LOPD
-
Upload
javier-pena-alonso -
Category
Internet
-
view
70 -
download
0
Transcript of LOPD
LEY ORGÁNICA DE
PROTECCIÓN DE DATOS
8 de Julio de 2015
© Javier Peña Alonso
CURSO SUPERIOR DE ESTUDIOS
INMOBILIARIOS
OBLIGATORIEDAD
Cualquier entidad está obligada a cumplir, entre otras, obligaciones:
1. Las obligaciones contables
1.1. Cuentas anuales
2. Las obligaciones formales
2.1. Sujetos pasivos del Impuesto sobre Sociedades
2.2. Sujetos pasivos del Impuesto sobre la Renta de las Personas
Físicas
3. Las obligaciones fiscales
3.1. Impuesto de la renta de las personas físicas
3.2. Impuesto sobre sociedades
3.3. Impuesto sobre el Valor Añadido
4. Obligaciones Laborales
5. Obligaciones Varias
5.1. Obligaciones en materia de Prevención de Riesgos Laborales
5.2. Obligaciones en materia de Protección de Datos
6. Otras
¿Qué saben las pequeñas y medianas
empresas españolas sobre la LODP?
Estudio de evolución de las pequeñas y
medianas empresas españolas en el
cumplimiento de la LOPD
INTECO 2012
Situación de las Empresas con respecto a la LOPD
Situación de las Empresas con respecto a la LOPD
Situación de las Empresas con respecto a la LOPD
Si la conocen... ¿la cumplirán?
1. ¿Qué es la Protección de Datos?
Datos de carácter personal y tratamiento
Tratamiento de Datos
2. Legislación Aplicable
Antecedentes Normativos
Legislación Aplicable
o Europea
o Estatal
o Conexa Estatal
o Autonómica
Ley Orgánica de Protección de Datos (LOPD)
RD 1720/2007: Reglamento de desarrollo de la LOPD (RDLOPD)
Instrucciones de la AEPD
3. ¿Quién es la Agencia Española de Protección de Datos?
Naturaleza y Funciones de la AEPD
Sanciones por Incumplimiento
Bloque I
1.- ¿Qué es la Protección de Datos?
Esta expresión hace alusión al amparo debido a los ciudadanos contra la posible utilización por
terceros, de forma no autorizada, de sus datos personales susceptibles de tratamiento, para,
de esta forma, confeccionar una información que, identificable con él, afecte a su entorno
personal, social o profesional, en los límites de su intimidad.
El ámbito de la protección de datos alcanza a esta información siempre que esté registrada en
soporte físico que la haga susceptible de tratamiento.
La protección de datos pretende así garantizar al titular de los datos que los terceros, ya se
trate del sector público o del sector privado, utilizarán sus datos personales con el respeto
debido, de forma que pueda tener control sobre los mismos, y en todo momento sepa qué va
a hacer quién trata sus datos, para qué los recaba, cómo los trata y para qué los utiliza o a
quién se los cede o comunica.
1.- ¿Qué es la Protección de Datos?
¿Qué es el tratamiento de datos personales?
“Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como
las cesiones de datos que resulten de comunicaciones, consultas interconexiones y
transferencias”
Las operaciones más frecuentes son:
• La recogida organizada de datos
• La conservación y mantenimiento
• La cesión de los datos a otras personas y/o entidades
¿Qué son los datos de carácter personal?
Cualquier información concerniente a personas físicas identificadas o identificables, tanto la
relativa a su identidad (nombre, apellidos, dirección, teléfono …) a sus ocupaciones (estudio,
trabajo …) datos bancarios, datos relativos a la salud, afiliación sindical y creencias, entre otros
2.- Legislación Aplicable
Constitución Española
1978
1981
Convenio 108 Consejo de
Europa
LORTAD
1992
1995
Directiva 95/46/CE
LOPD
RMS
1999
2000
STC 292/2000
RLOPD
2007
Antecedentes Normativos
Agencia Española de Protección de Datos – LEGISLACIÓN
Legislación Aplicable
2.- Legislación Aplicable
UNIÓN EUROPEA:
Tratado de Lisboa por el que se modifican el Tratado de la Unión Europea y el
Tratado constitutivo de la Comunidad Europea, firmado en Lisboa el 13 de diciembre
de 2007
Carta de los Derechos Fundamentales de la Unión Europea de 7 de diciembre de
2000
Versiones consolidadas del Tratado de la Unión Europea y del Tratado de
Funcionamiento de la Unión Europea
Legislación de la Unión Europea para la Protección de Datos
2.- Legislación Aplicable
ESTATAL
Constitución Española de 1978.
LEY:
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal. (Texto consolidado. Última modificación: 5 de marzo de 2011)
Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden
social. (Texto consolidado. Última modificación: 17 de septiembre de 2014).
REAL DECRETO:
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal. (Texto consolidado. Última modificación: 8 de marzo de 2012).
Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la
Agencia Española de Protección de Datos. (Texto consolidado. Última modificación:
5 de noviembre de 2008).
ANTECEDENTES NORMATIVOS
NORMATIVA AUTONÓMICA.
COMUNIDAD AUTÓNOMA DE ANDALUCÍA:
Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía
COMUNIDAD AUTÓNOMA DE CATALUÑA:
Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos.
(Texto consolidado. Última modificación: 23 de marzo de 2012)
COMUNIDAD AUTÓNOMA DEL PAÍS VASCO:
Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de
Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.
2.- Legislación Aplicable
Normas de carácter reglamentario (AEPD)
1.- Instrucciones, entre otras:
Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento
de datos personales con fines de vigilancia a través de sistemas de
cámaras o videocámaras. (Texto consolidado. Última modificación: sin
modificaciones).
Descarga de Modelos de Videovigilancia
Instrucción 2/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros
automatizados establecidos con la finalidad de controlar el acceso
a los casinos y salas de bingo. (Texto consolidado. Última modificación: sin
modificaciones).
Instrucción 1/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros
automatizados establecidos con la finalidad de controlar el acceso
a los edificios. (Texto consolidado. Última modificación: sin modificaciones).
Instrucción 2/1995, de 4 de mayo, de la Agencia de Protección de Datos, sobre medidas que
garantizan la intimidad de los datos personales recabados como consecuencia de la
contratación de un seguro de vida de forma conjunta con
la concesión de un préstamo hipotecario o personal. (Texto consolidado. Última
modificación: sin modificaciones).
2.- Legislación Aplicable
NORMAS DE CARÁCTER REGLAMENTARIO (AEPD)
2.- Resoluciones, entre otras:
Resolución de 18 de marzo de 2010, de la Agencia Española de Protección de Datos, por la que se
crea la Sede Electrónica de la Agencia Española de Protección de Datos. (Texto
consolidado. Última modificación: sin modificaciones).
Resolución de marzo de 2011, de la Agencia Española de Protección de Datos, por la gue se crea el
sello electrónico para su utilización por la Agencia Española de protección de Datos.
Resolución de 27 abril de 2011, de la Agencia Española de Protección de Datos, para la utilización de un
código seguro de verificación en las actuaciones automatizadas que se hayan
publicado en su Sede Electrónica.
Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se crea
el Registro Telemático de la Agencia Española de Protección de Datos. (Texto
consolidado. Última modificación: sin modificaciones).
Resolución de 1 de septiembre de 2006, de la Agencia Española de Protección de Datos, por la que se
determina la información que contiene el Catálogo de ficheros inscritos en
el Registro General de Protección de Datos. (Texto consolidado. Última modificación: 13 de
noviembre de 2008).
ANTECEDENTES NORMATIVOS
NORMATIVA ESTATAL CONEXA
Por Sectores de Actividad:
Administraciones Públicas
Civil, Mercantil y Consumidores
Firma y DNI electrónicos
Seguridad Ciudadana
Intimidad, Honor y Propia Imagen
Penal y Penitenciaria
Sanidad, Salud y Reproducción Asistida
Seguros
Telecomunicaciones y Sociedad de la Información
Tributaria
Videovigilancia y descarga de modelos
2.- Legislación Aplicable
Ley Orgánica 15/1999, de 13 de Diciembre,
de Protección de Datos de Carácter Personal (LOPD)
Se reconoce los derechos de los afectados en el tratamiento de los
datos personales.
