Covid-19 archivos - Adaptación RGPD

¿Puede un establecimiento registrar los datos de los clientes que acuden a un local de ocio?

Gestor RGPD — Mon, 28 Sep 2020 06:15:45 +0000

La AEPD ha publicado el día 31-07-2020 un comunicado en el que trata de analizar diversas iniciativas públicas para conseguir una reacción rápida ante los posible nuevos brotes de COVID-19. Una de ellas es registrar determinados datos de los clientes que acudan a un local de ocio.

En primer lugar, señala que los datos recogidos no son datos de salud, por lo tanto, no pueden englobarse en la categoría de datos especiales.

En segundo lugar, la necesidad de aplicar dicha medida debe ser acreditada por las autoridades sanitarias y, además, ser obligatoria puesto que sino perdería su efectividad. En el caso de que la legitimación para el tratamiento fuera el consentimiento del interesado, éste no tendría que suponer ninguna consecuencia negativa, como es el caso de impedir la entrada al establecimiento.

La AEPD viene a determinar que la base jurídica, con carácter preferente, sería el art.6.1.C del RGPD, el tratamiento es necesario para el cumplimiento de una misión realizada en interés público de controlar la pandemia.

En el comunicado se dan una serie de pautas para llevar a cabo el tratamiento:

Justificar la medida: Identificar en qué tipo de establecimiento es necesaria.

Minimizar datos: recoger solamente el número de teléfono del interesado, junto con los datos del día y la hora de asistencia al lugar.

IMPORTANTE

El Comité Europeo de Protección de Datos recomienda la anonimización y la minimización de datos en las aplicaciones de seguimiento de contactos en el contexto de la pandemia.

La entrada ¿Puede un establecimiento registrar los datos de los clientes que acuden a un local de ocio? se publicó primero en Adaptación RGPD.

¿Puedo conservar un currículum en el que se incluye el dato sobre el estado de inmunidad frente a la COVID-19?

Gestor RGPD — Fri, 21 Aug 2020 06:53:14 +0000

Actualmente, se están viviendo situaciones paradójicas en materia de protección de datos debido a la pandemia que estamos sufriendo por la COVID-19.

Recientemente, la AEPD se ha pronunciado en un comunicado a cerca del tratamiento de datos de salud incluidos en el currículum vitae de los solicitantes a un empleo.

El dato de salud en cuestión, es el referido al estado de inmunidad frente a la enfermedad.

Primero, el responsable de una entidad no puede solicitar este dato para incluirlo dentro del proceso de selección como un requisito, ya que, se estaría llevando a cabo un tratamiento de datos de categorías especiales sin una finalidad legitima. Por otro lado, la legitimación del tratamiento es ilícita. Este supuesto no puede fundamentarse en el consentimiento del candidato, no sería válido, puesto que en esta situación no se daría libremente. Tampoco se podría alegar una necesidad para la celebración del contrato y aplicar las medidas de prevención. El responsable debe mantener la seguridad en su centro de trabajo, respecto de sus trabajadores y el futuro candidato aún no lo es.

En segundo lugar, cuando un responsable reciba un currículum vitae incluyendo este dato sobre el estado de inmunidad del candidato debería eliminarlo de su base de datos.

IMPORTANTE

Pedir información sobre el estado de inmunidad frente a la COVID-19 va más allá de las obligaciones impuestas al empresario en la legislación laboral.

La entrada ¿Puedo conservar un currículum en el que se incluye el dato sobre el estado de inmunidad frente a la COVID-19? se publicó primero en Adaptación RGPD.

¿Es posible ceder datos telefónicos al CIS para realizar encuestas telefónicas?

Gestor RGPD — Mon, 10 Aug 2020 09:19:09 +0000

La consulta es planteada a la AEPD https://www.aepd.es/es/documento/2020-0049.pdf por el CIS (Centro de Investigaciones Sociológicas) ante la necesidad de acceder a los listados de teléfono para la realización de las encuestas pre electorales vascas y gallegas.

La AEPD resuelve si esta cesión es legítima y si cumple con las garantías para su realización conforme a la normativa de protección de datos.

El CIS justifica que debido a la situación especial derivada por la COVID-19 y las restricciones del estado de alarma, las encuestas no se pueden realizar mediante visita personal, tal y como marca la normativa que regula la función estadística. por otro lado, la utilización del correo ordinario para este tipo de estudios no se ajustaría a los objetivos de la encuesta. Por eso entiende, que la única posibilidad es realizar mediante llamada telefónica. En este sentido, la AEPD señala en su informe, que la justificación planteada por el CIS es adecuada.

Además, la AEPD indica que se deben aplicar los principios del RGPD, como es el de minimización de los datos. Solamente se facilitará el número de teléfono y la provincia, pero no su titular; se dará acceso a un porcentaje que se ajuste a la muestra y se podrán conservar el tiempo necesario para hacer el trabajo de campo, hasta un máximo de 30 días. Se tendrán en cuenta, por otro lado, las garantías propias de la función estadística.

