AEPD

La Liga (LFP) bajo Vigilancia

por

En una era donde la tecnología se entrelaza cada vez más con la vida cotidiana, la privacidad de los datos se ha convertido en un tema de discusión fundamental. Recientemente, la Agencia Española de Protección de Datos (AEPD) ha puesto el foco en La Liga de Fútbol Profesional (LFP) por el uso de sistemas de reconocimiento facial en los estadios. Este aviso no solo resalta los desafíos que enfrentan las grandes organizaciones, sino que también envía un mensaje crucial a las empresas en general sobre la importancia de navegar con cuidado en el complejo mundo de la biometría y la protección de datos.

De hecho, ya nos referimos al tema semanas atrás cuando la AEDP publicó la  Guía sobre tratamientos de control de presencia mediante sistemas biométricos para el control de presencia y acceso a los puestos de trabajo. La publicación supuso un importante cambio de postura de la Agencia respecto al uso de la biometría en el acceso y el control laboral.

 

Reconocimiento Facial y Privacidad

El reconocimiento facial, una forma de biometría, se ha utilizado cada vez más para mejorar la seguridad en lugares públicos, incluyendo estadios deportivos. Aunque estas tecnologías ofrecen beneficios significativos en términos de seguridad, también generan preocupaciones considerables sobre la privacidad y los derechos individuales. La AEPD ha llamado la atención sobre este equilibrio delicado, enfatizando la necesidad de cumplir con regulaciones estrictas, como el RGPD.

 

La Respuesta de La Liga (LFP)

Frente a las advertencias de la AEPD, La Liga ha defendido su uso de sistemas de reconocimiento facial, argumentando que su principal objetivo es garantizar la seguridad en los estadios.

La Liga sostiene que esta tecnología ayuda a identificar a individuos que puedan representar una amenaza, como aquellos con prohibiciones de acceso o implicados en actos violentos previos. Esta justificación se basa en la premisa de que la seguridad colectiva puede requerir medidas más robustas, aunque intrusivas.

Sin embargo, esta posición plantea un importante debate: ¿hasta dónde puede llegar una organización en la implementación de tecnologías de vigilancia bajo la premisa de la seguridad, sin vulnerar los derechos individuales de privacidad?

Y este debate afecta también a todas las empresas y organizaciones.

 

Implicaciones para las empresas

A falta de ver como se resuelve el contencioso entre La Liga y la AEPD, y a la espera de ver si La Liga es capaz de encontrar soporte jurídico para sus pretensiones, las empresas deben ser conscientes de que cualquier tecnología intrusiva, especialmente aquellas que procesan datos biométricos, requiere un análisis exhaustivo en términos de cumplimiento normativo, previo a su aplicación.

Es fundamental que las empresas evalúen no solo los beneficios de seguridad y eficiencia que estas tecnologías pueden ofrecer, sino también el impacto en la confianza y la privacidad de los individuos. Adoptar un enfoque transparente y responsable, alineado con las directrices de la AEPD y el RGPD, es esencial para evitar sanciones y preservar la reputación de la empresa.

 

Conclusión

La advertencia de la AEPD a La Liga por el uso de reconocimiento facial en estadios es un recordatorio oportuno para las empresas sobre la importancia de equilibrar la innovación tecnológica con el respeto a la privacidad y la normativa de protección de datos. Este caso subraya la necesidad de un manejo cuidadoso y ético de tecnologías potencialmente intrusivas, instando a las empresas a considerar no solo las ventajas operativas, sino también las implicaciones legales y sociales de su implementación.

Estamos a las puertas de una nueva edición del Mobile World Congress (MWC) a celebrar en Barcelona. El año pasado hicieron un uso intensivo del reconocimiento facial para la gestión del acceso de los visitantes. Veremos qué solución aplican este año.

Mientras tanto, ¡cuidaos mucho!

¿Privacidad sin límites?

por

La pregunta es, ¿Qué distingue a las violaciones de la privacidad de otros daños?  Eso es lo que plantea un papel americano, «Distinguishing privacy law: a critique of privacy as social taxonomy«.