Evoca la necesidad de realizar y establecer un entorno organizativo
Establece obligaciones sobre los titulares de los ficheros
“La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las
personas físicas, y especialmente de su honor e intimidad personal y familiar”
2.- Legislación Aplicable
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba
el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal
“El presente Reglamento tiene por objeto el desarrollo de la Ley Orgánica 15/1999, ...” “ de las
disposiciones relativas al ejercicio por la Agencia Española de Proteccion de Datos de la
potestad sancionadora, en aplicación de lo dispuesto en la Ley Orgánica 15/1999, en el título
VII de la Ley 34/2002, de 11 de Junio de Servicios de la sociedad de la información y de
comercio electrónico, y en el título VIII de la Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones”
Desarrolla los contenidos de la LOPD,
Comprende el tratamiento automatizado y no automatizado de
datos de carácter personal.
Clasifica los datos por niveles y expone las medidas de seguridad
3.- La Agencia Española de Protección de Datos
Naturaleza
Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada.
Actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones.
Funciones
De forma general se puede decir que la principal función de la APD es: velar por el cumplimiento
de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a
los derechos de información, acceso, rectificación, oposición y cancelación de datos.
Sus funciones en relación a quién trata los datos son:
• Emitir autorizaciones previstas en la Ley.
• Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación
de los datos.
• Requerir medidas de corrección.
• Ejercer la potestad sancionadora.
• Recabar ayuda e información que precise.
• Autorizar las transferencias internacionales de datos.
Bloque II
5. Glosario de Términos
6. Tipología de los datos según la AEPD
7. Niveles de Seguridad
Nivel Básico
Nivel Medio
Nivel Alto
8. A qué obliga la LOPD
Ámbito de aplicación
Fases del proceso de adecuación
9. Requisitos organizativos de cumplimiento
Obligaciones Legales Básicas (Formato Mixto)
Medidas a Adoptar en Formato Papel
Datos de carácter personal:
Cualquier información concerniente a personas físicas identificadas o identificables.
Fichero:
Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso.
Tratamiento de Datos:
Operaciones y procedimientos técnicos de carácter automatizado o no, que
permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que resulten de comunicaciones
consultas, interconexiones y trasferencias.
5.- Glosario de Términos Básicos
Afectado o interesado:
Persona física titular de los datos que sean objeto del tratamiento.
Responsable del Fichero o tratamiento:
Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo,
que decida sobre la finalidad, contenido y uso del tratamiento.
Responsable de Seguridad:
Persona o personas a las que el responsable del fichero ha asignado formalmente
la función de coordinar y controlar las medidas de seguridad aplicables.
Usuario:
Sujeto o proceso autorizado para acceder a los datos o recursos
5.- Glosario de Términos Básicos
5.- Glosario de Términos Básicos
Encargado de Tratamiento:
La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo
que, sólo o conjuntamente con otros trate datos personales por cuenta del
responsable del tratamiento.
Cesión o comunicación de datos:
Toda revelación de datos realizada a una persona distinta del interesado.
Consentimiento del interesado:
Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante
la que el interesado consienta el tratamiento de datos personales que le conciernen.
Identificación del afectado:
Cualquier elemento que permita determinar directa o indirectamente la identidad
física, fisiológica, psíquica, económica, cultural o social de la persona física
afectada.
5.- Glosario de Términos Básicos
Sistema de Información:
Conjunto de ficheros automatizados, programas, soportes y equipos empleados
para el almacenamiento y tratamiento de datos
Control de Acceso:
Mecanismo que en función de la identificación ya autenticada permite acceder a
datos o recursos
Identificación:
Procedimiento de reconocimiento de la identidad de un usuario
Autenticación:
Procedimiento de comprobación de la identidad de un usuario
Contraseña:
Información confidencial, frecuentemente constituida por una cadena de caracteres,
que puede ser usada en al autenticación de un usuario.
Bloque II
5. Glosario de Términos
6. Tipología de los datos según la AEPD
7. Niveles de Seguridad
Nivel Básico
Nivel Medio
Nivel Alto
8. A qué obliga la LOPD
Ámbito de aplicación
Fases del proceso de adecuación
9. Requisitos organizativos de cumplimiento
Obligaciones Legales Básicas (Formato Mixto)
Medidas a Adoptar en Formato Papel
DATOS ESPECIALMENTE PROTEGIDOS.
DATOS IDENTIFICATIVOS.
DATOS IDENTIFICATIVOS.
DATOS DE TRANSACCIONES.
DATOS DE CIRCUNSTANCIAS SOCIALES.
DATOS DE DETALLE DE EMPLEO.
DATOS ACADÉMICOS Y PROFESIONALES.
DATOS ECONÓMICOS FINANCIEROS Y DE SEGUROS.
DATOS DE INFORMACIÓN COMERCIAL.
6.- Tipología de los datos según la AEPD
DATOS ESPECIALMENTE PROTEGIDOS.
IDEOLOGÍA
ORIGEN RACIAL O ETNICO
AFILIACIÓN SINDICAL
SALUD
RELIGIÓN
VIDA SEXUAL
CREENCIAS
6.- Tipología de los datos según la AEPD
DNI/ NIF
Nº SEGURIDAD SOCIAL
NOMBRE Y APELLIDOS
DIRECCIÓN( Postal-Electrónica)
TELEFONO (Fijo -Móvil)
FIRMA
HUELLA DIGITALIZADA
IMAGEN/ VOZ
ANTROPOMÉTRICAS
MARCAS FÍSICAS
FIRMA ELECTRÓNICA
DATOS IDENTIFICATIVOS.
6.- Tipología de los datos según la AEPD
DATOS DE CARACTERÍSTICAS PERSONALES
NACIONALIDAD
LUGAR DE NACIMIENTO
FECHA NACIMIENTO
EDAD
SEXO
LENGUA MATERNA
CARACTERÍSTICAS FÍSICAS O ANTROPOMÉTRICAS
DATOS DE FAMILIA
ESTADO CIVIL
OTROS
6.- Tipología de los datos según la AEPD
DATOS DE TRANSACCIONES
BIENES Y SERVICIOS SUMINISTRADOS POR EL AFECTADO
TRANSACCIONES FINANCIERAS
COMPENSACIONES / INDEMNIZACIONES
BIENES Y SERVICIOS RECIBIDOS POR EL AFECTADO
OTROS
6.- Tipología de los datos según la AEPD
DATOS DE CIRCUNSTANCIAS SOCIALES.
CARACTERÍSTICAS DE ALOJAMIENTO / VIVIENDA
SITUACIÓN MILITAR
PROPIEDADES/ POSESIONES
AFICIONES Y ESTILOS DE VIDA
PERTENENCIA A CLUBES ASOCIACIONES
LICENCIAS, PERMISOS, AUTORIZACIONES
6.- Tipología de los datos según la AEPD
DATOS ACADÉMICOS Y PROFESIONALES.
FORMACIÓN, TITULACIONES
HISTORIAL DE ESTUDIANTE
EXPERIENCIA PROFESIONAL
PERTENENCIA A COLEGIOS O ASOCIACIONES PROFESIONALES
OTROS
6.- Tipología de los datos según la AEPD
DATOS DE DETALLE DE EMPLEO.
PROFESIÓN
PUESTOS DE TRABAJO
DATOS NO ECONÓMICOS DE LA NÓMINA
HISTORIAL DEL TRABAJADOR
OTROS
6.- Tipología de los datos según la AEPD
DATOS DE INFORMACIÓN COMERCIAL.
LICENCIAS COMERCIALES
SUSCRIPCIONES A PUBLICACIONES/ MEDIOS
CREACIONES ARTÍSTICAS
LITERARIAS, CIENTÍFICAS O TÉCNICAS
6.- Tipología de los datos según la AEPD
DATOS ECONÓMICOS FINANCIEROS Y DE SEGUROS.
INGRESOS, RENTAS
DATOS SOBRE DEDUCCIONES IMPOSITIVAS/ IMPUESTOS
INVERSIONES/ BIENES PATRIMONIALES
SEGUROS
CRÉDITOS, PRESTAMOS, AVALES
HIPOTECAS
SUBSIDIOS, BENEFICIOS
DATOS BANCARIOS
HISTORIAL CRÉDITOS
PLANES DE PENSIONES / JUBILACIÓN
TARJETAS CRÉDITO
DATOS ECONÓMICOS DE LA NÓMINA
6.- Tipología de los datos según la AEPD
Bloque II
5. Glosario de Términos
6. Tipología de los datos según la AEPD
7. Niveles de Seguridad
Nivel Básico
Nivel Medio
Nivel Alto
8. A qué obliga la LOPD
Ámbito de aplicación
Fases del proceso de adecuación
9. Requisitos organizativos de cumplimiento
Obligaciones Legales Básicas (Formato Mixto)
Medidas a Adoptar en Formato Papel
7.- Niveles de Seguridad
Niveles de Seguridad
La normativa clasifica las medidas de seguridad que debe adoptar su empresa en tres niveles según
el tipo de datos que se traten :
Alto
Básico
Medio
Nivel Alto
Tratamiento de datos:
de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual
y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
recabados con fines policiales sin consentimiento de las personas afectadas; y
derivados de actos de violencia de género.