IMPORTANTE

No se cederán los datos telefónicos de aquellas personas que hayan ejercitado su derecho a no figurar en las guías accesibles al público.

La entrada ¿Es posible ceder datos telefónicos al CIS para realizar encuestas telefónicas? se publicó primero en Adaptación RGPD.

¿Podríamos difundir la identificación de un trabajador/a afectado por el COVID-19?

Gestor RGPD — Thu, 23 Jul 2020 09:53:26 +0000

A lo largo de la evolución de la pandemia originada por el Covid-19 han surgido muchas dudas acerca del tratamiento de los datos personales relacionados con la salud de los trabajadores/as de las empresas.

El responsable de la entidad, en aplicación de la normativa de prevención de riesgos laborales, debe garantizar la seguridad y la salud de su centro de trabajo, para ello aplicará las medidas adecuadas al nivel de riesgo de su entidad, que vengan determinadas por los servicios de prevención de riesgos laborales y de la salud. En el caso de que uno de los trabajadores/as estuviera afectado por el virus, su identificación personal, solamente se realizará a las autoridades competentes, en concreto a las sanitarias.

La AEPD, en su apartado de consultas frecuentes, indica que en el caso de que no sea posible cumplir con el objetivo de garantizar la seguridad en el centro de trabajo sin identificar al afectado/a, se podrá proporcionar esa información identificativa.

Por otro lado, el personal laboral que se encuentre en alguna de estas situaciones, que presenten síntomas compatibles con Covid-19 o estén en aislamiento domiciliario o bien hayan tenido contacto estrecho con alguna persona infectada, deberán ponerlo en conocimiento del responsable.

IMPORTANTE

Se tienen que tratar los datos observando los principios del RGPD, en particular minimización, limitación y criterios de conservación mínimos.

La entrada ¿Podríamos difundir la identificación de un trabajador/a afectado por el COVID-19? se publicó primero en Adaptación RGPD.

Informe sobre el tratamiento de datos en relación con el COVID-19

Gestor RGPD — Wed, 22 Apr 2020 09:02:59 +0000

En este informe la AEPD da respuesta a la legitimación de los tratamientos de datos de salud en relación con el COVID-19. https://www.aepd.es/es/documento/2020-0017.pdf

El RGPD en su considerando (46) recoge que, en situaciones excepcionales, como una pandemia, la base jurídica de tratamientos puede ser múltiple. Partiendo de la exigencia del reglamento, para el tratamiento de los datos de salud, no basta una base jurídica, sino que además ha de existir una circunstancia que levante la prohibición del tratamiento, siendo éstas las siguientes:

1º Entre el empleador y empleado cumplimiento de obligaciones y derechos en el ámbito del Derecho laboral y de la seguridad y protección social, según lo dispuesto en la normativa de prevención de Riesgos Laborales. No solamente debe velar por la prevención el empleador, sino también el trabajador. En el ámbito de la situación actual del COVID-19 supone que el trabajador debe informar a su empleador si sospecha de contacto con el virus, con el objetivo de salvaguardar su salud y la de los demás trabajadores del centro de trabajo.

2º El tratamiento es necesario por razones de un interés público esencial y un interés público en el ámbito de la salud pública como protección frente a amenazas transfronterizas.

3ºEs necesario para realizar un diagnóstico medico o asistencia de tipo sanitario y gestión de los sistemas de asistencia sanitaria y social.

IMPORTANTE

Para el tratamiento de los datos se aplicarán los principios del RGPD, en especial, los principios de minimización de datos y finalidad.

La entrada Informe sobre el tratamiento de datos en relación con el COVID-19 se publicó primero en Adaptación RGPD.

Informe sobre seguridad en el teletrabajo

Gestor RGPD — Mon, 06 Apr 2020 09:47:55 +0000

El CCN-CERT (Centro Criptológico Nacional Computer Emergency Response Team). ha publicado recientemente un informe con las recomendaciones de seguridad para situaciones de teletrabajo y refuerzo en vigilancia.

Conscientes de la vulnerabilidad que puede llegar a representar la generalización del teletrabajo, el CCN-CERT ha publicado un Informe de Buenas Prácticas bajo el título de: CCN-CERT BP/18 Recomendaciones de Seguridad para situaciones de teletrabajo y refuerzo en vigilancia. Un informe que se une al documento sobre Acceso Remoto Seguro que desarrolló la semana pasada.

En él, y dado que numerosas organizaciones, públicas y privadas, han tenido que implantar en un tiempo muy reducido soluciones de teletrabajo, se hace especial incidencia en los siguientes aspectos: acceso remoto seguro, correo electrónico, videoconferencias y reuniones virtuales, vigilancia, recomendaciones genéricas y medidas de prevención de incidentes. Asimismo, el informe recoge dos anexos en los que se detalla cada una de las dos soluciones propuestas: la nube o sistemas locales (on-premise).

Deseamos que esta información les sea de utilidad.

