ELECCIÓN DE PROVEEDORES Y PROTECCIÓN DE DATOS

ELECCIÓN DE PROVEEDORES Y PROTECCIÓN DE DATOS

El contrato de confidencialidad y acceso a datos por cuenta de terceros (contrato de encargado de tratamiento) deben formalizarlo aquellas empresas o profesionales, con sus proveedores de servicios, cuando esta prestación de servicios requiera un acceso directo o indirecto a datos de carácter personal. Reglamento (UE) 2016/679, de 27 de abril, de protección de datos de carácter personal (en adelante RGPD), define este acuerdo como un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable”.

La normativa anterior, regulaba este acuerdo, en este caso, la LOPD 15/99 en su art. 12 exigía la formalización, destacando que no resultaba tan exigente con los prestadores de servicios como resulta la normativa vigente. 

En cuanto a la obligación de este contrato, se encuentra consagrada en el art. 28 del RGPD y el art. 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (en adelante LOPDGDD). 

Por otro lado, en cuanto a los intervinientes en el acuerdo, el art. 4 del RGPD, define al Responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”; mientras que el encargado del tratamiento resulta definido como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

En relación a las particularidades y contenido mínimo del acuerdo, a continuación, detallamos: 

  • Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. 
  • No resultan válidos los acuerdos verbales, debiendo constar por escrito. 
  • En cuanto al contenido, debe regular el objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga; tipo de datos personales tratados; categorías de interesados de los que el encargado tratará datos directa o indirectamente; obligaciones y derechos del responsable; particularidades de la subcontratación de servicios; las obligaciones del encargado. 

 

Por otro lado, el art. 28.1 del RGPD, establece la obligatoriedad del Responsable de “elegir únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado

La LOPDGDD ha introducido una disposición transitoria quinta para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.

Además, en relación a las consecuencias de no formalización del acuerdo de encargado de tratamiento, el art. 73 de la LOPDGDD califica el hecho como infracción grave, estableciendo que:

“j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…”

k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD

“l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.” 

De igual modo, tal y como deviene de lo establecido en el art. 74 de la LOPDGDD, el hecho conllevará la calificación de infracción muy grave en los siguientes supuestos:

“j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…”

“k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento”

Como consecuencia de lo anterior, podemos determinar que el contrato de encargado del tratamiento, no solo da cumplimiento a la normativa vigente, sino que define las responsabilidades entre las partes y exige a los prestadores de servicios mayor diligencia y garantías. 

Desde GRUPO DATA, como consultoría especializada en materia de protección de datos, nos encontramos a su disposición para regular estas cuestiones y aclararle las dudas que le surjan.

 

 

Publicado el 6 de Marzo de 2021
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

BREXIT EN REINO UNIDO Y EL FUTURO DE LA PROTECCIÓN DE DATOS

BREXIT EN REINO UNIDO Y EL FUTURO DE LA PROTECCIÓN DE DATOS

En materia de protección de datos, resulta necesario valorar las consecuencias jurídicas derivadas del Brexit en Reino Unido. 

Con motivo de la ruptura y salida de Reino Unido de la Unión Europea, resultaría aplicable el artículo 50 del Tratado de Lisboa. En este caso, Reino Unido no será considerado país europeo, operando desde este momento las consecuencias a la hora de determinar el tratamiento de datos de empresas españolas en Reino Unido y su posible consideración de transferencia internacional de datos. Esta cuestión debe primar en el proceso de adaptación de las entidades españolas, en materia de protección de datos, para no incurrir en incumplimientos derivados del proceso de ruptura de Reino Unido con la Unión Europea. 

En este sentido, debemos mencionar que Reino Unido en la actualidad cuenta con normativa nacional adaptada a la Directiva 95/46/CE de la Unión Europea. Por otro lado, el Reglamento Europeo de Protección de datos, resultó de aplicación el pasado 25 de mayo de 2018, siendo efectiva la salida de Reino Unido el 31 de enero de 2020.

Al respecto de este escenario, debemos aplicar lo dispuesto en el art. 3.2 del RGPD, el cual establece que: 

“El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”.

Tal y como deviene del precepto reseñado con anterioridad, Reino Unido deberá adaptarse a lo establecido en el RGPD en el tratamiento de datos de ciudadanos de la Unión Europea en el supuesto que desarrollen actividades de comercialización con países miembros o se dediquen al estudio de ciudadanos de la Unión Europea mediante elaboración de perfiles o análisis de preferencias. 

Por otro lado, deberá valorarse la necesidad de designación de representantes, por parte de responsables o encargados de la Unión Europea. 

En cuanto al concepto de las transferencias internacionales de datos, el Reino Unido no tendría que estar a la altura de los estándares fijados por la Unión Europea en materia de protección de datos, pero podría considerarse por parte de la Unión Europea, que no cumple o garantizar un nivel adecuado de seguridad en el tratamiento de datos.  