7.- Niveles de Seguridad
Nivel Medio
Relativos a la comisión de infracciones administrativas o penales;
Que se rijan por el artículo 29 de la LOPD (servicios de solvencia patrimonial y crédito);
Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades
tributarias;
Entidades financieras para las finalidades relacionadas con la prestación de servicios
financieros;
Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el
ejercicio de sus competencias;
Mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;
Que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos
de la misma o del comportamiento de las personas; y
Operadores de comunicaciones electrónicas, respecto de los datos de tráfico y
localización.
7.- Niveles de Seguridad
Nivel Básico
Cualquier otro fichero que contenga datos de carácter personal.
INCLUIDOS: los ficheros que contengan datos de ideología, afiliación sindical, religión,
creencias, salud, origen racial o vida sexual cuando:
Los datos se utilicen los datos se utilicen con la única finalidad de realizar una transferencia
dineraria a entidades de las que los afectados sean asociados o miembros;
Se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos
tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del
fichero; y
En los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente
al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del
cumplimiento de deberes públicos.
7.- Niveles de Seguridad
Bloque II
5. Glosario de Términos
6. Tipología de los datos según la AEPD
7. Niveles de Seguridad
Nivel Básico
Nivel Medio
Nivel Alto
8. A qué obliga la LOPD
Ámbito de aplicación
Fases del proceso de adecuación
9. Requisitos organizativos de cumplimiento
Obligaciones Legales Básicas (Formato Mixto)
Medidas a Adoptar en Formato Papel
ÁMBITO DE APLICACIÓN DE LA LOPD
El artículo 1 de la LOPD dispone literalmente que:
“La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades públicas y
los derechos fundamentales de las personas físicas, y especialmente de su
honor e intimidad personal y familiar”
Ficheros Automatizados.
Ficheros NO AutomatizadosAFECTA A AMBOS
La protección no es aplicable:
A las personas jurídicas.
A los profesionales que organizan su actividad bajo la forma de empresa. (A los que se refiere el código de
comercio)
A los empresarios individuales que ejercen una actividad comercial y respecto de los cuales sea posible
diferenciar su actividad mercantil de su actividad privada
“A Contrario Sensu” tanto los profesionales como los comerciantes individuales quedaran amparados cuando
los primeros no tuvieran organizada su actividad bajo la forma de empresa (profesionales liberales) y los
segundos cuando no fuese posible diferenciar su actividad mercantil de la propia actividad privada.
8.- ¿A qué me obliga la LOPD?
8.- ¿A qué me obliga la LOPD?
La seguridad de los datos se manifiesta en el deber que tiene el Responsable de
los Ficheros de adoptar las medidas de índole técnica y organizativas
necesarias para garantizar la seguridad de los datos personales y evitar su
alteración, pérdida, tratamiento o acceso no autorizado, al igual que respetar y
facilitar el ejercicio de los derechos que la misma normativa reconoce a sus
titulares.
Su empresa tiene que interpretar el cumplimiento de este deber como un
beneficio, porque la adopción de las medidas de seguridad evitan la producción
de los prejuicios derivados de la pérdida de información relevante.
Además para su empresa la información es el “principal activo del negocio”, por
eso es imprescindible adoptar medidas de seguridad para protegerla contra
pérdidas, alteraciones, usos indebidos o indeseados …
8.- ¿A qué me obliga la LOPD?
FASES DEL PROCESO DE ADECUACIÓN
Bloque II
5. Glosario de Términos
6. Tipología de los datos según la AEPD
7. Niveles de Seguridad
Nivel Básico
Nivel Medio
Nivel Alto
8. A qué obliga la LOPD
Ámbito de aplicación
Fases del proceso de adecuación
9. Requisitos organizativos de cumplimiento
Obligaciones Legales Básicas (Formato Mixto)
Medidas a Adoptar en Formato Papel
Niveles de Seguridad
La normativa clasifica las medidas de seguridad que debe adoptar su empresa en tres niveles según
el tipo de datos que se traten :
Alto
Básico
Medio
9.- Requisitos organizativos de cumplimiento
Tabla resumen de medidas de seguridad a aplicar en función de la
naturaleza de los datos de carácter personal tratados
NIVEL BASICO MEDIO ALTO
Naturaleza
de los
Datos
• Nombre
• Apellidos.
• Direcciones de contacto
(físicas y electrónicas)
• Teléfono (fijo o móvil)
• Otros
• Infracciones penales.
• Infracciones
administrativas.
• Información de hacienda
pública.
• Información de servicios
financieros
• Otros
• Ideología
• Religión.
• Creencias.
• Origen racial.
• Salud.
• Vida sexual
• Otros
Medidas
de
Seguridad
• Documento de seguridad
• Régimen de funciones y
obligaciones del personal
• Registro de incidencias
• Identificación y
autenticación de usuarios
• Control de acceso
• Gestión de soportes
• Copias de respaldo y
recuperación
• Medidas de seguridad de
nivel básico
• Responsable de
Seguridad
• Auditoria bienal
• Medidas adicionales de
Identificación y
autenticación de usuarios
• Control de acceso físico
• Medidas de seguridad
de nivel básico y medio
• Seguridad en la
distribución de soportes
• Registro de accesos
• Medidas adicionales de
copias de respaldo
• Cifrado de
telecomunicaciones
9.- Requisitos organizativos de cumplimiento
OBLIGACIONES LEGALES BÁSICAS EN PROTECCIÓN DE DATOS (MIXTO)
Inscripción de los ficheros en el Registro General de Protección de Datos
Redacción del documento de seguridad.
Recabar el consentimiento del afectado cuando se vayan a tratar sus datos
personales.
Auditoría. Obligatoria cuando existen ficheros que requieren medidas de nivel
medio o alto.
Implementar medidas de seguridad de índoles técnicas y organizativas
necesarias para garantizar la seguridad de los datos objeto de tratamiento.
Redacción de los contratos, leyendas y cláusulas necesarias para la recogida
datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.
Deber de secreto.
9.- Requisitos organizativos de cumplimiento
DOCUMENTO DE SEGURIDAD
Es el núcleo central de toda política de protección de datos de carácter personal,
pues contiene políticas, normas y procedimientos por los cuales se va a regir la
organización en el tratamiento de los datos de carácter personal.
Es un manual que debe reflejar la realidad de los procedimientos de una
organización en relación con el tratamiento de los datos de carácter personal.
En el mismo se recogen todas aquellas medidas de carácter técnico, jurídico y
organizativo que una organización adopta con el objeto de proteger o garantizar la
seguridad de los datos personales que puedan existir, tanto en sus sistemas de
información como en sus ficheros manuales o no automatizados.
Ha de ser un documento cuya vigencia esta relacionada con el funcionamiento
diario de la organización y en las personas que la conforman.
Es decir, que sea un documento vivo, actualizado y revisado
a efectos de contemplar las nuevas situaciones con respecto al uso de la
información.
9.- Requisitos organizativos de cumplimiento
Algunos procedimientos básicos a tener en cuenta:
PROCEDIMIENTOS RELATIVOS A FICHEROS AUTOMATIZADOS
CONTROL DE ACCESO LÓGICO
COPIAS DE SEGURIDAD
CORREO ELECTRÓNICO
PROCEDIMIENTOS RELATIVOS A FICHEROS AUTOMATIZADOS
CRITERIOS DE ARCHIVO
DISPOSITIVOS DE ALMACENAMIENTO
CUSTODIA DE SOPORTES
MEDIDAS DE TRASLADO DE DOCUMENTACIÓN
CONTROL DE COPIA Y/O REPRODUCCIÓN (NIVEL ALTO)
ÁREAS RESTRINGIDAS (NIVEL ALTO)
9.- Requisitos organizativos de cumplimiento
Algunos procedimientos básicos a tener en cuenta:
PROCEDIMIENTOS COMUNES A AMBOS TIPOS DE FICHEROS
GESTIÓN DE USUARIOS
GESTIÓN DE INCIDENCIAS
GESTIÓN DE SOPORTES Y DOCUMENTOS
DESECHADO Y REUTILIZACIÓN DE SOPORTES Y DOCUMENTOS
GESTIÓN DE FICHEROS TEMPORALES O COPIAS DE TRABAJO DE
DOCUMENTOS
MEDIDAS DE SEGURIDAD ADICIONALES
CONTROL DE LO DISPUESTO EN EL DOCUMENTO DE SEGURIDAD:
AUDITORÍA.
