Protección de datos
Teletrabajo es una opción que cada día se escucha más en el mercado laboral donde, las empresas deciden ofrecer esta opción para poder contar en su plantilla con personas que no se pueden desplazar a su lugar de trabajo o bien, para facilitar la conciliación laboral y personal de sus trabajadores.
Gracias a las nuevas tecnologías, la presencia del trabajador en las instalaciones de la empresa ya no es necesaria para desempeñar ciertas tareas, de manera que, si el trabajador y el empresario así lo pactan, se llegará a un acuerdo sobre las condiciones en las que se desarrollará el trabajo en remoto.
Recordemos que en el caso de acogerse a esta modalidad, siempre debe figurar por escrito, ya sea, registrándolo en el convenio colectivo de aplicación o en el propio contrato, y puede hacerse en el momento de la contratación o como un anexo posterior.
Aunque el teletrabajo lleva ya unos años en el mercado laboral, no ha sido hasta este momento en el que el país está viviendo un Estado de Alarma, cuando ha aumentado el número de empresas que han decidido implantar el teletrabajo en sus empresas para así no tener que suspender su actividad y ofrecerles seguridad a sus trabajadores ya que no tienen que desplazarse a su lugar de trabajo.
Pero, hay que tener en cuenta que, antes de implementar el teletrabajo en la empresa, se debe de tener en consideración algunos aspectos tanto con la seguridad como con la protección de datos.
Recordemos que una de las principales medidas que exige la normativa en protección de datos es el principio de responsabilidad proactiva. Este principio se define como la necesidad de que el responsable del tratamiento de los datos aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos personales es conforme con el Reglamento. Es decir, no basta con cumplir con la normativa de protección de datos, sino que también hay que poder demostrar que se está cumpliendo con la normativa.
Demos recordar también que, ante una brecha de seguridad, tenemos un plazo máximo de 72 para comunicárselo a la Agencia Española de Protección de Datos, para no sufrir en ningún momento esta brecha de seguridad en la empresa, es necesario tomar las medidas oportunas a lo que a seguridad se refiere.
Por lo tanto, vamos a hacer un resumen de las medidas que recomendamos se deberían tener en cuenta para asegurar la seguridad y protección los equipos informáticos fuera del centro de trabajo y por lo tanto, de los datos que puedan albergar:
- No usar conexión WiFi pública.
- Evitar la instalación de aplicaciones o la navegación por páginas no seguras.
- Tener revisado y actualizado los equipos informáticos con los que se va a trabajar fuera de la empresa.
- Utilizar técnicas criptográficas para la transmisión de la información, uso de contraseñas, firewall y antivirus.
- Crear una red privada o VPN para conectar entre sí a los teletrabajadores con la oficina y entre ellos, donde el acceso a la red esté protegida por un cifrado que da una capa extra de protección, de manera que se evita el acceso de terceros no autorizados a la información que se comparte a través de esta red.
- Cerrar todas las conexiones con servidores y webs recurriendo a “cerrar sesión” o “desconectar”.
- Bloquear la pantalla del ordenador cuando no estemos trabajando.
- Si se va a utilizar un equipo personal para el teletrabajo, sería recomendable crear un perfil profesional para mantener separadas cuentas y navegación.
Protección de datos
Desde que llegaran las redes sociales a nuestras vidas, son muchas las fotos que subimos al día, a la semana o al mes tanto de nosotros como de personas que están a nuestro alrededor y por ello, deberíamos tener en cuenta que no deberíamos publicar fotos donde salgan otras personas sin su consentimiento.
Durante los últimos años han crecido las cuentas personales o de empresas donde se publican fotos que han sido publicadas anteriormente por sus propietarios en sus redes sociales y deberíamos tener en cuenta que, el Tribunal Supremo recogió en una sentencia que “publicar una foto extraída de una cuenta de Facebook en cualquier medio de comunicación sin el consentimiento de la persona supone, una intromisión ilegítima en el derecho a la propia imagen, aunque el perfil sea público y accesible por parte de cualquier usuario”.
Publicar una foto sin el consentimiento de la persona contraviene el derecho a la propia imagen, recogido en los artículos 7.5 y 8.2 de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
Artículo 7.5: La captación, reproducción o publicación por fotografía, filme o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos, salvo los casos previstos en el artículo 8.2.
Artículo 8.2: En particular, el derecho a la propia imagen no impedirá:
a) Su captación, reproducción o publicación por cualquier medio, cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
b) La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
c) La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.
Las excepciones contempladas en los párrafos a) y b) no serán de aplicación respecto de las autoridades o personas que desempeñen funciones que por su naturaleza necesiten el anonimato de la persona que las ejerza.
En la sentencia se recoge que “la finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esta cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del mismo en un medio de comunicación”.
En el nuevo Reglamento de Protección de Datos se considera la imagen y la voz como un dato de carácter personal y sujeto, por tanto, a protección por lo que, para poder tratar cualquier dato personal se exige un consentimiento expreso por parte de su titular. En resumen, para tratar (publicar) las fotografías o vídeos de una persona, necesitamos su consentimiento.