Por tanto, resulta claro que el Brexit tendrá como consecuencia la necesidad  de un nuevo marco legal entre Reino Unido y la Unión Europea, no resultando aplicable la libre circulación de datos garantizada en la Unión Europea. 

En el caso de empresas españolas que cuenten con filiales o efectúen tratamientos de datos en Reino Unido, las soluciones adoptadas por éste último, podría ser las siguientes: optar por seguir siendo miembro del Espacio Económico Europeo, para garantizar el nivel protección en seguridad; solicitar a la Unión Europea el reconocimiento de un nivel de protección adecuado para efectuar las transferencias internacionales datos, suscripción de acuerdos bilaterales entre los países miembros de la Unión Europea y Reino Unido; desarrollo de normas corporativas vinculantes para la legitimación de las transferencias internacionales de datos.  

Por todo lo anterior, el escenario en materia de protección de datos como consecuencia del Brexit resultará poco determinante, quedando a la espera de normas y jurisprudencia que otorgue claridad ante esta situación.

 

 

Publicado el 9 de Febrero de 2021
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

LÍMITES DE LA NORMATIVA DE PROTECCIÓN DE DATOS AL CONTROL LABORAL MEDIANTE SISTEMAS DE VIDEOVIGILANCIA

LÍMITES DE LA NORMATIVA DE PROTECCIÓN DE DATOS AL CONTROL LABORAL MEDIANTE SISTEMAS DE VIDEOVIGILANCIA

En relación a los sistemas de videovigilancia e imágenes captadas a través de los mismos, la normativa vigente en materia de protección de datos, establece una serie de requisitos para otorgar validez a las pruebas obtenidas mediante estos medios. 

En la práctica, resulta habitual implantar sistemas de videovigilancia, para el control y seguridad de instalaciones, así como para el control laboral, sin valorar las implicaciones normativas y la incidencia de estas medidas en derechos fundamentales como es la intimidad del trabajador.

En aras de lo anterior, recientemente, el Tribunal Superior de Justicia de Andalucía ha confirmado una sentencia previa, que declara nulo el despido de vigilante de seguridad, por conductas como «descalzarse, dedicarse a ver películas en un dispositivo móvil y dormirse durante el horario de servicio«. El motivo es que, para acreditar tales hechos, la empresa esgrimía unas imágenes de una cámara de grabación que se encontraba «oculta« en el lugar de trabajo del empleado. Como consecuencia, tales imágenes fueron obtenidas de forma «ilícita» y vulneraban el derecho a la intimidad del afectado

En su sentencia, emitida el pasado 1 de junio, el TSJA razona que «el momento en el cual se pone de manifiesto y se puede tomar conocimiento por parte del trabajador de la existencia de una prueba como ilícita, se produce cuando la empresa pone a la luz la existencia de la grabación, que era totalmente ignorada por la parte demandante, de forma que no se puede trasladar al trabajador la obligación de conocer un medio de prueba que era arcano por parte de la empresa demandada«.

«Lo que ha sucedido es el incumplimiento en la obtención de este medio de prueba de todas las garantías exigidas por la jurisprudencia (*), lo que ha provocado la declaración de ilicitud de la grabación con fines de videovigilancia y lo que causa la vulneración del derecho fundamental a la intimidad, de forma que no se ha producido ninguna variación sustancial de la demanda«, establece el TSJA, que desestima el recurso de suplicación de la empresa y confirma la sentencia inicial que anula el despido.

La sentencia relata que la instalación del sistema de videovigilancia por parte de la compañía se había realizado en una fecha indeterminada, ocultando la ubicación de la misma y sin informar de la existencia de este sistema al trabajador, por tanto, incumpliendo las exigencias que establece el art. 89 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales. Este precepto relativo al derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, establece como limites a los sistemas implantados:

  • Los empleadores habrán de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.
  • La no admisión de instalación de sistemas de grabación de sonidos y de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores, tales como, aseos, vestuarios, comedores y análogos. 
  • Estos sistemas deberán respetar el principio de proporcionalidad, el de intervención mínima y las garantías previstas en la normativa vigente. 

Con anterioridad, el Tribunal Europeo de Derechos Humanos, en su Sentencia de 9 de enero de 2018, llegó a sostener “La Corte observa que la videovigilancia encubierta de un empleado en su lugar de trabajo debe considerarse, como tal, una intrusión considerable en su vida privada. Implica una documentación grabada y reproducible de la conducta de una persona en su lugar de trabajo, que él o ella, que está obligado por el contrato de trabajo para realizar el trabajo en ese lugar, no puede evadir.”