ATENCIÓN AL EJERCICIO DE LOS DERECHOS A.R.C.O.
9.- Requisitos organizativos de cumplimiento
AFECTADOS
Información al afectado.
Casos de Consentimiento explícito.
CONTRATAS
Encargado de Tratamiento CON Acceso a Datos.
Encargado de Tratamiento SIN Acceso a Datos.
EMPLEADOS
Acuerdo de Confidencialidad
Conocimiento de las Funciones y Obligaciones
CLAUSULADO
9.- Requisitos organizativos de cumplimiento
COMUNICACIÓN DE DATOS
Se entiende por comunicación o cesión de datos toda revelación de datos realizada a persona distinta del
interesado. Definida en el artículo 3, i) de la LOPD, se trata de toda entrega o revelación de datos personales
que realiza el titular de un fichero o un encargado del tratamiento, etc. a un tercero. Esta cesión de acuerdo con
el artículo 11 de la LOPD, tiene que realizarse para el cumplimiento de fines directamente relacionados con las
funciones legítimas del cedente y del cesionario y, como regla general, debe contar con el previo
consentimiento del interesado. Se trata de un régimen que lo que busca es garantizar el control y
conocimiento del uso y destino de los datos personales por parte de su titular o afectado.
EXCEPCIONES AL CONSENTIMIENTO EN LA COMUNICACIÓN DE DATOS
• Cuando la cesión está autorizada en una Ley.
• Cuando se trate de datos recogidos de fuentes accesibles al público.
• Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo
desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento
con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a
la finalidad que la justifique.• Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o
Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento
cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al
Tribunal de Cuentas.
• Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines
históricos, estadísticos o científicos.
• Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder
a un fichero para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o
autonómica.
9.- Requisitos organizativos de cumplimiento
OBLIGACIONES DE LOS USUARIOS
Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal
conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral
con la organización.
Guardar todos los soportes físicos y/o documentos que contengan información con datos de
carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera
de la jornada laboral.
Queda prohibido el traslado de cualquier soporte, listado o documento con datos de carácter
personal en los que se almacene información titularidad de la organización fuera de los
locales de la misma, sin autorización previa del Responsable de Seguridad. En el supuesto
de existir traslado o distribución de soportes y documentos se realizará cifrando dichos
datos, o mediante otro mecanismo que impida el acceso o manipulación de la información
por terceros.
Comunicar al Responsable de Seguridad, conforme al procedimiento de notificación, las
incidencias de seguridad de las que tenga conocimiento.
9.- Requisitos organizativos de cumplimiento
Ficheros de carácter temporal o copias de documentos son aquellos en los que se
almacenan datos de carácter personal, generados para el cumplimiento de una necesidad
determinada o trabajos temporales y auxiliares, siempre y cuando su existencia no sea
superior a un mes. Estos ficheros de carácter temporal o copias de documentos deben ser
borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación
y, mientras estén vigentes, deberán cumplir con los niveles de seguridad asignados por el
Responsable de Seguridad. Si, transcurrido el mes, el usuario necesita continuar utilizando
la información almacenada en el fichero, deberá comunicarlo al Responsable de Seguridad,
para adoptar las medidas oportunas sobre el mismo.
Únicamente las personas autorizadas en un listado de accesos podrán introducir, modificar
o anular los datos contenidos en los ficheros o documentos objeto de protección. Los
permisos de acceso de los usuarios son concedidos por el Responsable de Seguridad. En
el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a
ficheros o documentos a cuyo acceso no está autorizado, deberá ponerlo en conocimiento
del Responsable de Seguridad correspondiente.
OBLIGACIONES DE LOS USUARIOS
9.- Requisitos organizativos de cumplimiento
Bloque III
10. ¿Cuál es mi situación como Administrador de Fincas?
¿Cuál es mi figura?
¿Qué obligación tengo como encargado del tratamiento?
¿Es obligatorio celebrar un contrato con la Comunidad de
Vecinos?
¿Influye la ubicación del fichero?
¿Los vecinos deben firmar algún documento?
¿Cómo publicar los datos de los morosos?
¿Se pueden dar datos de los vecinos a empresas que prestan
sus servicios a los mismos?
Informes y Sentencias de la AEPD
¿Cuál es mi situación como Administrador de Fincas?
Administradores
de Fincas
Encargado de
Tratamiento
Comunidad de
Vecinos/Propietarios
Responsable de
Fichero
Responsable de
«mis» Ficheros
¿Cuál es mi figura?
¿Cuál es mi situación como Administrador de Fincas?
Administradores
de Fincas
Encargado de
Tratamiento
Comunidad de
Vecinos/Propietarios
Responsable de
«sus» Fichero
Responsable de
«mis» Ficheros
Debe cumplir con la LOPD en
todos los aspectos
contemplados ya que trata
datos de carácter personal.
¿Cuál es mi figura?
¿Cuál es mi situación como Administrador de Fincas?
Administradores
de Fincas
Encargado de
Tratamiento
Comunidad de
Vecinos/Propietarios
Responsable de
«sus» Fichero
Responsable de
«mis» Ficheros
Debe cumplir con la LOPD en todos
los aspectos contemplados ya que
trata datos de carácter personal como
por ejemplo del personal propio o de
sus clientes pero hay que distinguir
que...
¿Cuál es mi figura?
¿Cuál es mi situación como Administrador de Fincas?
Administradores
de Fincas
Encargado de
Tratamiento
Comunidad de
Vecinos/Propietarios
Responsable de
«sus» Fichero
Responsable de
«mis» Ficheros
... Actúa como ENCARGADO DE
TRATAMIENTO de los datos que posee
propios de las comunidades de vecinos.
No tiene que registrar el fichero pero
debe cumplir con lo expuesto en la
LOPD
¿Cuál es mi figura?
¿Cuál es mi situación como Administrador de Fincas?
La comunidad de Vecinos está obligada a registrar sus ficheros y cumplir con las
obligaciones inherentes en la LOPD como responsable de fichero.
El Responsable del Fichero es la comunidad de propietarios, el administrador de fincas es el
Encargado de Tratamiento por lo que debe cumplir una serie de OBLIGACIONES que
podemos resumir a continuación:
Fijar instrucciones concretas para el acceso y tratamiento de los datos
Establecer y detallar las medidas de seguridad que deberá adoptar e implantar, para
garantizar su seguridad y evitar su alteración, pérdida, tratamiento o acceso no
autorizado.
Establecer la prohibición de ceder o comunicar los datos a terceros, ni tan siquiera
para su conservación
Si subcontrata servicios Firmar un contrato con el subcontratista con el consentimiento
del Responsable del Fichero o habiendo obtenido expresa autorización de éste
Devolución o destrucción de los datos una vez concluida la prestación del servicio. Si
deben conservarse durante un plazo legal debe procederse a su Bloqueo.
¿Qué obligación tengo como encargado del tratamiento?
¿Cuál es mi situación como Administrador de Fincas?
La relación entre el Administrador de Fincas y la Comunidad de
Propietarios, deberá estar regulada en un contrato que deberá constar por escrito
o en alguna otra forma que permita acreditar su celebración y contenido,
estableciéndose expresamente que el encargado del tratamiento (el
Administrador de Fincas) tratará los datos conforme a las instrucciones del
Responsable del tratamiento (la Comunidad de Propietarios), que no los aplicará
o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni
siquiera para su conservación, a otras personas.
¿Es obligatorio celebrar un contrato con la Comunidad de Vecinos?
¿Cuál es mi situación como Administrador de Fincas?
Normalmente, es el propio administrador de fincas quién se encarga de la custodia de la
información, tanto por disponibilidad como por disponibilidad a la hora de prestar los
servicios contratados.
Administradores de
Fincas
Custodian la
información
• Recoger en un contrato las obligaciones de custodia
INCLUYENDO la llevanza del documento de seguridad
si así se estableciese.
• Implementar las medidas de seguridad adecuadas al
nivel requerido por el fichero
¿Influye la ubicación del fichero?
¿Cuál es mi situación como Administrador de Fincas?
NO, ya que el tratamiento de datos que la comunidad de propietarios, o el
Administrador de Fincas realiza está dentro del cumplimiento de sus
obligaciones legales. Esto se encuentra dentro de los supuestos legales que
exceptúan la necesidad de recabar el consentimiento de los vecinos.
Sin embargo, estas excepciones no eximen a la Comunidad de Propietarios de
cumplir con el Derecho de Información (artículo 5 de la LOPD) y deberán informar
de la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y
oposición así como de la identidad del responsable de los ficheros a los
propietarios.
