Primero de todo definiré qué es coworking para aquellos que aún no conozcan lo que es o aun no estén familiarizados con esta forma de trabajo. Seguir leyendo
El Coworking y la Protección de Datos
Archivo del autor: Jordi Comas
6 futuras novedades del Reglamento Europeo de Protección de Datos
Referente a la propuesta del Reglamento Europeo de Protección de Datos que publicó en enero del 2012 el Parlamento Europeo junto con el Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, tendrá repercusiones, no sólo a nivel europeo sino a nivel nacional, con un nivel de impacto bastante elevado en nuestras empresas.
A continuación, analizamos los 6 principales cambios legislativos que, a la entrada en vigor del Reglamento que serán de aplicación directa y prevalente sobre nuestro actual sistema de protección de datos personales (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD).
1.- Aplicación de nuevos Principios: Si hasta el momento contábamos con principios básicos como los de calidad, información, deber de secreto y consentimiento para el tratamiento de datos personales, la norma europea añade nuevos principios como el de rendición de cuentas aludiendo a la responsabilidad de las compañías en la implantación de mecanismos que garanticen el cumplimiento de los principios y obligaciones en materia de protección de datos, así como a los métodos de validación que garanticen su fiabilidad.
Esta responsabilidad, será igualmente aplicable para empresas tanto pequeñas como grandes, si bien es cierto que, resulta más sencillo implantar políticas y métodos de control en multinacionales que operan a escala mundial, mediante el establecimiento de mecanismos internos y externos para evaluar su fiabilidad y demostrar su efectividad cuando se solicite por las autoridades de control. Además, los medios y recursos de los que disponen permiten realizar periódicamente programas de concienciación en la materia.
Por otro lado, aparece el Principio de Transparencia, centrado en facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.
Este principio se materializa en cuatro conceptos:
a) Eliminación de la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control (Agencia Española de Protección de Datos-AEPD).
b) Conservación de la documentación de todas las operaciones de tratamiento de datos efectuadas bajo su responsabilidad. La responsabilidad de conservar la documentación, a partir de la entrada en vigor del nuevo Reglamento, recae tanto en el Responsable como en el Encargado del tratamiento.
c) Establecimiento de mecanismos sencillos para el ejercicio de los derechos. Un ejemplo de ello, es la posibilidad de ejercitar los derechos vía electrónica (tanto para envío como para respuesta), y la obligación de informar a los solicitantes de la posibilidad de presentar una reclamación ante la autoridad de control y de recurrir a los tribunales. Asimismo, la Comisión podrá establecer formularios y procedimientos normalizados para las comunicaciones a los interesados, incluido el formato electrónico, adoptando medidas específicas para las microempresas, las pequeñas y medianas empresas.
d) Cooperación con autoridades de control. Con el cambio normativo los responsables y encargados del tratamiento no sólo deberán colaborar con su autoridad de control nacional (en nuestro caso AEPD), sino que ahora también entrará en juego “rendir cuentas” ante la Comisión y el Consejo Europeo de Protección de Datos. Si bien esto dota de transparencia a las actividades que impliquen tratamiento de datos personales, también genera un estricto deber de cumplimiento para dichos agentes.
2.- Tratamiento de datos de menores: Otra de las novedades importantes es que se fija la edad de los menores en menos de 13 años (frente a la actual regulación española que la fija en menos de 14), en relación a la oferta directa de servicios de la sociedad de la información. Además, añade el borrador, que el tratamiento de los datos de estos menores solamente será lícito si el padre o tutor del menor ha prestado su consentimiento previo.
3.- Nuevos Derechos para los ciudadanos: Esta novedad, a nuestro entender y al de muchos expertos, resulta uno de los puntos más importantes y relevantes del borrador de Reglamento Europeo.
Comenzamos por el famoso “Derecho al olvido”, del que ya se venía hablando desde hace tiempo, pero que, en realidad, hasta la publicación del borrador no habíamos visto materializado.