¿Qué ocurre si la foto que publicamos es de nuestros hijos y son menores de 14 años?
Según la normativa en materia de protección de datos, a partir de los 14 años, el menor puede decidir si desea o no publicar fotos suyas y además, si considera que las fotos publicadas anteriormente por sus progenitores o personas de su entorno, podrían dañar su honor o dignidad, podría denunciar a la persona que hubiera publicado la/s foto/s.
A continuación, enumeramos algunos puntos a tener en cuenta en el momento de publicar fotos de menores:
1. Antes de publicar una foto, deberíamos tener en cuenta que para publicarla, si el menor tiene menos de 14 años, es necesario la autorización de los padres y en el caso de que el menor tenga entre 14 y 18 años, se necesitaría su consentimiento de forma expresa.
2. Para mayor seguridad, no publicar las fotos con geolocalización ni con información que pueda identificar al menor como podría ser el colegio, parque, vivienda…
3. Nunca publicar fotos de la persona sin ropa y es que últimamente vemos muchas fotos de padres cambiando al hijo en la hora del baño, en lugares como la playa o la piscina…
4. Si hemos ido a un cumpleaños, una fiesta familiar, un evento… donde hemos realizado fotos de nuestros hijos con otros menores, no podemos publicar las fotos sin el consentimiento de los padres de los otros niños que aparecen en la foto y en su defecto, deberíamos pixelar o tapar el rostro.
5. Sé selectivo con las fotos que publicas y con quién lo compartes. Es fundamental compartir las imágenes con personas de nuestra confianza y además, lo mejor es que estas personas no las compartan ya que, por ejemplo, en el caso de Facebook, cuando aceptamos la política de datos de la red social, se nos informa que si solicitamos la eliminación de las fotos, la red social procederá a ello pero no podrá asegurar que las fotos dejen de estar publicadas si éstas han sido compartidas por terceros.
Para terminar, nos gustaría recordar que es necesario hacer un uso responsable de las fotos que publicamos tanto de nosotros como de las personas que nos rodean ya que por ejemplo, en el caso de nuestros hijos, no deberíamos publicar todas sus fotos como si fuera un álbum ya que podría avergonzarse en el futuro y reclamar una indemnización si considera que se ha vulnerado su honor o dignidad.
Protección de datos
A diferencia de las medidas de seguridad que se contemplaban en la antigua LOPD, que ya ha sido derogada, que estaban determinadas al detalle de un modo muy exhaustivo en función del tipo de datos objeto de tratamiento, en el Reglamento general de protección de datos nos encontramos con que serán los responsables y encargados de protección de datos los que establecerán una serie de medidas de seguridad adecuadas al grado de riesgo que se habrá de detectar en el análisis de riesgo obligatorio que se establece en el RGPD. En nuestra solución de ayuda al cumplimiento de la normativa, SEGURPLUS incluimos un módulo específico para controlar este análisis.
En concreto, según dispone el RGPD en su artículo 32, “las medidas de seguridad que se adoptarán se elegirán en función de:
- El coste de aplicación.
- El estado de la técnica.
- La naturaleza, alcance, contexto y finalidad del tratamiento.
- El riesgo calculado y la probabilidad de que ocurra.”
Si ya se vienen aplicando medidas de seguridad de la antigua LOPD, se podrán mantener siempre que sean las más adecuadas para el nivel de seguridad requerido, o cambiarlas si es necesario.
Se podrán complementar las mismas con nuevas medidas o dejar de aplicar algunas, en función del resultado del citado análisis.
Tan solo en casos en los que exista algún tratamiento que suponga un alto riesgo para los derechos y libertades de los afectados se aplicarán medidas como la Evaluación de Impacto.
Teniendo en cuenta que según el citado artículo del RGPD, las medidas se modularán dependiendo:
- del riesgo asociado a cada tratamiento.
- que todos los responsables tendrán como obligación la realización de una medición del riesgo que tienen las actividades de tratamiento que llevan a cabo,con el fin de elegir las medidas a aplicar.
- y el modo de hacerlo.
Algunas de las medidas técnicas y organizativas que se contemplan en el artículo 32, con las que los encargados y responsables de la protección de datos podrán hacer frente al riesgo en su entidad son las siguientes:
“a) la seudonimización y el cifrado de datos personales;
- b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
- d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”
Desde Fersoft, y teniendo en cuenta todas las especificaciones más arriba citadas, hemos añadido a nuestro software SEGURPLUS la opción de realizar un análisis de riesgos, indicándole tanto los riesgos y amenazas que podrían afectar a su entidad, como el porcentaje de que esto ocurra, el impacto que esto tendría y las recomendaciones personalizadas al respecto de las medidas de seguridad que podría aplicar.