¿Los vecinos deben firmar algún documento?
¿Cuál es mi situación como Administrador de Fincas?
¿Cómo publicar los datos de los morosos?
Cómo Notificar:
1. Notificar al afectado en su domicilio conocido la convocatoria de la Junta o el Acta
donde se contiene su condición de deudor.
2. En su defecto, se notificará en el inmueble del que es propietario en la comunidad de
que se trate.
3. En caso de total imposibilidad para notificar personalmente, se procederá a publicar
la convocatoria de Junta o el Acta en el tablón de anuncios del edificio o lugar visible.
1. Principio de calidad de los datos, (artículo 4 LOPD)
2. Ley de Propiedad Horizontal (LPH)
• En la convocatoria de la Junta de vecinos (artículo 16.2 LPH)
• En la publicación del acta aprobado en Junta (artículo 19.3 LPH)
¿Cuál es mi situación como Administrador de Fincas?
¿Cómo publicar los datos de los morosos?
Cómo Notificar:
La finalidad de colgar la lista en el tablón es informar a los propietarios deudores
que se hallan en tal situación, y no poner en conocimiento de terceros tal hecho,
aunque ello sea una consecuencia inevitable. Por ello, se ha de intentar por otros
medios notificar personalmente a los afectados, quedando la publicación en el
tablón de anuncios como última posibilidad.
Asimismo, ha de tenerse en cuenta que no cabe la publicación de forma
autónoma de un listado de vecinos deudores, pues la LPH se refiere a la
publicación de la convocatoria de Junta y la del Acta aprobada por los
propietarios.
¿Cuál es mi situación como Administrador de Fincas?
Hay que tener en cuenta que «los datos de carácter personal objeto del tratamiento
sólo podrán ser comunicados a un tercero para el cumplimiento de fines
directamente relacionados con las funciones legítimas del cedente y del cesionario
con el previo».
La “comunicación o cesión de los datos de carácter personal, fuera de los casos en
que estén permitidas” se considera según la LOPD infracción muy grave que
pueden sancionarse con multas de hasta 601.012 euros.
¿Se pueden dar datos de los vecinos a empresas que prestan sus
servicios a los mismos?
Instalador de
Antenas
Administrador de
Fincas
Listado de Nombres y teléfonos
de propietarios
Solicitud de
consentimiento
a la cesión
Previa
Solicita Al
Facilita
¿Cuál es mi situación como Administrador de Fincas?
Informe 0081/2010: La consulta plantea dudas en relación con la inscripción de ficheros de
las comunidades de propietarios de las que el consultante es Administrador y las medidas
de seguridad a implementar respecto del fichero de datos del empleado de portería de una
de dichas fincas.
Informe 0636/2009: La consulta plantea si resulta conforme con lo dispuesto por la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, la
comunicación por parte del consultante, Administrador colegiado de Fincas, de listas con
los datos personales de los propietarios de las fincas que administra, a solicitud de los
correspondientes Presidentes de las Comunidades de Propietarios.
Informe 46/2006: Condición de responsable del fichero de administradores y gestores de
fincas.
INFORMES DE LA AEPD
SENTENCIAS DE LA AEPD
http://www.agpd.es/portalwebAGPD/resultados-ides-idphp.php#
Reglamento General de Protección de Datos.
https://www.boe.es/doue/2016/119/L00001-00088.pdf
Reglamento General de Protección de Datos.
¿A QUÉ EMPRESAS U ORGANISMOS SE APLICA?
El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de
datos establecidos en la Unión Europea, y se amplía a responsables y encargados no
establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes
o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización
y seguimiento de su comportamiento.
Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar
tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras
regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa
europea.
Reglamento General de Protección de Datos.
¿TRATAMIENTO DE DATOS DE MENORES?
Validez del consentimiento del menor de más de 16 años
Posibilidad de rebaja del umbral con un mínimo de 13 años
Reglas especiales.
Especialidades en la claridad de la información a facilitarles
Especialidades en el derecho al borrado
Prueba (artículo 8.2)
“El responsable del tratamiento hará esfuerzos razonables para verificar en tales
casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o
tutela sobre el niño, teniendo en cuenta la tecnología disponible”
Reglamento General de Protección de Datos.
NUEVAS CATEGORÍAS DE DATOS.
Datos genéticos o biométricos.
Especialidades en datos de condenas e infracciones, que no son considerados
estrictamente datos sensibles pero respecto de los que se limita el tratamiento.
Reglamento General de Protección de Datos.
DERECHO A LA PORTABILIDAD.
Derecho del interesado a
Recibir los datos personales que le incumban.
Que haya facilitado a un responsable del tratamiento.
En un formato estructurado y de uso habitual y de lectura mecánica.
Y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable del
tratamiento al que se hubieran facilitado los datos
Requisitos para que pueda ejercitarse (acumulativos):
El tratamiento esté basado en el consentimiento o en un contrato.
El tratamiento se efectúe por medios automatizados
Modo de ejercicio
Podrá implicar la transmisión directa de responsable a responsable a instancia del interesado
“cuando sea técnicamente posible”
Limitaciones
Exceptuado cuando el tratamiento se funde en el cumplimiento de una misión de interés
público o inherente al ejercicio del poder público
Reglamento General de Protección de Datos.
VENTANILLA ÚNICA.
Este sistema está pensado para que los responsables establecidos en varios Estados
miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten
significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de
protección de datos como interlocutora. También implica que cada Autoridad de protección de
datos europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel
estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene
carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre
todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay
discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos,
un organismo de la Unión integrado por los directores de todas las Autoridades de protección
de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes
para las Autoridades implicadas.
Reglamento General de Protección de Datos.
¿TIENEN LAS EMPRESAS QUE EMPEZAR A APLICAR YA LAS
MEDIDAS CONTEMPLADAS EN EL REGLAMENTO?
No. El Reglamento está en vigor, pero no será aplicable hasta 2018.
Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018
deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas
empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de
complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar
las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de
protección de datos.
Reglamento General de Protección de Datos.
CONSENTIMIENTO
El Reglamento requiere que las personas cuyos datos se tratan presten su consentimiento
mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la
utilización del llamado consentimiento tácito, que actualmente permite la normativa
española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del
RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando
los criterios fijados por el propio Reglamento.
El Reglamento requiere que haya una declaración de los interesados o una acción
positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse
del silencio o de la inacción de los ciudadanos.
Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes
recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó
su consentimiento.
A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados
en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese
consentimiento.
El silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.
Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.
Carga de la prueba del responsable
Reglamento General de Protección de Datos.
DERECHO AL OLVIDO (I)
El denominado 'derecho al olvido' es la manifestación de los tradicionales derechos de y
cancelación y oposición aplicados a los buscadores de internet. El 'derecho al olvido' hace
referencia al derecho a impedir la difusión de información personal a través de internet cuando
su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa.
En concreto, incluye el derecho a limitar la difusión universal e indiscriminada de datos
personales en los buscadores generales cuando la información es obsoleta o ya no tiene
relevancia ni interés público, aunque la publicación original sea legítima (en el caso de
boletines oficiales o informaciones amparadas por las libertades de expresión o de
información).
La sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, reconoció
por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el
interesado puede solicitar que se bloqueen en las listas de resultados de los
buscadores los vínculos que conduzcan a informaciones que le afecten que resulten
obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
Reglamento General de Protección de Datos.
DERECHO AL OLVIDO (II)
¿Puedo ejercerlo frente al buscador sin acudir previamente a la fuente original?
Sí. Los motores de búsqueda y los editores originales realizan dos tratamientos de datos
diferenciados, con legitimaciones diferentes y también con un impacto diferente sobre la
privacidad de las personas.
Si lo ejerzo frente a un buscador, ¿la información desaparecerá de internet?
No. La sentencia del Tribunal de Justicia de la UE de 13 de mayo de 2014 declara
expresamente en este sentido que el ejercicio de los derechos de cancelación y oposición
realizado frente a los buscadores sólo afecta a los resultados obtenidos en las búsquedas
hechas mediante el nombre de la persona y no implica que la página deba ser suprimida de
los índices del buscador ni de la fuente original.
¿Cómo puedo ejercerlo?
Google: https://goo.gl/5PMIDB
Bing: https://goo.gl/xpjaDC
Yahoo: https://goo.gl/U2tzzd
Si no me responden puedo solicitar que AGPD tutele mis derechos:
Tutela de derechos AGPD: https://goo.gl/43Ck7w
Reglamento General de Protección de Datos.