Este derecho consiste en la supresión de datos bien porque ya no son necesarios conforme a la finalidad para la que fueron recabados ya sea porque el interesado ha revocado su consentimiento para el tratamiento; porque ha expirado el plazo para el tratamiento legal de los datos; porque el interesado ha ejercitado su derecho de oposición, o bien porque el tratamiento de los datos no se está realizando conforme al Reglamento que estamos comentando.
Pero este derecho va más allá y obliga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos. Su traducción directa consiste en conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva.
Otro derecho importante es el de oponerse a la “Creación de perfiles”, que consistan en evaluar, de manera automatizada, determinados aspectos personales propios de dicha persona física o a analizar o predecir en particular su rendimiento profesional, su situación económica, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento.
Por último, no podemos olvidarnos del derecho a la “Portabilidad de los datos”, solicitado con el fin de obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos. Encontramos, así, su aplicación práctica, en el deseo de un particular de cambiar de operadora de telecomunicaciones, pudiendo realizar tal portabilidad, de una manera ágil y sencilla para el usuario final.
4.- Notificación de Brechas de Seguridad: La mayor diferencia que encontramos entre nuestro Reglamento de protección de datos y el borrador Europeo radica en las medidas de seguridad.
De hecho, el borrador no hace ni un desglose de las mismas ni establece diversos niveles de seguridad en función del tipo de datos personales que se trate, sino que impone al responsable y al encargado que las implementen asegurando un nivel de protección adecuado atendiendo a tres criterios: los riesgos que se presenten, la naturaleza de los datos y los costes de implementación.
El Reglamento otorga a la Comisión la facultad de elaborar actos normativos para establecer medidas de seguridad de carácter técnico y organizativo, teniendo en cuenta para ello, tanto el desarrollo de la tecnología.
En cuanto a la obligación de comunicar las brechas de seguridad, el borrador diferencia entre notificar a la autoridad de control la incidencia detallada de lo que ha sucedido realmente en un plazo no superior a 24 horas (veremos qué plazo se fija definitivamente), y notificarlo al interesado cuando éste se haya visto afectado, por la vulneración de las medidas de seguridad.
Si bien supone una modificación sustancial de nuestro actual reglamento, no podemos olvidar que estas obligaciones ya estaban previstas en la denominada Directiva 2009/136/CE (“cookies”), por lo que este precepto simplemente es una armonización y homogenización de las directivas europeas sobre seguridad y comunicaciones electrónicas.
5.- La Figura del Delegado de Protección de Datos: La propuesta de Reglamento le dedica una sección entera a esta nueva figura, dada la relevancia que tiene para el futuro.
Simplemente mencionar que como rasgos fundamentales, destacamos la obligatoriedad de contar con un “Data Protection Officer” (DPO), por un plazo mínimo de 2 años, tanto en autoridades y organismos públicos, como en empresas con al menos 250 empleados. Se permite contar con un solo DPO en los casos de grupos de empresas.
En cuanto al perfil del DPO, mucho queda por detallar a este respecto, por lo que quedamos a la espera de qué dirá el texto definitivo. Lo que sí podemos afirmar, es que entre las funciones que le serán encomendadas se encuentran: supervisar la implementación y aplicación de las políticas internas, la formación del personal, las auditorías, la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos, velar por la conservación de la documentación, supervisar la realización de la evaluación de impacto y actuar como punto de contacto para la autoridad de control, entre otras.
6.- Evaluación de Impacto: Nuestro análisis finaliza con comentar en qué consiste realizar esta evaluación.
Pues bien, realizar una evaluación de riesgos por parte del responsable o el encargado del tratamiento, con carácter previo al tratamiento, permitirá que las medidas que se adopten tengan como finalidad evitar la pérdida de datos, los accesos y cesiones no autorizados.
No obstante, ¿cuándo plantea el borrador que habrá que evaluar los riesgos del tratamiento de los datos? Sencillamente, en los casos en los que el tratamiento entrañe riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. En particular, cuando el tratamiento sirva para la creación de perfiles de los interesados, en el tratamiento de datos sensibles, datos genéticos o biométricos, en los casos de video-vigilancia y en el tratamiento de datos de menores. En todos estos casos será necesario realizar un “Informe de Impacto de Privacidad”.
