Lo primero a tener en cuenta es el consentimiento expreso de todos los alumnos para poder tratar sus datos.

Los centros educativos deben contar con un formulario solicitando el consentimiento para el tratamiento porque hay datos sensibles y se debe informar claramente de:

• La existencia de un fichero o tratamiento de datos personales.
• La finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa o para difundir y dar a conocer las actividades del centro.
• La obligatoriedad o no de facilitar los datos y las consecuencias de la negativa a facilitarlos.
• Los destinatarios de los datos.
• Los derechos de los interesados y dónde ejercitarlos.
• La identidad del responsable del tratamiento: la Administración educativa o el centro.

A las familias hay otras cuestiones que les preocupa como es la publicación de imágenes de los alumnos durante sus actividades; esta cuestión es muy delicada y hay que tener en cuenta lo siguiente:

• Si se realiza con fines educativos no sería necesario recabar el consentimiento.
• Si el motivo es para la difusión del centro con publicación en la web sería necesario:

1. Contar con el consentimiento del afectado.
2. Si el afectado es menor de 14 años habrá que solicitar el consentimiento a los padres o tutores. La imagen de una persona ha de ser considerada como dato de carácter personal y su tratamiento sometido a la ley de Protección de Datos, por lo que, con carácter general, no será posible su utilización o cesión si el interesado no ha dado su consentimiento para ello.
3. Hay que informar con anterioridad de la finalidad de la grabación
4. Hay que informar del nivel de accesibilidad de las imágenes

Esperamos que, con este artículo, hayamos contribuido a responder a las dudas iniciales del curso.

La entrada LA PROTECCIÓN DE DATOS AL INICIO DEL CURSO ESCOLAR se publicó primero en DataProtectPlus.

¿Las empresas privadas tienen potestad para recoger esos datos?. Se extrae de esta pregunta que las empresas privadas no están legitimadas para actuar por el “interés público”, tienen que ser las autoridades sanitarias quienes manejan los datos y cuanto menos se den, mejor. Además, tiene que existir una habilitación normativa que permita a los locales hacer esa recogida.

Pedir mínimo de datos al entrar a un local sí podría ser proporcional, pero con normativa acorde

Muchas personas se están preguntando si no se hace un tratamiento de sus datos personales al entrar en una discoteca de esta manera. La respuesta es afirmativa, al igual que se pueden tratar datos como el número de teléfono o el nombre para apuntarse en una lista de asistencia a uno de estos locales. Sin embargo, casi todo depende de quién controla los datos que damos y para qué objetivo se usan.

En este caso, se hace en el contexto de una pandemia donde se pueden aplicar ciertas concesiones en materia de protección de datos si y sólo si quien maneja esos datos es una autoridad sanitaria. Es decir, que podría estar justificado que recojan ciertos datos, como un número de teléfono o incluso tu identificación, pero no para que los trate cualquier empresa privada (en este caso los locales de ocio y las terrazas).

Además harían falta normas previas que regulen esa recogida de datos y, actualmente, la normativa de protección de datos, no lo tiene..

La finalidad del uso de los datos tiene que estar definida

En el caso de apuntarte a las listas de un local, es la propia discoteca la que tramita tu asistencia usando los datos que tú has proporcionado. Con ello, te están diciendo cuál es la finalidad que van a cumplir: dejarte entrar a un precio u otro, por ejemplo.

En este caso, la finalidad es otra: ayudar a combatir una pandemia que afecta a nuestra salud y, ese papel, no puede desempeñarlo la empresa, sino una autoridad sanitaria competente, como el Ministerio de Sanidad, escudándose en preservar el “interés público”, una de las bases legitimadoras incluidas en el Reglamento General de Protección de Datos.

¿Ayudaría realmente a gestionar la crisis sanitaria causada por COVID-19 esta medida? Para que tu negocio sea seguro, la obligación del empresario, es tomar las medidas de seguridad adecuadas como limitar el aforo, garantizar las medidas de higiene, el uso de mascarilla…., el tema de recogida de datos sería competencia de Sanidad.

Si te obligan a dar los datos para entrar, no es un consentimiento libre

El Boletín Oficial de la Comunidad de Madrid ha publicado este 29 de julio que los establecimientos tendrán que llevar un registro de fecha, hora y nombre y apellidos y número de teléfono de las personas que pasan por él (un mínimo de datos) y que solo podrán almacenarlos durante 28 días. La empresa no puede hacer nada con ellos más que derivarlos a Sanidad si son requeridos y deben avisarte que para eso los piden.

