Archivo

Posts Tagged ‘LOPD’

Como recoger el consentimiento para manejar datos personales

19 septiembre, 2013 Deja un comentario
info@morem.es

info@morem.es

 

  • Un aspecto básico que se debe de conocer en la empresa es que para poder proceder al tratamiento de los datos es indispensable que la misma cuente con el consentimiento del afectado, salvo en el caso de que la ley disponga otra cosa.
  • En esta entrada vamos a tocar diferentes puntos referentes a la obtención del consentimiento y la forma en que debe de realizarse.

 

Obtención del consentimiento

Principios generales

El responsable del tratamiento tiene la obligación de obtener el consentimiento en todos los casos salvo aquellos en que las leyes no lo exigen.  La solicitud del consentimiento debe de indicar el tratamiento/os para los que se recoge y su finalidad, así como las condiciones del tratamiento. El afectado debe de ser informado de forma inequívoca de la finalidad para que se recojan los datos y la actividad desarrollada por el cesionario. En caso contrario el consentimiento es nulo.

La carga de la prueba recae sobre el responsable del tratamiento, que puede aportarlo por cualquier medio admitido en derecho.

 

Obtención del consentimiento de menores de edad

Se pueden tratar los datos de los mayores de catorce años con su consentimiento, salvo en los casos que la ley estipula la necesidad de la asistencia del titular de la patria potestad o tutela. Para los menores de catorce años se requiere la autorización de los padres o tutores.

En ningún caso se pueden obtener del menor datos que hagan referencia a otros miembros de la familia, como datos sobre su actividad profesional, situación económica, datos sociológicos… En estos casos solo se puede solicitar de ellos la identidad de sus progenitores y su dirección a efectos de solicitarles la autorización. Otro aspecto a tener en cuenta es que si el tratamiento es sobre datos de menores de edad, la información que se dirige a ellos debe de expresarse en un lenguaje comprensible por ellos.

Además y para finalizar, hay que señalar que recae sobre el responsable del fichero el articular un procedimiento que garantice que se ha obtenido el consentimiento de los menores, y que es autentico el consentimiento obtenido de los padres.

Anuncios

5 consejos para cumplir la LOPD

27 agosto, 2013 1 comentario

Cumplir la normativa sobre protección de datos puede resultar algo sumamente complejo, pero nada más lejos de la realidad, lo único que tenemos que tener presente es ponerlo en manos de profesionales, teniendo en cuenta que en este caso los remedios caseros no suelen ser la mejor solución.

Entrando en el fondo del asunto, tenemos que tener presente que para que una empresa, entidad, profesional, autónomo… cumpla con la normativa sobre protección de datos debe de cumplir los siguientes extremos:

  • Alta de ficheros: Es necesario dar de alta las bases de datos con datos personales que tengamos bajo nuestro control como responsables del fichero, para ello es necesario comunicarlas al Registro General de Protección de Datos. Para realizar las altas no es necesario comunicar o transferir a la Agencia Española de Protección de Datos (AEPD) las bases de datos, simplemente tenemos que comunicar que contamos con una base de datos que contienes datos personales de unas características determinadas, como han sido obtenidos, el uso que se les va a dar, si se ceden o se realizan transferencias internacionales de los mismos.
  • Documento de Seguridad: Es preciso disponer de un documento de seguridad en formato papel en las instalaciones del responsable del fichero. El documento de seguridad es un dossier en el que se recogen todas las medidas de seguridad aplicables a las bases de datos que gestiona el responsable del fichero, debe de estar permanentemente actualizado y debe de ajustarse a la normativa en vigor en cada momento.
  • Recoger el consentimiento: Es necesario contar con el consentimiento de aquellas personas que nos facilitan sus datos personales. En este punto tenemos que diferenciar los datos personales de nivel básico (nombre, dirección, teléfono…) en cuyo caso simplemente es necesario un consentimiento tácito, de los datos personales de nivel medio y alto (económicos, salud, vida sexual…) en cuyo caso es preciso el consentimiento expreso e equivoco de los clientes, para cumplir este extremo, es preciso acreditar que el cliente nos autoriza a usar datos, lo habitual es facilitarle una clausula del consentimiento pero también es posible acreditar el consentimiento por otros medios, como puede ser una grabación por ejemplo.
  • Atender los ejercicios de derechos: A este respecto cualquier persona puede dirigirse a nosotros para conocer si manejamos sus datos personales, pedirnos que los modificamos, que le informemos al respecto o que le borremos de nuestra base de datos. Son los derechos ARCO, acceso, rectificación, cancelación y oposición. A este respecto tenemos que tener muy presentes los plazos, que son de un mes para el derecho de acceso y días naturales para el resto.
  • Videovigilancia (si disponemos de cámaras que graben): Si hemos instalado dispositivos de videovigilancia que graban imágenes de personas y las personas sean identificables, tenemos que tener presente que la imagen es un dato personal, y como tal debe de ser tratada. Para cumplir la normativa en este punto es preciso cumplir con lo siguiente: dar de alta un fichero en la AEPD que registre esa base de datos, poner un cartel que identifique al responsable del fichero e indique como podemos ejercitar los derechos ARCO y disponer de una clausula informativa sobre el responsable del fichero y el ejercicio de derechos.

Si bien con estos cinco puntos tendríamos cumplido los grandes aspectos esenciales de la normativa sobre protección de datos, si quedarían flecos pendientes como la firma de los contratos de prestación de servicios con las empresas o profesionales a los que cedamos datos personales, la firma de clausulas de confidencialidad con aquellos empleados que tengan acceso a información sensible, establecer un protocolo de acción en el caso de ejercicio de derechos…

La privacidad y los localizadores GPS

24 febrero, 2013 8 comentarios

GPS

 

  • El empresario puede instalar estos dispositivos con completa libertad, como medida de vigilancia y control pero debe de informar a los empleados de su instalación. No es necesario contar con su consentimiento.

 

Para poner al lector en situación, en este tema confluyen el derecho del empresario reconocido por el artículo 20.3 del Estatuto de los Trabajadores dispone que “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana […]” y la normativa sobre protección de datos que pone como regla general que para tratar los datos personales de una persona necesitamos contar con su consentimiento previo/informar.

 

Por tanto, podemos concluir que, en virtud de dichas potestades de dirección y control, el empresario puede implantar un sistema de localización de sus flotas y equipos por GPS, sin necesidad de pedir el consentimiento a nadie.

 

Ahora bien, la existencia de esta legitimación legal, no exime a la empresa, en absoluto, de la obligación de informar a los afectados (en este caso, los trabajadores) acerca de cuál es el tratamiento de datos que se realizará, cuál es la finalidad que se persigue y qué derechos asisten a los propios trabajadores (Art. 5.1 LOPD). Y corresponderá también a la empresa la carga de demostrar, si fuera necesario, que ha dado cumplimiento a este deber de informar.

La empresa que cumpla con los requisitos que hemos expuesto con anterioridad, puede usar esa información para despedir de forma procedente al trabajador, tal y como indicar una reciente Sentencia del Tribunal Superior de Justicia de Cataluña.

 

Para finalizar hay que ir al tema de la responsabilidad económica de las empresas, el “incumplir el deber de información cuando los datos hayan sido recabados de persona distinta del afectado” (en este caso, a través de una máquina) está tipificado como infracción grave, sancionable con multas de 40.001 a 300.000 euros.