La tesis que sostienen los autores es que durante el siglo XX los estudiosos de la privacidad intentaron definir el concepto ilusorio de la privacidad. No tuvieron éxito. Con el cambio de milenio, llegó un nuevo enfoque: una taxonomía de problemas de privacidad basada en el reconocimiento social. Hemos convertido el concepto con un catálogo de casos abandonando la definición de su objeto central. Y ya es hora de repensar el concepto de privacidad en un entorno de información complejo y por qué, dado un problema social –de la discriminación a la desinformación–, vale la pena estudiarlo en un marco de privacidad.

Privacidad

¿Y qué entendemos por Privacidad? Pues no tenemos una definición pacífica. Pero podemos definirla como el derecho que tenemos a preservar nuestra vida íntima (derecho al honor, la intimidad y a la propia imagen como recoge nuestra Constitución) y que no sea accesible a otros sin nuestro consentimiento. Y esta definición incluye el concepto Privacidad Digital que es el bien jurídico que la normativa de protección de datos quiere salvaguardar.

Y la Privacidad Digital es el derecho de los usuarios a proteger sus datos en Internet y decidir qué información personal pueden ver los demás. Y qué información pueden utilizar y por qué. Es una expectativa legítima que tenemos como personas de poder administrar nuestra «huella digital».  Ser, en definitiva, soberanos de nuestros datos. Nos jugamos nuestra reputación digital, nuestro patrimonio intangible más importante.

¿Privacidad sin límites?

La tecnología evoluciona cada día y plantea importantes problemas de privacidad. Necesitamos experiencia para comprender estos problemas y encontrar soluciones imaginativas. Pero la privacidad no debería prevalecer sobre cualquier otra cuestión, del mismo modo que las otras cuestiones no deberían prevalecer automáticamente sobre la privacidad. Ambos intereses deben hacer concesiones y encontrar un resultado equilibrado.

Nuevos retos, nuevas soluciones

Muchas tecnologías existentes y casi todas las nuevas plantean importantes problemas de privacidad. Sólo hay que ver, en este sentido, el impacto que ha supuesto ChatGPT y aplicaciones similares. Ya hemos visto respuestas de todo tipo, desde prohibir su utilización (por ejemplo, en Italia que ya han dado marcha atrás) hasta investigar a fondo como, por ejemplo, la AEPD que ya inició de oficio actuaciones de investigación de OpenAI, propietaria de ChatGPT.

Ante los nuevos retos, hay que articular nuevas soluciones. El RGPD promueve la «privacidad por diseño«, es decir, ante cualquier iniciativa considerar las implicaciones de privacidad desde el principio. Esto debe ser así sin convertirse en guardianes que impidan o menoscaben el desarrollo empresarial.

Por qué esto no ha hecho más que empezar. Hay que trabajar juntos para encontrar un equilibrio entre el derecho a la privacidad y la libertad necesaria para que el mundo que conocemos no se detenga con una censura desbordada.

¡Cuidaos, como siempre!

¡Y ahora llega el (maldito) currículum!

por

Una vez más, una empresa, concretamente un despacho de abogados, ha sido sancionada por incumplir al RGPD en el tratamiento del currículum de un candidato. ¿El resultado? una sanción de 10.000€. No es la primera, no será la última.

Ya hemos hablado en otras ocasiones del tema currículum. Tanto empresas como candidatos parten de premisas equivocadas, obsoletas o directamente falsas. Los candidatos, enviando currículos a diestro y siniestro, sin reparar que están exponiendo sus datos sin control; las empresas, en más casos de los deseables, tratando los currículos sin el cuidado necesario por falta de conocimientos, protocolos y, a menudo, de empatía hacia el candidato.

Si hay un momento en la vida en el que exponemos numerosos datos personales, éste es cuando entregamos el currículum a una empresa con el fin de que nos contraten. Como candidatos debemos exigir que nuestros datos se traten debidamente (por lo que ayudaría conocer mínimamente la normativa). Y como empresa, faltaría más, debemos cumplir escrupulosamente con el RGPD porque es ley y porque es el trato correcto con las personas.

Dos partes que deberían estar en equilibrio. El candidato quiere, obviamente, que lo contraten y conseguir un puesto de trabajo acorde a sus méritos y la empresa quiere contratar talento que le aporte valor.
Hagamos, por tanto, que, independientemente del resultado, la experiencia resulte satisfactoria para todos.