Ahora bien, en la resolución también dice que esos datos se recogerán gracias al “consentimiento del interesado”, pero condicionan la entrada al local a ello.

Que una empresa que gestiona un local de ocio nocturno diga que se basa en el “consentimiento” de la persona para recabar esos datos (es decir, que trata mis datos porque yo se los estoy dando voluntariamente) no sirve si no te van a dejar entrar si decides que no quieres darlos.

Si el consentimiento que damos a que se traten nuestros datos no es “libre”, entonces no es válido. “En este caso lo que están haciendo es someter el acceso al local a la condición de que se preste el consentimiento. Eso invalida automáticamente el consentimiento: “si yo no consiento, no entro”.

Al ser un espacio privado, los titulares se pueden reservar el derecho de admisión y pueden supeditar esa admisión al cumplimiento de los requisitos que quieran. Si quisieran funcionar solo con una app en la que todo el mundo tuviera que estar registrado para poder acceder, podrían pero habría que justificar por qué esa app, por qué esa recopilación de datos, cuál es la finalidad pretendida, a quién se dan los datos.

La normativa de protección de datos obliga a informar, en el momento de la recogida de los datos, los destinatarios de la información, por lo que sí, es obligatorio que se especifique que se pasarán esos datos a Sanidad así como la finalidad de ese tratamiento.

Fuente: Maldita.es

La entrada ¿Estoy obligado a dar mis datos en lugares de ocio por COVID-19? se publicó primero en DataProtectPlus.

Así que no olvides que si quieres utilizar una foto en la que aparece otra persona, deberá darte permiso primero. No podemos publicar ninguna fotografía sin el consentimiento del titular.

El derecho a la propia imagen, como derecho fundamental, afecta a cualquier persona física.

El artículo 18 de la Constitución Española garantiza el derecho a la propia imagen como un derecho fundamental, desarrollándose su contenido en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Esta ley establece que este derecho será protegido civilmente frente a todo género de intromisiones ilegítimas, entre las que se encuentran “la captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos, salvo los casos previstos en el artículo octavo, dos” (artículo 7. 5).

Este derecho posee una faceta positiva, consistente en la facultad de difundir cada uno su propia imagen, y una negativa que permite requerir la autorización para la reproducción de su imagen o incluso impedirla.

Dicho con otras palabras, para cada uno de nosotros, nuestra propia imagen es un derecho personal y fundamental, que se vulnera si se nos fotografía  o graba sin nuestro consentimiento y se publica o divulga esa imagen.

Ahora bien, este derecho no es absoluto, existen excepciones en las que sí nos pueden tomar y difundir, fotografías:

• Con carácter general:
  • Las que se realizan en actuaciones autorizadas o acordadas por la Autoridad competente de acuerdo con la ley.
  • Aquellas en las que se existe un interés histórico, científico o cultural relevante.
• En particular:
  • Imágenes de cargos públicos o profesionales notables en actos o lugares abiertos al público.
  • Las caricaturas de estas personas conforme al uso social.
  • Cuando forme parte de la información sobre una noticia y la imagen de la persona sea accesoria.

En el nuevo Reglamento de Protección de Datos se considera la imagen y la voz como un dato de carácter personal y sujeto, por tanto, a protección. Para poder tratar cualquier dato personal se exige un consentimiento expreso por parte de su titular, por lo que, para tratar (publicar) las fotografías o vídeos de una persona, necesitamos su consentimiento.

Actualmente, está muy de moda realizar vídeos y fotografías a los clientes de nuestras empresas, con la finalidad de mostrar lo satisfechos que están con nosotros, entre otros aspectos.

Pero debes saber que hay que solicitarle el consentimiento expreso al titular de la fotografía y, en caso de denuncia, tienes que poder demostrar que otorgó ese consentimiento.

Os dejamos con un modelo de autorización para que utilices con tus clientes MODELO

La entrada ¿Puedo hacer fotos de los clientes de mi empresa? se publicó primero en DataProtectPlus.

La multa es relevante porque la falta de opciones para configurar la política de cookies es uno de los defectos de los que aún adolecen muchas webs en materia de privacidad. Una conducta que infringe el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI) de “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”. Una infracción que la misma norma califica como leve.