OBLIGACIONES DE RESPONSABLES Y ENCARGADOS
El Reglamento prevé que los responsables aplicarán las medidas técnicas y organizativas
apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos
personales se lleva a cabo de conformidad con el Reglamento.
Tipos de medidas:
Registro de actividades de tratamiento.
Medidas de Protección de Datos desde el Diseño.
Medidas de Protección de Datos por Defecto.
Medidas de seguridad adecuadas.
Evaluaciones de Impacto.
Autorización previa o consultas previas con APD.
Delegado Protección de Datos (DPD).
Notificación de Quiebras de Seguridad.
Códigos de conducta y esquemas de certificación.
Medidas aplicables en función del riesgo para los derechos y libertades de los
interesados
Alto riesgo vs. riesgo estándar.
El riesgo como criterio de ponderación.
Necesidad de determinar el nivel de riesgo.
¡Responsabilidad activa y demostrable!
Reglamento General de Protección de Datos.
OBLIGACIONES DE RESPONSABLES Y ENCARGADOS
Medidas técnicas y organizativas adecuadas (p.ej. seudonimización, minimización)
para aplicar principios.
Tratamiento por defecto sólo de datos personales necesarios para cada fin
específico
Registro de tratamientos.
Medidas de seguridad.
Notificación de violaciones de seguridad.
Evaluación de impacto.
Delegado de Protección de Datos.
Relaciones Responsable – Encargado.
Reglamento General de Protección de Datos.
OBLIGACIONES DE RESPONSABLES Y ENCARGADOS
¡Registro de tratamientos!
Identificación y datos de contacto de responsable, corresponsable, representante y
DPD
Fines
Descripción de categorías de interesados y datos.
Categorías de destinatarios existentes o previstos (inclusive en terceros países u
organizaciones internacionales)
TID y documentación de garantías para TID exceptuadas sobre base de intereses
legítimos imperiosos
Cuando sea posible
plazos previstos para supresión de datos
descripción general de medidas de seguridad
Reglamento General de Protección de Datos.
OBLIGACIONES DE RESPONSABLES Y ENCARGADOS
¡Medidas de seguridad!
Responsables y encargados deben aplicar medidas técnicas y organizativas
apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en
cuenta
Estado de la técnica y costes de aplicación.
Naturaleza, alcance, contexto y fines del tratamiento.
Riesgos para los derechos y libertades de las personas.
Reglamento no establece listado estructurado de medidas ni prevé desarrollo o
especificación.
La adhesión a un código de conducta o a un mecanismo de certificación podrá
servir de elemento para demostrar cumplimiento
Reglamento General de Protección de Datos.
OBLIGACIONES DE RESPONSABLES Y ENCARGADOS
¡Notificación de violaciones de seguridad!
Sin demora y a más tardar en 72 horas desde que se haya tenido constancia. Más
tarde, justificación motivada
No obligación cuando “sea improbable que dicha violación de la seguridad
constituya un riesgo para los derechos y las libertades de las personas físicas”
Reglamento prevé contenido mínimo de notificación
Documentación de todas las violaciones de seguridad
Obligación del encargado de notificar sin dilación indebida violaciones de seguridad al
responsable
Cuando es probable que la quiebra entrañe alto riesgo para los derechos y libertades
de interesados
Sin dilación indebida
Contenido mínimo, que no incluye posibles medidas paliativas
Excepciones
Implementación de medidas de protección tecnológica que haga ininteligibles
los datos a terceros no autorizados (p.ej.: datos encriptados)
medidas ulteriores que garanticen que ya no exista la probabilidad de que se
concretice el alto riesgo para derechos y libertades
APD puede obligar a notificar a interesados
Notificación a interesados:
Notificación a APD:
Reglamento General de Protección de Datos.
OBLIGACIONES DE RESPONSABLES Y ENCARGADOS
¡Evaluación de impacto!
La realización de estas
Evaluaciones tiene carácter previo a
la puesta en marcha de los
correspondientes tratamientos
elaboración de perfiles sobre
cuya base se tomen decisiones
que produzcan efectos jurídicos
para las personas físicas.
tratamiento a gran escala de
datos sensibles
observación sistemática a gran
escala de una zona de acceso
público
Reglamento General de Protección de Datos.
El “Delegado de Protección de Datos” o, en inglés, “Data Protection Officer” (DPO), es una nueva
figura, especialista en derecho de protección de datos, que se crea al lado de las figuras del
responsable y del encargado del tratamiento de los datos.
¿Quién necesitará un Delegado de Protección de Datos?
Organizaciones e instituciones públicas.
Empresas.
Con más de 250 trabajadores.
Con menos de 250 empleados.
Que necesiten un seguimiento sistemático y periódico de los datos personales
tratado:
o Para la monitorización e investigación de mercados.
o De análisis de riesgos.
o Créditos o de solvencia patrimonial.
Que traten datos catalogados de especialmente protegidos:
o Religiosos o de creencias.
o Afiliación sindical.
o Raciales.
o Biométricos, se permiten identificar exhaustivamente a una persona.
o Sexuales.
o Salud.
o Antecedentes penales o condenas.
OBLIGACIONES DE RESPONSABLES Y ENCARGADOS
¡Delegado de Protección de Datos!
Reglamento General de Protección de Datos.
La diferencia más notoria entre el Responsable de Seguridad y el Delegado de Protección de
Datos son:
La exclusividad del DPO en sus funciones.
Que debe ser nombrado en base a sus "cualidades profesionales y, en particular, su
conocimiento" en la materia de la protección de datos, que le capacite para cumplir las
tareas que le atribuye el Reglamento. "Esas competencias o capacidades acreditadas se
obtendrán a través de estudios reglados y específicos; es decir másters, modelos formativos,
o acreditaciones desarrolladas por la Entidad Nacional de Acreditación (ENAC)"
OBLIGACIONES DE RESPONSABLES Y ENCARGADOS
¡Delegado de Protección de Datos!
Informar y asesorar sobre obligaciones impuestas por normativa de protección de datos
Supervisar el cumplimiento de la normativa de protección de datos, incluidas
asignación de responsabilidades
concienciación y formación del personal
las auditorías correspondientes
Ofrecer asesoramiento sobre EIPD
Cooperar con la APD y actuar como punto de contacto para cuestiones relativas al
tratamiento
Funciones:
Reglamento General de Protección de Datos.
OBLIGACIONES DE RESPONSABLES Y ENCARGADOS
¡Relaciones Responsable - Encargado!
Objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales,
categorías de interesados afectados, obligaciones y derechos del responsable del
tratamiento
Obligación de tratar los datos únicamente siguiendo instrucciones documentadas del
responsable
Confidencialidad de personas que manejen datos
Medidas “conforme al artículo 32”
Contratación de subencargados con autorización previa, general o específica, del
responsable, y posibilidad de rechazar subencargados
Asistencia al responsable en ejercicio de derechos y en cumplimiento de obligaciones
de arts. 32 a 36
Reglamento General de Protección de Datos.
CÓDIGOS DE CONDUCTA.
Facilitan la correcta aplicación del RGPD, teniendo en cuenta las características
específicas de los distintos sectores y las necesidades específicas de PYMES y
micropymes.
Aportan garantías adecuadas para las transferencias internacionales de datos.
Tienen carácter voluntario. Sólo obligan a quienes se comprometan a aplicar sus
disposiciones.
Los Estados, APDs, CEPD y la Comisión obligados a impulsar su elaboración
Códigos nacionales
Códigos que afecten a tratamientos en varios Estados UE
Ámbito territorial:
Reglamento General de Protección de Datos.
CERTIFICACIONES, SELLOS Y MARCAS.
Objeto:
Demostrar el cumplimiento del RGPD por responsables y encargados y/o
Proporcionar garantías adecuadas para las T.I.D.
De manera que permitan evaluar con mayor rapidez el nivel de protección de datos de
productos y servicios
No limitará la responsabilidad de los responsables o encargados en cuanto al
cumplimiento del RGPD, con arreglo a las competencias de las APD.
Carácter voluntario y disponible de manera transparente.
Expedición de la certificación por:
Un organismo de certificación acreditado
La APD competente
CEPD
Criterios de certificación han de ser aprobados por:
La APD competente
CEPD, que dará lugar una certificación común: Sello Europeo de Protección de Datos
Validez por 3 años, renovable en las mismas condiciones
La expedición y renovación de una certificación por un organismo de certificación habrá de
comunicarse previamente a la APD, que podrá retirarla u ordenar que no se expida
Se retirará por el organismo de certificación, y en su caso por la APD, si no se cumplen
los requisitos de la certificación.