El concepto de Prevención de Riesgos Laborales (1)
El conocimiento y sobre todo la aplicación de la vasta normativa preventiva, en desarrollo de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales de España, se hace extremadamente complejo, fundamentalmente para las pequeñas y medianas empresas, que constituyen la abrumadora mayoría del tejido empresarial de nuestro país.
Pretendo con esta serie de publicaciones que hoy comienzo poner al alcance de profesionales, pequeños y medianos empresarios y al público en general, el conocimiento del núcleo obligacional básico de la legislación de prevención de riesgos laborales, así como las medidas técnicas de prevención más comunes y ordinarias de las distintas disciplinas preventivas, que sirven de soporte técnico a la actuación preventiva laboral.
Trabajar por la seguridad y por la prevención es un compromiso con la empresa y con la salud y el bienestar de los trabajadores. Un compromiso y una responsabilidad compartida entre todos los que participamos en la materia de Prevención de Riesgos Laborales.
En este sentido, comenzaré mis aportaciones sobre el Sistema de Gestión de la PRL abordando y precisando cuáles son los conceptos elementales y necesarios para moverse en esta parcela específica del Derecho Laboral español, que es la Seguridad y Salud de los trabajadores.
En primer lugar plantearé cuál es el propio concepto de prevención de riesgos laborales, denominación que encabeza la Ley.
La propia Ley de Prevención, en su primera versión de 1995, nos da una definición del concepto, en los siguientes términos: “Se entenderá por “prevención” el conjunto de actividades o medidas adoptadas o previstas en todas las fases de actividad de la empresa con el fin de evitar o disminuir los riesgos derivados del trabajo”; concepto que comprende toda y cualquier medida que se adopte en la empresa, no sólo para evitar, sino para disminuir los riesgos de la actividad laboral.
Para referirse a la Prevención de Riesgos Laborales, que es el término comúnmente utilizado a raíz de la Ley de Prevención de Riesgos Laborales de 1995, se utilizan también denominaciones, singularmente “seguridad e higiene en el trabajo”, “seguridad y salud de los trabajadores” o “salud laboral”.
En realidad son expresiones sinónimas: “Seguridad e higiene en el trabajo” ha sido hasta la Ley 31/1995 de Prevención de Riesgos Laborales, el término generalmente utilizado en todos los textos legislativos relativos a la prevención desde la Ley del Seguro de Accidentes de Trabajo de 1900 y sigue recogido en la Constitución Española de 1978 y en el propio Estatuto de los Trabajadores de 1980 (donde nomina el art. 19).
“Seguridad y salud de los trabajadores” es la denominación que vienen utilizando los instrumentos legislativos de la Unión Europea (Reglamentos y Directivas) para referirse a la Prevención de Riesgos Laborales.
“Salud laboral” por último, es la expresión que, sin demasiado rigor a mi juicio, se utiliza también para referirse a la prevención laboral, sobre todo en ambientes sindicales y como sinónimo o equivalente de ésta.
Con mayor precisión, sin embargo, cabe hablar de “salud laboral” para referirnos a “los aspectos sanitarios de la prevención” como la define la Ley 14/1986 General de Sanidad, en su artículo 21-1-b).
En conclusión, lo verdaderamente importante es conocer estas varias denominaciones, que se vienen usando indistintamente para confluir todas ellas en un mismo y solo concepto que es la Prevención de Riesgos Laborales.
LA ORGANIZACIÓN PREVENTIVA DE LA EMPRESA
Según lo establecido por el RSP (REGLAMENTO DE SERVICIOS DE RPEVENCION) el empresario puede optar por las siguientes soluciones, según las características de la empresa:
|
OPCIONES ESTABLECIDAS POR EL RSP |
|||||||||||||
|
Una vez decidido el modelo a adoptar, el empresario debe prever los medios humanos y materiales necesarios para que la organización decidida pueda funcionar correctamente.