Según la resolución de la AEPD, en la página web inspeccionada se apreciaban dos capas de información sobre las cookies. En la primera, el aviso de las mismas informaba de que estas se utilizaban “para recordar tus preferencias, elaborar estadísticas de uso y ofrecerte publicidad basada en tus hábitos de navegación. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información al respecto consultando nuestra Política de Cookies“, con un enlace a la misma e incorporando la opción “Aceptar y continuar navegando”.

En la segunda capa (dentro de la política de cookies) se informa sobre qué son las cookies y cuáles se usaban. También se comunicaba que la empresa podía utilizar “por sí misma o a través de terceras webs: beacons, Pixel tags y Local storage, para realizar evaluaciones y cálculos estadísticos sobre datos anónimos, así como para garantizar la continuidad del servicio o para realizar mejoras en sus sitios web”. Además indicaba que “dicha información no será utilizada para ninguna otra finalidad” así como que, “puede utilizar cookies de análisis de terceros”.

Consentimiento implícito

Es decir, como explica la resolución, “si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies”. Por el contrario de remite a la configuración de los navegadores para eliminarlas o bloquearlas, “no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador”. Una aceptación tácita que el organismo considera que contraviene la LSSI y la nueva normativa de privacidad.

Por todo ello, la AEPD determina que la aerolínea “no facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular”. Para facilitar esta selección, resalta el organismo, el panel podría habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.

Fuente: El País

La entrada ¿Permite tú página web rechazar las cookies? Hasta 30.000€ de multa impuesta por la AEPD se publicó primero en DataProtectPlus.

En el caso enjuiciado se analiza el despido disciplinario de un empleado que es captado por las cámaras de seguridad peleándose con otro en el parking de la empresa. El trabajador impugnó la prueba basada en las imágenes, argumentando que la compañía no había informado sobre la finalidad del sistema de grabación, alegación que el juez acepta, declarando nulos los vídeos. Sin embargo, al existir testigos que acreditaban la disputa, declaró válido el cese.

¿Qué requisitos debe cumplir un sistema de videovigilancia para que pueda ser legalmente empleado para controlar a los trabajadores? Recogiendo la doctrina del Tribunal Europeo de Derechos Humanos (TEDH), la nueva ley orgánica determina que los empleadores “habrán de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores” de dos circunstancias. La primera, de la propia instalación de las cámaras de seguridad; y, la segunda,  que las imágenes que estas capten pueden ser utilizadas para el control laboral. El deber de información, por tanto, es doble y no se entiende satisfecho si la empresa se limita a colocar junto al circuito un cartel informativo genérico, sino que, además, debe advertir a la plantilla de la grabación puede dar lugar a acciones disciplinarias.

Ricardo Fortún, abogado de Ejaso ETL Global, señala que este es el punto en el que suelen flaquear las compañías. “Es frecuente que, cuando instalan las cámaras, no se planteen que pueden ser usadas para controlar y sancionar a los empleados”; por tanto, al no haber advertido a los trabajadores, la prueba obtenida por la misma no es válida y no puede sustentar un proceso disciplinario.

Ambos letrados insisten en que la compañía debe informar personalmente a cada trabajador, así como a los representantes sindicales, por medios que acrediten la recepción de dicha comunicación.

Controversia

Existe un punto especialmente controvertido con relación a la videovigilancia en el trabajo que la nueva ley orgánica no solo no resuelve sino que alimenta: ¿qué pasa si lo que captan las cámaras es un delito (el robo de material de la empresa, por ejemplo)? ¿se mantienen en este caso las mismas exigencias relativas a la información que debe haberse dado a los empleados?

En 2017, el Tribunal Supremo declaró que, en caso de delito, bastaba, para que la prueba fuera válida, que el trabajador conociera la instalación de las cámaras. La nueva ley orgánica parece sumarse a esta tesis al aseverar que si se ha captado “la comisión flagrante de un acto ilícito” (ni siquiera lo circunscribe a delitos), el deber de informar se entiende cumplido si hay aviso de la existencia de la videovigilancia.

El juzgado de Pamplona, sin embargo, rechaza que sea admisible esa rebaja de las garantías. “Conviene no confundir la legitimidad del fin con la constitucionalidad del medio para su consecución”, advierte, en defensa de los derechos fundamentales.

La entrada SENTENCIA PIONERA EN VIDEOVIGILANCIA Y PROTECCIÓN DE DATOS se publicó primero en DataProtectPlus.