales Web