Figuras externas de la LOPD
Como sabrán, la LOPD distingue entre una serie de figuras, que podemos agrupar en figuras internas y figuras externas. En el primer grupo encontramos principalmente el Responsable de Seguridad y el Responsable del Fichero. Apuntaremos que aunque algunas funciones puedan ser delegadas en empresas externas especializadas, en ningún caso es posible delegar la responsabilidad, de ahí que consideremos a dichas figuras internas.
En el segundo grupo nos encontramos al Encargado del Tratamiento, al Cesionario y al prestador de servicios sin acceso a datos de carácter personal. Como sabrán, cada una de estas figuras presenta además de características específicas también sus propias ambigüedades. Vamos con ello.
- Encargado del Fichero o Tratamiento: La LOPD define esta figura en el Artículo 3, g) como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento“. Intuitivamente, no tiene demasiado secreto; es la entidad que trata los datos “por encargo” del responsable del tratamiento.
Sin embargo, para que la definición quede clara, veamos que entiende la LOPD por “tratamiento” en el apartado c) del mismo artículo: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias“.
Vamos con un ejemplo. El primero y más habitual, la gestoría. Supongamos que la empresa A contrata a la gestoría B la elaboración de la nóminas del personal. Es evidente que en la elaboración de la nómina la gestoría está tratando DCP “en nombre”, “por cuenta” o “por encargo” de la empresa A. Por tanto, la gestoría es un encargado del tratamiento.
Cabe señalar que dado que el responsable del tratamiento (es decir, el que en última instancia debe velar por la seguridad de los datos) es la empresa A, ni la gestoría tiene que declarar el tratamiento en el Registro General de la AEPD (RGAEPD), dado que el tratamiento “no es suyo”.
- Prestador de servicios sin acceso a DCP: Aunque la LOPD no define explícitamente esta figura (no olvidemos que entre la LOPD y su reglamento hay poco más de 8 años), el reglamento habla de ella en su artículo 83, “Prestaciones de servicios sin acceso a datos personales”. El nombre no deja lugar a muchas dudas, en cualquier caso. En este caso encontraremos a empresas cuya prestación de servicios no está relacionada con DCP pero que pueden tener un acceso esporádico a dicha información.
En estos casos, el contrato de prestación de servicios “recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio” (Art. 83 RDLOPD), aunque también suele ser habitual es que esa información figure en un compromiso de confidencialidad independiente del contrato de prestación de servicios.
- Cesionario: Por último, llegamos al cesionario, o receptor de una comunicación de datos. La LOPD define en su artículo 3.i) la cesión o comunicación de datos como “toda revelación de datos realizada a una persona distinta del interesado“. No obstante, cuando esta comunicación de datos esté relacionada con una prestación de servicios, no se considerará cesión de datos, tal y como especifica el artículo 12.1 de la LOPD: “No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento“. El artículo 20.1 del RDLOPD añade una consideración importante: “No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado“.
Se entiende que esta figura es la más relacionada con infracciones de la LOPD, ya que a menudo las garantías que deben establecerse para la cesión de datos (en general, consentimiento del afectado) no se cumplen. Digámoslo de esta manera, un cesionario es “alguien” que desea realizar tratamientos “propios” sobre los datos que recibe, y en algunos casos el usuario no daría su consentimiento para esos tratamientos. A diferencia de los casos anteriores, dado que existe un nuevo tratamiento de datos y un nuevo vínculo entre el usuario y la empresa destinataria de los datos, sí es necesario que la empresa cesionaria declare el tratamiento correspondiente ante el RGAEPD.
Evidentemente, hay muchos otros aspectos de estas figuras que sería destacable mencionar, pero antes de nada, es imprescindible que una organización sepa indicar qué es un encargado del tratamiento, qué un cesionario y qué un prestador de servicios sin acceso a datos, dado que cada una de estas figuras requiere un tratamiento diferente. Espero que haya resultado esclarecedor, pero sírvanse de preguntar en los comentarios si les queda alguna duda.