Los hechos

El reclamante envió el currículum en respuesta a una oferta de trabajo y fue convocada a una entrevista, sin informarla en ningún momento del nombre de la empresa ni ningún dato identificativo.

Al llegar a la sala de la entrevista, el entrevistador entró con el currículum de la candidata impreso. No se le advirtió del tratamiento se pensaba dar a los datos personales, ni del tratamiento que ya se había hecho. No se ofreció ningún tipo de información en cumplimiento de RGPD.

La única manera de saber quién la entrevistó fue gracias a unas pegatinas que había en la oficina. Además, en la web corporativa tampoco consta ninguna información relativa al RGPD.

Las consideraciones de la AEPD

Pues según la AEPD, el despacho obtuvo datos personales de los usuarios de la página web sin previo consentimiento, en un formulario donde introducir nombre, correo y asunto y pulsando la opción “Enviar” para enviarlo, sin más requisitos.

En cuanto a la Política de Privacidad, nos encontramos con que se proporciona una información totalmente insuficiente, faltando, por ejemplo, la identidad y datos de contacto del responsable; los datos de contacto del delegado de protección de datos, en su caso; los destinatarios de los datos personales y de la información necesaria para ejercer los derechos que asisten a los usuarios y cómo y dónde ejercerlos.

¿Qué debemos hacer?

La lista de incumplimientos del despacho da para escribir un libro, sin contar con que la conducta es la de un despacho de abogados que, por su naturaleza, debería poner más cuidado en el tratamiento de los datos personales.

Nuestra recomendación es que la empresa disponga, al menos, de un Protocolo de tratamiento del CV (desde la publicación de la oferta hasta la desestimación del candidato) y un conjunto de documentos básicos que permitan recoger el consentimiento para el tratamiento y para la entrevista de trabajo y circulares informativas del tratamiento (y del no tratamiento). Y recordar que si la selección se realiza a través de un portal de empleo o una agencia de colocación será necesario tener firmado el preceptivo contrato de encargado de tratamiento.

Todo ello, entendiendo que la empresa está debidamente adecuada a la normativa de Protección de Datos. Si no, estaremos incumpliendo y no servirá de nada nuestro esfuerzo.

Como siempre, ¡cuidad los currículos y cuídaos!

Candidatos, curriculums y empresas

por

Pasado el verano empieza un nuevo curso académico, político, judicial, deportivo y, en general, en todas aquellas áreas sociales que aprovechan las vacaciones para descansar. Y, en el entorno laboral, a las empresas y personas candidatas se los gira bastante trabajo. Unas, porque quieren contratar talento y las otras porque quieren fichar por la mejor empresa posible. En cualquier caso, es una época de prisas y nervios pero también de ilusión, que, a menudo, nos hace cometer errores. A unos y a otros.

Todo esto viene por un par de noticias que afectan a las empresas y a los candidatos.

La primera, muy reciente, hace referencia a la sanción impuesta por la AEPD a una empresa por no responder a los candidatos que se inscriben a una oferta de trabajo ni informarlo del tratamiento que tendrán sus datos personales. Lo hablamos días atrás.

El otro, de hace más tiempo, recogía el caso de una candidata que mintió en su currículum para conseguir un trabajo en Australia. Tuvo que pagar una indemnización y, después, entró en prisión. Otro día nos ocuparemos de este tema.

Las dos noticias juntas ponen de manifiesto que empresas y candidatos tienen que observar unas reglas del juego básicas para no infringir la normativa y entender que no hacerlo puede tener consecuencias graves. Por eso hoy recogemos, a modo de recordatorio, algunas otras conductas a observar en el proceso de selección y contratación de personas en las empresas.

Consentimiento. En la fase de selección no es necesario el consentimiento de la persona candidata. La empresa está legitimada porque el tratamiento es necesario por la ejecución de un contrato en el que el candidato es parte o por la aplicación, a petición de este, de medidas precontractuales (arte. 6.1.b) RGPD).

Información. La empresa, en cambio, tiene el deber de informar del tratamiento, el que constituye una garantía para la persona candidata. Y lo tiene que hacer de una manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Vida laboral. La empresa, acreditando un interés legítimo, puede solicitar un informe de vida laboral para comprobar la veracidad y experiencia del currículum.