Le recordamos que desde Fersoft les ofrecemos, a clientes con mantenimiento, un servicio de asesoramiento ilimitado en cuanto al uso del programa, de cara a su configuración y optimización, así como un servicio de asistencia técnica que incluye además del equipo de técnicos las recomendaciones personalizadas ofrecidas por nuestro departamento jurídico.
Protección de datos
La figura del análisis de Riesgos aparece como novedad con respecto a la anterior LOPD en el Reglamento General de Protección de Datos (RGPD). Dicha figura, que no se encuentra definida de un modo específico en ninguna parte, y para la cual sólo se dan una serie de nociones y acercamientos, supone un mecanismo esencial para prevenir y solventar posibles amenazas y riesgos que se pudieran generar en nuestro tratamiento de los datos, y se considera de obligada realización para todas las empresas afectadas por la citada RGPD.
Como podemos ver en la guía oficial para la elaboración del análisis de riesgos, aunque existen una serie de prescripciones y premisas, no se especifica mucho más, dejando a la interpretación y criterio de los obligados la definición del proceso completo, del cual sólo indican sus partes (Identificación de las amenazas, evaluación de los riesgos y tratamiento de los mismos).
Desde FERSOFT hemos integrado en nuestro programa SEGURPLUS una nueva función que permite la realización de dicho análisis, así como la elaboración de informes de cálculo del riesgo que reflejarán la situación actual de nuestra empresa, enumerando los riesgos y amenazas que pueden afectar a nuestro negocio, tratando de ofrecer soluciones orgánicas a nuestros usuarios que se adapten al caso concreto de cada uno, a través de una serie de recomendaciones específicas.
Previo a la realización del Análisis de riesgos en SEGURPLUS, será necesario definir qué activos conforman la estructura de nuestra empresa, entendiendo por activos las partes del negocio que se ven afectadas de algún modo por el tratamiento de los datos. En concreto, en la lista de activos que se ha considerado para el Análisis de riesgos en SEGURPLUS, podemos encontrar elementos tales como el uso de servidores, la figura de un informático en plantilla, si se cuenta con página web o si se tienen usuarios externos, entre otros elementos que normalmente encontramos en cualquier negocio, de los cuales el usuario deberá seleccionar los que son representativos de su empresa, eliminando el resto, y generando así una imagen aproximada del paradigma de la misma.
Una vez definidos los activos que conforman nuestra empresa, el proceso continúa con un pequeño sondeo que estima el riesgo que generan cada uno de los activos, así como el que generan los usuarios y la manera en la que operan. Dicho proceso consta de una serie de cuestiones que se le presentan al usuario, ante las cuales ha de responder con la mayor sinceridad, intentando ceñirse al máximo a la realidad de su empresa. Al final, SEGURPLUS analiza las respuestas a dichas cuestiones, y genera dos informes. El primero de ellos es el Informe de cálculo de riesgo avanzado, en el que se definen de un modo pormenorizado el riesgo asociado a cada activo, la probabilidad de que ocurran las amenazas, y el grado de incidencia que tendría. Además del cálculo de riesgo avanzado, podemos encontrar el informe de riesgos de fácil comprensión para el responsable, en el que se indica el porcentaje de riesgo total, y se desglosa en el riesgo que afecta a los usuarios, los medios tecnológicos y los procedimientos, presentando una serie de recomendaciones a tener en cuenta a partir de la realización del análisis, las cuales el responsable intentará aplicar en su negocio.
Este procedimiento es tan sencillo, gracias a las ayudas que hemos elaborado, que bien puede ser hecho por el responsable de la empresa o podemos asistirle en su realización desde el departamento técnico.
Le recordamos que desde FERSOFT les ofrecemos, a clientes con mantenimiento, un servicio de asesoramiento ilimitado en cuanto al uso del programa, de cara a su configuración y optimización, así como un servicio de asistencia técnica que incluye además del equipo de técnicos las recomendaciones personalizadas ofrecidas por nuestro departamento jurídico.
Protección de datos
El Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) de la Unión Europea (artículo 37) y Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales, (artículo 34) recogen las entidades que están OBLIGADAS a contar con un Delegado de Protección de Datos (DPD), considerándose INFRACCION GRAVE “… el incumplimiento de la obligación de designar un Delegado de Protección de Datos en todas las cuestiones relativas a la protección de los datos personales …” (ARTICULO 73v).
Dicha infracción puede estar sancionada según el artículo 83. 4 del RGPD con multa de hasta 10 millones de Euros o de una cuantía equivalente al 2% como máximo del volumen total de negocio anual del ejercicio financiero anterior, optándose por la de mayor cuantía.
Artículo 34 Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales establece esta relación de entidades sujetas a la obligatoriedad de contar con DPD:
1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.
5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.
El artículo 73 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, en función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 considera grave y prescribirá a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, en algunos casos.
El apartado V considera infracción grave “el incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.
Según el artículo 83.4 del RGPD (UE) 2016/679 este incumplimiento podría establecer “multas administrativas de 10.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.
Artículo 37 del RGPD (UE) 2016/679, establece que:
1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
2. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.
3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.
6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.