Reglamento General de Protección de Datos.
TRANSFERENCIAS INTERNACIONALES DE DATOS.
Reglamento General de Protección de Datos.
RÉGIMEN SANCIONADOR
Multa hasta 10 M € o para empresas, optándose por la de mayor cuantía, hasta
el 2 % de volumen de negocio anual a nivel mundial.
Obligaciones de responsable o encargado
Obligación de organismos de certificación
Obligaciones de organismos de supervisión de códigos de conducta
(Medidas por incumplimiento del C. de conducta)
Multa hasta 20 M € o hasta el 4%.
Principios básicos.
Derechos
Transferencias internacionales..
Multa hasta 20 M € o hasta el 4%.
Incumplimiento de resoluciones de APD
Política de Uso y Control de las TIC en el Ámbito Laboral.
La utilización de las TIC por los trabajadores para fines no empresariales.
Las medidas que puede adoptar el Empresario en el ejercicio de su facultad disciplinaria.
El poder de dirección y sus límites.
PUNTOS DE ANÁLISIS EN RELACIÓN CON EL USO DE LAS TIC EN EL
LUGAR DE TRABAJO
DERECHO A LA INTIMIDAD
SECRETO DE LAS COMUNICACIONES
PROTECCIÓN DE DATOS
Política de Uso y Control de las TIC en el Ámbito Laboral.
LEGITIMACIÓN PARA EL CONTROL Y VIGILANCIA
Artículo 18. Inviolabilidad de la persona del trabajador.
<< Sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y
efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y
del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de
trabajo. En su realización se respetará al máximo la dignidad e intimidad del trabajador y se
contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del
centro de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible >>
Artículo 20.3 Dirección y control de la actividad laboral.
<< El Empresario podrá adoptar las medidas que estime más oportunas de vigilancia y
control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes
laborales, guardando en su adopción y aplicación la consideración debida a su dignidad
humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso
>>
Política de Uso y Control de las TIC en el Ámbito Laboral.
LEGITIMACIÓN PARA EL CONTROL Y VIGILANCIA
Sentencia del TS de 26 de septiembre de 2007.
Ante el supuesto planteado de si la empresa puede acceder al correo electrónico del
trabajador estableció que “en síntesis prevé la posibilidad de que el Empresario pueda
acceder al control del ordenador, del correo electrónico y los accesos a Internet de los
trabajadores, siempre que la empresa de buena fe haya establecido previamente las
reglas de uso de esos medios con aplicación de prohibiciones absolutas o parciales e
informado de que va existir un control y de los medios que han de aplicarse en orden a
comprobar la corrección de los usos
Sentencia del TS de 6 de octubre de 2011.
Si la empresa prohíbe totalmente el uso de estas tecnologías con fines particulares, ya sea
dentro o fuera del horario laboral, no se puede entender que el Derecho Fundamental a la
Intimidad o al Secreto de las comunicaciones opera en el uso de estos equipos.
Política de Uso y Control de las TIC en el Ámbito Laboral.
LEGITIMACIÓN PARA EL CONTROL Y VIGILANCIA
Sentencia del TS de 16 de junio de 2014.
Ha venido a alterar el estado de las cosas en lo que respecta a técnicas de monitorización y
acceso al correo electrónico profesional del empleado, creando dos líneas jurisprudenciales
diferentes a la hora de valorar la licitud de una prueba.
Los mensajes de correo que ya han sido abiertos, o leídos, por su destinatario, pasan a
ser considerados ficheros de datos.
Los que permanecen cerrados o, todavía no leídos, se ven afectados por el secreto de
las comunicaciones.
El Alto Tribunal declara que para acceder a estos últimos se requiere disponer previamente
de autorización judicial en virtud del derecho fundamental al secreto de las comunicaciones
y en concordancia con el artículo 579 de la Ley de Enjuiciamiento Criminal (LECRIM).
Política de Uso y Control de las TIC en el Ámbito Laboral.
ACCESO A LOS DATOS DE TRÁFICO DE LAS COMUNICACIONES
ELECTRÓNICAS (I)
La Organización esta legitimada para el control o monitorización del correo electrónico,
siempre y cuando haya informado previamente a los empleados acerca de la adopción de
esta medida y las normas de uso de las TIC, pero ¿está facultada para el acceso al
contenido de las comunicaciones hechas por correo electrónico?
Sentencia 2844/2014 de la Sala de lo Penal de Tribunal Supremo de 16 de junio de
2014 "...el ordenador registrado era una herramienta propiedad de la empresa y facilitada
por la empresa a don AAA exclusivamente para desarrollar su trabajo, por lo que
entendemos que incluso en aquel supuesto en que pudiera utilizar el ordenador para emitir
algún tipo de mensaje de carácter personal, entendemos que al utilizar precisamente un
ordenador ajeno, de la empresa, y destinado exclusivamente para el trabajo a la empresa,
estaba asumiendo -cediendo- la falta de confidencialidad -secreto- de las comunicaciones
que pudiera tener el señor AAA utilizando tal terminal informático“.
Según esta sentencia, no se precisa de autorización judicial para investigar los archivos en
el disco duro del ordenador del empleado, o los mensajes remitidos o leídos en las bandejas
de correo electrónico (normalmente en el servidor), ni los datos de tráfico de las
comunicaciones.
Política de Uso y Control de las TIC en el Ámbito Laboral.
ACCESO A LOS DATOS DE TRÁFICO DE LAS COMUNICACIONES
ELECTRÓNICAS (II)
El artículo 18.3 de la Constitución, que garantiza el secreto de las comunicaciones, no
exceptúa dicha garantía por la titularidad del medio, ni por su carácter empresarial, ni por el
momento en que sucede la comunicación.
Tampoco permite excepciones a la exigencia de autorización judicial para la intervención de
los medios de comunicación, a diferencia de la entrada en el domicilio (18.2 CE).
Ni siquiera contempla la posibilidad de que el interesado renuncie a esta libertad (lo que sí se
permite en el caso de la entrada en domicilio).
Además, la interceptación afecta a la libertad del tercero con quien se comunica el empleado,
que puede ser ajeno a la relación laboral.
¡Dudas que se plantean!
Se garantiza el secreto de las comunicaciones y, en especial, de las postales,
telegráficas y telefónicas, salvo resolución judicial.
Sección 1.ª De los derechos fundamentales y de las libertades públicas
Artículo 18 Constitución Española
El Tribunal Supremo matiza que el art. 18.3 de la Constitución (secreto de las
comunicaciones) no protege los mensajes, sino los medios de comunicación
propiamente dichos.
Política de Uso y Control de las TIC en el Ámbito Laboral.
ACCESO A LOS DATOS DE TRÁFICO DE LAS COMUNICACIONES
ELECTRÓNICAS (III)
Si es posible, el control del correo electrónico debería limitarse a los datos sobre tráfico
de los participantes y a la hora de una comunicación más que al contenido, si ello es
suficiente para satisfacer las necesidades del Empleador. Si el acceso al contenido de
los mensajes es indispensable, convendría tener en cuenta el respeto de la vida
privada de los destinatarios externos e internos de la Organización. Por ejemplo, el
Empleador no puede obtener el consentimiento de las personas ajenas a la
Organización que envían mensajes. La tecnología ofrece al Empleador importantes
posibilidades de evaluar la utilización del correo electrónico por sus trabajadores,
comprobando, por ejemplo, el número de mensajes enviados y recibidos o el
formato de los documentos adjuntos; por ello la apertura efectiva de los mensajes
electrónicos es desproporcionada. La tecnología puede también utilizarse para
garantizar que sean proporcionadas las medidas adoptadas por el Empleador para
proteger de todo abuso el acceso a Internet autorizado a su personal, utilizando
mecanismos de bloqueo más que de vigilancia >>.
Agencia Española de Protección de Datos
Informe 0247/2008 y el Informe 0615/2009
Política de Uso y Control de las TIC en el Ámbito Laboral.
OBLIGACIÓN DE PROPORCIONAR INFORMACIÓN AL INTERESADO (I)
El Empleador debe transmitir a su personal una declaración clara, precisa y fácilmente
accesible de su política relativa a la vigilancia del correo electrónico y la utilización de Internet.
Esta información debería incluir necesariamente:
La política de la empresa en cuanto a utilización del correo electrónico e Internet,
describiendo de forma pormenorizada en qué medida los trabajadores pueden utilizar los
sistemas de comunicación de la empresa con fines privados o personales (por ejemplo,
períodos y duración de utilización).
Deberá informarse a los trabajadores de los sistemas instalados para impedir el acceso a
algunos sitios o para detectar una posible utilización abusiva.