Oferta de trabajo. Las ofertas de trabajo se tienen que redactar en términos neutros (no pedir sexo, edad, raza, creencias políticas o religiosas, etc.) y recordar que las funciones especificadas son vinculantes. Y si se incluye la alternativa de teletrabajo, el candidato lo puede reclamar posteriormente sino se le proporciona.

Entrevista de trabajo. En la entrevista de trabajo, las respuestas no equivalen a un consentimiento y si hacemos preguntas sobre datos de categoría especial (salud, orientación sexual, opiniones políticas, afiliación sindical, datos genéticos, etc.) se tendrán que tomar medidas adicionales. Evitamos anotar juicios de valor y vigilamos si los datos recogidos pueden dar lugar a discriminaciones contrarías al principio constitucional de igualdad. Supondría una infracción administrativa grave.

Redes sociales. Los candidatos no están obligados a permitir la investigación del empleador en los perfiles de las redes sociales, exceptuando supuestos específicos y siempre que el candidato sea informado.

Conservación y eliminación. Acabado el proceso de selección, si la persona no es contratada será necesario su consentimiento para un futuro tratamiento, salvo que el empleador pueda demostrar interés legítimo (base de legitimación). Si no, eliminará el currículum con toda la documentación asociada.

Medidas de seguridad. La empresa tiene que garantizar la confidencialidad y el secreto profesional, incluso, cuando haya acabado la relación. Por eso tiene que tener implementadas las medidas de seguridad que garantizan, además, la disponibilidad y la integridad de los datos.

Naturalmente, hemos recogido aquí algunas de las situaciones más comunes que se pueden dar en el tratamiento de datos durante el proceso de selección de candidatos. Como siempre, es importando un buen asesoramiento profesional que impida cometer errores que nos pueden dar sorpresas desagradables.

Cuidaos!

Nota: el contenido del post no puede sustituir en ningún caso el asesoramiento profesional que podéis pedir aquí.

Cookies again

por

Teníamos pendiente dos cuestiones con respecto a las cookies: la validez de la opción «seguir navegando» como forma de prestar el consentimiento por parte de los usuarios y la posibilidad de utilizar los conocidos como «muros de galletas» que permiten limitar acceso a determinados servicios o contenidos a los usuarios que expresamente aceptan el uso de cookies.

Y la Agencia Española de Protección de Datos (AEPD) ha actualizado recientemente su Guía sobre el uso de las cookies para adaptarla a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD) . La nueva Guía ya está publicada en la web de la Agencia.

Respecto al primer aspecto destacable, la opción de «seguir navegando», la Guía explicita que no es, en ninguna circunstancia, una forma válida de prestar el consentimiento, en la medida en que estas acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco.

En cuanto a los «muros de galletas», la Guía dice que no se podrán utilizar sino ofrecen una alternativa al consentimiento. Este criterio resulta especialmente importante en aquellos supuestos en que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar este derecho.

Estos nuevos criterios se deberán implementar, a más tardar, el 31 de octubre de este año, estableciéndose así un periodo transitorio de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento para el uso de cookies que se estén utilizando.

Está claro que la industria publicitaria deberá mover ficha y quizás el camino es explicarle al usuario, de forma transparente, para que se usan las cookies. Si el usuario sabe exactamente porqué queremos sus datos y en qué le beneficia, estará dispuesto, a buen seguro, a compartirlas con nosotros. No hay otro camino.

El cumplimiento normativo no es un camino corto y fácil pero si todos -instituciones, empresas, ciudadanos y profesionales de la privacidad- trabajamos juntos en la misma dirección conseguiremos que contribuya significativamente al crecimiento de la actividad económica, con seguridad. Y, al fin y al cabo, eso es lo que queremos todos.

Imagen Pixabay

CCN – Consultoría de Cumplimento Normativo
CDT – Consultoría de Derecho Tecnológico
PJT – Pericia Judicial Tecnológica
LBD – Legal Business Development
ICL – Inteligencia Competitiva Legal

Contacto

Servicios

Twitter

© 2024 Todos los derechos reservados

Revisión Textos Legales Web