Desde esta interpretación adoptada por el Tribunal Europeo de Derechos Humanos al estado español, los tribunales del Orden Social han tomado nota en este sentido y consideran la prueba ilícita cuando no se cumplen los parámetros que garantizan los derechos de los trabajadores.

 

 

Publicado el 18 de Enero de 2021
Por María González
Responsable del Departamento Jurídico

LOS SISTEMAS DE TELETRABAJO Y SU INCIDENCIA EN PROTECCIÓN DE DATOS

LOS SISTEMAS DE TELETRABAJO Y SU INCIDENCIA EN PROTECCIÓN DE DATOS

El teletrabajo se ha instalado en nuestro país como respuesta a las restricciones y medidas de contención de la pandemia aún vigentes, en un contexto legal caracterizado por la casi total ausencia de regulación específica.

Con motivo de la implantación de sistemas de teletrabajo, a lo largo del presente artículo, os trasladamos cuestiones a tener en cuenta para el cumplimiento de las exigencias en materia de protección de datos.

Entre las facultades de dirección de la empresa, se encuentran las relativas a fijar las instrucciones y recomendaciones de seguridad a los empleados. En este sentido, a continuación, os trasladamos una serie de pautas y medidas de seguridad desarrolladas por la autoridad de control.

Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo:

La entidad, como responsable del tratamiento, dispone de la potestad para determinar que ciertas actividades sean desarrolladas en situaciones de movilidad y teletrabajo.

Esta decisión puede ser parte de la estrategia de gestión de la entidad o puede estar motivada por situaciones de excepcionalidad, por tanto, debemos desarrollar soluciones previas para anticiparnos a estas circunstancias.

A continuación, se enumeran un conjunto de recomendaciones para el responsable del tratamiento que éste tendrá que adecuar a la situación concreta de su objeto de negocio:

1. Definir una política de protección de la información para situaciones de movilidad

 

• Basada en la política de protección de datos y seguridad de la información de la entidad, y formando parte de ella, es necesario definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización.

• El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.

2. Elegir soluciones y prestadores de servicio confiables y con garantías

 

• Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal, interesados y servicios corporativos de la organización, en particular, a través de los servicios de correo y mensajería.

• Hay que recurrir a proveedores y encargados que ofrezcan soluciones probadas y garantías suficientes que, en el mismo sentido, eviten la exposición de los datos personales del personal, interesados y servicios corporativos de la organización

• Si estos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable.

3. Restringir el acceso a la información

 

• Los perfiles o niveles de acceso a los recursos y a la información tienen que configurarse en función de los roles de cada persona empleada, de una forma incluso más restrictiva respecto de los concedidos en los accesos desde la red interna.

4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad

 

• Los servidores de acceso remoto han de ser revisados y hay que asegurar que están correctamente actualizados y configurados para garantizar el cumplimiento de la política de protección de la información para situaciones de movilidad establecida por la organización, así como el control de los perfiles de acceso definidos.

5. Monitorizar los accesos realizados a la red corporativa desde el exterior

 

• Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.

• Las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.

• Se debe informar al personal, en la política de protección de la información para situaciones de movilidad, sobre la existencia y el alcance de estas actividades de control y supervisión.

• Si las actividades de monitorización se usaran además para verificar el cumplimiento de las obligaciones laborales del personal, el responsable del tratamiento deberá informar con carácter previo, y de forma clara, expresa y concisa a las personas empleadas y, en su caso a sus representantes, de la medida adoptada en el marco de las funciones de control previstas en el Estatuto de los Trabajadores que han de ejercerse dentro de su marco legal y con los límites inherentes al mismo.

• Los mecanismos de monitorización implementados en el contexto de acceso remoto a recursos corporativos en situaciones de movilidad y teletrabajo deben respetar los derechos digitales establecidos en la LOPDGDD, en particular, el derecho a la intimidad y uso de dispositivos digitales y el derecho a la desconexión digital en el ámbito laboral.

6. Gestionar racionalmente la protección de datos y la seguridad

 

• Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.

• En la política deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos clientes de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.

En la actualidad, la figura del teletrabajo como forma de trabajo a distancia está cogiendo auge frente a la organización empresarial tradicional, lo que sin duda trae consigo prácticas novedosas y más flexibles, estimulando cambios organizativos en las empresas y fortaleciendo la formación y empleabilidad de las personas trabajadoras. Sin embargo, también presenta posibles inconvenientes: protección de datos, brechas de seguridad, tecnoestrés, horario continuo, conectividad digital permanente, mayor aislamiento laboral, entre otros, resultando necesario un adecuado asesoramiento en materia de protección de datos.
Para obtener más información, no dude en contactar con nosotros.

 

 

Publicado el 4 de Diciembre de 2020
Por María González
Responsable del Departamento Jurídico