Los motivos y finalidad de la vigilancia, en su caso. Cuando el empleador autorice a los
trabajadores a utilizar los sistemas de comunicación de la empresa con fines personales,
las comunicaciones privadas podrán supervisarse en circunstancias muy limitadas,
por ejemplo para garantizar la seguridad del sistema informático (detección de
virus).
Información detallada sobre las medidas de vigilancia adoptadas, por ejemplo, quién ha
adoptado las medidas, qué medidas se han adoptado y cuándo.
Información detallada sobre los procedimientos de aplicación, precisando cómo y cuándo
se informará a los trabajadores en caso de infracción de las directrices internas y de los
medios de que disponen para reaccionar en estos casos.
La política deberá especificar cuando proceda, el uso que se hará de los datos recogidos
sobre las personas que visitaron sitios específicos.
Política de Uso y Control de las TIC en el Ámbito Laboral.
OBLIGACIÓN DE PROPORCIONAR INFORMACIÓN AL INTERESADO (II)
En definitiva, lo determinante para que la organización pueda legalmente controlar el correo
de sus empleados, es que previamente les haya advertido de dicha circunstancia y de que la
medida esté orientada a mejorar las tareas laborales.
Y es obligatoria:
La notificación a la Agencia Española de Protección de Datos los ficheros o tratamientos que
se produzcan, para que los trabajadores siempre puedan comprobar en los registros, por
ejemplo, qué categorías de datos personales de los trabajadores puede procesar el
empleador, con qué finalidad y para qué destinatarios.
Y frente a su vulneración cabe:
El ejercicio de los derechos Acceso, Rectificación, Cancelación y Oposición (A.R.C.O.). Esto
es, un trabajador como afectado o interesado que es, tendrá estos derechos en relación con
sus datos de carácter personal tratados por su Empleador, teniendo en cuenta que éstos,
como cualquier otro, no son absolutos, teniendo límites en su ejercicio.
Política de Uso y Control de las TIC en el Ámbito Laboral.
PROPORCIONALIDAD, NECESIDAD E IDONEIDAD DE LAS MEDIDAS DE
CONTROL (I)
Para que una actividad de control sea legal y se justifique, deben respetarse todos los
principios siguientes:
Necesidad.
Legitimidad.
Proporcionalidad.
Seguridad.
En la sentencia 186/2000, de 10 de julio del TC, considera que la medida de instalación de
un circuito cerrado de televisión, que controlaba la zona donde el trabajador desempeñaba su
actividad laboral, era una medida justificada (ya que existían razonables sospechas de la
comisión por parte del recurrente de graves irregularidades en su puesto de trabajo); idónea
para la finalidad pretendida por la empresa (verificar si el trabajador cometía efectivamente las
irregularidades sospechadas y en tal caso adoptar las medidas disciplinarias
correspondientes); necesaria (ya que la grabación serviría de prueba de tales
irregularidades); y equilibrada (pues la grabación de imágenes se limitó a la zona de la caja y
a una duración temporal limitada, la suficiente para comprobar que no se trataba de un hecho
aislado o de una confusión, sino de una conducta ilícita reiterada), por lo que debe
descartarse que se haya producido lesión alguna del derecho a la intimidad personal
consagrado en el art. 18.1 CE.
Política de Uso y Control de las TIC en el Ámbito Laboral.
CORREO ELECTRÓNICO ¿HERRAMIENTA DE TRABAJO O
INSTRUMENTO DE PRODUCCIÓN
La doctrina jurisprudencial considera que es un instrumento o medio de producción
del que es titular el empresario, concretamente en Sentencia de 26 de septiembre
de 2007 del Tribunal Supremo, que, en relación al correo electrónico apunta se
“facilita al trabajador para utilizarlos en el cumplimiento de la prestación
laboral, por lo que esa utilización queda dentro del ámbito del poder de
vigilancia del empresario”.
Política de Uso y Control de las TIC en el Ámbito Laboral.
CÁMARAS PARA EL CONTROL EMPRESARIAL (I)
El estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más
oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales,
que deberán guardar la consideración debida a la dignidad humana y tener en cuenta la
capacidad real de los trabajadores con discapacidad.
La aplicación del artículo 20.3 ET,, no legitima por sí solo el tratamiento de las imágenes, si bien
este será posible, aún sin contar con el consentimiento del afectado en caso de que el
trabajador haya sido debidamente informado de la existencia de esta medida, debiendo
además ser claro que, conforme a lo exigido por el artículo 4.2 LOPD, los datos no podrán ser
utilizados para fines distintos.
Deber de información:
Colocación de carteles “Zona Videovigilada”
Comunicación de la medida a trabajadores
y órganos de representación
Política de Uso y Control de las TIC en el Ámbito Laboral.
CÁMARAS PARA EL CONTROL EMPRESARIAL (II)
Las cámaras sólo captarán imágenes de los espacios indispensables para el control laboral:
En ningún caso se ubicarán en zonas de vestuarios, baños y espacios de descanso de los
trabajadores.
Si se utilizan cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de
privacidad para evitar captar imágenes de la vía pública, terrenos, viviendas o cualquier otro
espacio ajeno.
No se registrarán conversaciones privadas.
Política de Uso y Control de las TIC en el Ámbito Laboral.
CÁMARAS PARA EL CONTROL EMPRESARIAL (III)
Sentencia del TC de 3 de marzo de 2016.
El Tribunal Constitucional (TC) ha establecido que las empresas podrán vigilar con cámaras a sus
empleados sin informarles del fin concreto, en una sentencia que cambia su doctrina y aclara el
uso de videocámaras en la empresa.
Deber de consentimiento.
Deber de información.
El Pleno afirma que, de acuerdo con la LOPD, “el empresario no necesita el consentimiento
expreso del trabajador para el tratamiento de las imágenes”; y argumenta que el Estatuto de
los Trabajadores atribuye al empresario la facultad de dirección, lo que le permite “adoptar las
medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento
por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y
aplicación la consideración debida a su dignidad humana”. Por tanto, concluye, “el
consentimiento se entiende implícito en la propia aceptación del contrato”.
El deber de información persiste pese a la exención del deber de consentimiento.
En este caso, la cámara estaba situada en el lugar donde la demandante realizaba su trabajo,
“enfocando directamente a la caja”. Asimismo, en cumplimiento de la Instrucción 1/2006, de 8
de noviembre, de la Agencia Española de Protección de Datos, la empresa colocó un distintivo
informativo sobre la existencia de cámaras (“zona videovigilada”) en el escaparate de la tienda.
Política de Uso y Control de las TIC en el Ámbito Laboral.
CÁMARAS PARA EL CONTROL EMPRESARIAL (IV)
Sentencia del TC de 3 de marzo de 2016.
En cuanto a la sentencia recurrida, el Tribunal entiende que valoró “adecuadamente” la
proporcionalidad de la medida de vigilancia adoptada por el empresario. Se trataba de una
medida “justificada (ya que existían razonables sospechas de que algunos de los trabajadores
que prestaban servicios en dicha caja se estaba apropiando de dinero); idónea para la finalidad
pretendida por la empresa (verificar si alguno de los trabajadores cometía efectivamente las
irregularidades sospechadas y en tal caso adoptar las medidas disciplinarias correspondientes);
necesaria (ya que la grabación serviría de prueba de tales irregularidades); y equilibrada (pues
la grabación de imágenes se limitó a la zona de la caja). Por todo ello, “debe descartarse que se
haya producido lesión alguna del derecho a la intimidad personal consagrado en el art. 18.1 CE”..
Política de Uso y Control de las TIC en el Ámbito Laboral.
CÁMARAS PARA EL CONTROL EMPRESARIAL (V)
Sentencia del TC de 3 de marzo de 2016.
En su voto particular, los Magistrados Valdés y Asua afirman que la sentencia supone un
“retroceso en la protección de los derechos fundamentales” de los trabajadores. Entienden
que debió declarar la nulidad del despido porque la instalación de las cámaras se realizó sin
informar al empleado de su finalidad concreta y, por tanto, vulneró su derecho fundamental a
la propia imagen (art. 18.4 CE). ”.
Consideran que la sentencia “confunde la legitimidad del fin” perseguido en este caso concreto
por la empresa (verificar el cumplimiento de las obligaciones laborales del empleado) “con la
constitucionalidad del acto” en sí (que exige ofrecer previamente la información necesaria sobre
la finalidad de la instalación de las cámaras).
Por su parte, Xiol considera que la información genérica sobre la instalación de cámaras de
videovigilancia dirigida al público es “insuficiente” en el ámbito laboral.