Fuente:CCN-CERT

La entrada Informe sobre seguridad en el teletrabajo se publicó primero en Adaptación RGPD.

Teletrabajo y Covid-19

Gestor RGPD — Sat, 04 Apr 2020 09:41:28 +0000

Tele-trabajo RGPD y ¿cómo aplicarlo?

Debido al presente estado de alarma decretado por el Gobierno, y debido a las restricciones en la movilidad y libertad de movimiento a fin de luchar contra la expansión que el COVID-19 está teniendo a nivel mundial, muchas empresas han decidido imponer el formato de teletrabajo y siendo conscientes de los riesgos que a veces puede implicar el trabajo presencial en nuestras empresas, por ello vamos a ofrecer algunos consejos para que las empresas puedan establecerlo en consonancia a la seguridad y respetando la privacidad de los datos personales:

Formación RGPD a empleados para correcto tratamiento

El artículo 32.4 del RGPD, establece que han de tomarse medidas respecto al personal con acceso a datos que dependa tanto del responsable como del encargado, de forma que traten los datos siguiendo estrictamente sus instrucciones y todo lo establecido por el reglamento.

Por tanto, es responsabilidad de la dirección de la empresa formar correctamente a los empleados para que hagan un tratamiento correcto y con garantías, no solo desde el lugar de trabajo, sino también llegado el momento en el que tengan que trabajar desde su casa o, en general, fuera de las instalaciones del negocio.

Para ello deben seguirse una serie de pautas que permitan al empresario una correcta aplicación del teletrabajo para no infringir la RGPD

Obligatoriedad de la firma de las cláusulas de confidencialidad para los empleados
Obligatoriedad de la firma previa de un registro de entrega de dispositivos y su seguimiento y control.
No se deben utilizar otros dispositivos informáticos diferentes a los suministrados por la empresa.
Realizar un correcto resguardo de los dispositivos que contengan datos personales.
No realizar conexiones a internet en redes WIFI públicas
Evitar aplicaciones de control remoto, utilizar un acceso VPN corporativo obligatoriamente.
Contar con las últimas instalaciones de parches y actualizaciones del sistema operativo con la protección contra códigos maliciosos
Evitar almacenar cualquier dato de carácter personal en soportes extraíbles no autorizados.
No realizar descargas locales de ficheros con datos de carácter personal.
Realizar una correcta encriptación y seudonimización de la información que contengan
Obligatoriedad de informar inmediatamente un extravío, robo, hurto o acceso no autorizado al dispositivo
Evitar el acceso no autorizado de personas que viven o trabajan en la ubicación donde se realiza la actividad de tele-trabajo.
Especificación de las actividades permitidas y prohibidas a los trabajadores durante su jornada
Realizar un correcto seguimiento de la jornada laboral

La entrada Teletrabajo y Covid-19 se publicó primero en Adaptación RGPD.

La AEPD publica un informe sobre los tratamientos de datos en relación con el COVID-19

Gestor RGPD — Sat, 04 Apr 2020 09:16:40 +0000

El RGPD permite el tratamiento de datos personales de salud sin consentimiento del interesado en situaciones de interés público en el ámbito de la salud pública y en el cumplimiento de obligaciones legales en el ámbito laboral derivado de dichas situaciones

(Madrid, 12 de marzo de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19 (english version). El Reglamento General de Protección de Datos (RGPD) contiene las reglas necesarias para permitir legítimamente tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general. En consecuencia, según se recoge en el informe, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.

El informe recoge que el RGPD reconoce explícitamente en su Considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público (art. 6.1.e) o los intereses vitales del interesado u otras personas físicas (art. 6.1.d), sin perjuicio de que puedan existir otras bases como, por ejemplo, el cumplimiento de una obligación legal (para el empleador en la prevención de riesgos laborales de su personal). Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.

Los datos de salud están catalogados en el Reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa. El informe precisa las excepciones recogidas en el art. 9.2. RGPD:

El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.
El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g).
Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h).
Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c).

Por otro lado, el informe hace referencia a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública. La primera de dichas normas señala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

En materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado a las autoridades sanitarias de las distintas AAPP las competencias para adoptar las medidas necesarias previstas por la ley cuando así lo exijan razones sanitarias de urgencia o necesidad. Desde un punto de vista de tratamiento de datos personales, la protección de los intereses vitales de las personas físicas corresponde en el ámbito de la salud a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar a las personas en situaciones de emergencia sanitaria.

Así, serán las autoridades sanitarias de las distintas AAPP quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud.

Del mismo modo, y en aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que dichas normas establecen, los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y/o centros de trabajo.

Por último, el informe destaca que los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales), ya que estas normas han previsto esta eventualidad, por lo que le son de aplicación sus principios, y entre ellos el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia), principio de exactitud, y el principio de minimización de datos. Sobre esto último, se hace una referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad.

Fuente: AEPD

La entrada La AEPD publica un informe sobre los tratamientos de datos en relación con el COVID-19 se publicó primero en Adaptación RGPD.