Monthly Archives mayo 2011

¿Puede mi empresa recoger mi huella digital para control horario?

    Guardado en BLOG, EMPRESA, PRIVACIDAD, PROTECCION DATOS, SEGURIDAD PRIVADA    |    1 Comentario

En los últimos meses hemos asistido a la transición desde el tradicional sistema de control horario mediante tarjetas a la instalación de lectores de huella digital de los trabajadores, encontrando en el mercado numerosos productos y aplicaciones, cuestión que por extendida no deja de plantear cierta inquietud entre los interesados en cuanto a su legalidad y proporcionalidad.

Dos serían las cuestiones a analizar al respecto; en primer lugar, si el uso de la huella digital de los trabajadores debe someterse a los requisitos de la LOPD y, en segundo lugar, de ser afirmativa la respuesta, cuáles son los requisitos legales que debe cumplir la empresa para su correcta utilización.

La Agencia Española de Protección de Datos (AEPD) ha definido el concepto de dato biométrico como  “aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.”.

Por su parte, el artículo 3.a) LOPD define el dato personal como “cualquier información concerniente a personas físicas identificadas o identificables”, concepto que se ve ampliado por el artículo 5.1.g) RD 1720/2007 al definirlo como “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Así pues, dado que el tratamiento de los datos biométricos ya definidos permite la identificación del sujeto, no cabe duda de que dicho tratamiento debe someterse a las especificaciones de la LOPD.

Siendo las huellas digitales datos personales, la pregunta es ¿cuál es su nivel de sensibilidad y, por tanto, qué nivel de seguridad debe aplicarse? Ha entendido la AEPD que los datos biométricos simplemente identifican al sujeto, pero no aportan ningún aspecto concreto de su personalidad, por lo que su tratamiento no tendrá mayor trascendencia que el de los datos relativos a un número de identificación personal.

Además, en lo relativo a las medidas de seguridad en el tratamiento, debe señalarse que, como se ha indicado en cuanto al dato biométrico de la huella digital, el mismo no puede ser considerado en modo alguno dato especialmente protegido o sensible, por lo que resultarán de aplicación al tratamiento las medidas de seguridad de nivel básico.

La AEPD considera que su uso para el control horario de los trabajadores es ajustado a la LOPD siempre que se respete el principio de proporcionalidad, en los términos establecidos por el Tribunal Constitucional, dado que el tratamiento de los datos de carácter personal supone, tal y como consagra en su Sentencia 292/2000, de 30 de noviembre, una limitación del derecho de la persona a disponer de la información referida a la misma.

Ahora bien, ¿qué requisitos deben cumplirse para su correcta utilización?

En primer lugar, se plantea si es necesario contar con el consentimiento de los trabajadores. La AEPD en su Instrucción 324/09 manifiesta que “si bien el artículo 6.1 de la LOPD exige el consentimiento del interesado para el tratamiento automatizado de los datos de carácter personal, el artículo 6.2 prevé que no será preciso el consentimiento cuando los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento (…)”.

Por tanto, una empresa puede tratar dichos datos sin recabar el previo consentimiento de los afectados, ya que, en este caso, el citado tratamiento tendría su origen en la necesidad de asegurar el debido cumplimiento de las obligaciones derivadas de la relación laboral que vincula a los trabajadores con la empresa, siendo por tanto de aplicación el artículo 6.2 de la LOPD.

Visto lo anterior, debe precisarse que si bien no es necesario recabar el consentimiento de los trabajadores para realizar el tratamiento de referencia, sí resulta legalmente exigible que la empresa cumpla con las obligaciones relativas a la creación y notificación del preceptivo fichero, así como con el deber de informar a los trabajadores en los términos contenidos en el artículo 5.1 de la LOPD.

En cuanto a la obligación de informar a los trabajadores en los términos contenidos en el artículo 5.1 de la LOPD, bastará con que en el momento de recabar la huella digital de cada empleado, se le haga entrega de un clausulado o aviso legal con toda la información legalmente preceptiva en los términos indicados. Finalmente, debe tenerse en cuenta que será indispensable que la empresa pueda acreditar en todo momento que ha informado a sus trabajadores.

Juzgados gallegos: con datos y a lo loco

    Guardado en BLOG, ESQUEMA NACIONAL SEGURIDAD, PROTECCION DATOS    |    Sin comentarios

La Agencia de Protección de Datos ha dado un tirón de orejas a la Xunta de Galicia en su resolución 639/2011. Sin control de los permisos de acceso a los expedientes judiciales por parte de los usuarios, sin registro de accesos – al tratarse de ficheros de nivel alto-, sin destrucción segura de la documentación en papel, sin auditoría alguna, sin medidas de seguridad…con datos y a lo loco. Claro que si esto ocurriese en una empresa privada, hablaríamos de sanciones económicas de hasta 300.000 euros.

Para consultar la resolución completa, haz click aquí:

https://www.agpd.es/portalwebAGPD/resoluciones/admon_publicas/ap_2011/common/pdfs/AAPP-00084-2010_Resolucion-de-fecha-26-04-2011_Art-ii-culo-9-LOPD.pdf

El Esquema Nacional de Seguridad en cinco preguntas

    Guardado en BLOG, E-ADMINISTRACION, ESQUEMA NACIONAL SEGURIDAD    |    Sin comentarios

Tras la celebración de las Jornadas organizadas entre los meses de abril y mayo por la Secretaría Xeral de Modernización e Innovación Tecnolóxica en colaboración con AGESTIC para la difusión del Esquema Nacional de Seguridad, de obligado cumplimiento para todos los órganos de la Administración Pública, AGESTIC ha publicado en su página web el enlace a las ponencias de los distintos representantes del sector público y privado que participaron en las mismas.

Agradeciendo de nuevo a la organización el acierto de estas jornadas y su invitación a Nebot Consultora Legal, así como a los asistentes por su interés y partipación, que las convirtieron en un éxito, a continuación indicamos los enlaces para la consulta de las ponencias:

http://www.agestic.org/recursos/recursos/ens

Redes Sociales Corporativas

    Guardado en BLOG, EMPRESA, REDES SOCIALES    |    2 Comentarios

Asumiendo que el fenómeno de las redes sociales no es sólo cosa de jóvenes y que su utilización por las empresas responde a la necesidad de adaptarse al medio o desaparecer, las vertientes que dicha presencia adquiere son diversas. Sabido es que este hecho, como un nuevo y económico medio de marketing, ha generado incluso la aparición de nuevas profesiones. Pues bien, tener presencia en las redes sociales, crear un perfil corporativo atractivo, gestionar sus contactos y seguidores y velar por su buena imagen ya no es suficiente.

El siguiente paso es crear una red social en la empresa, involucrando a todos los empleados en la red social corporativa con una finalidad eminentemente profesional, pero dejando también un espacio para las inquietudes y aficiones personales de los trabajadores, incorporando la posibilidad incluso de tener sus propios blogs. Tal vez llevados por el aforismo “si no puedes con tu enemigo, únete a él”, algunas empresas han pensado que en vez de padecer, tolerar o prohibir que sus empleados accedan desde el puesto de trabajo a redes sociales externas sería buena idea canalizar esa participación en una red social corporativa.

Hasta el momento, su implantación se ciñe a empresas de cierto tamaño en las que la agilidad en la comunicación y la coordinación entre distintos departamentos involucrados en un mismo proyecto resulta esencial, por lo que la red social corporativa hace más fluida la interactividad y mejora la productividad evitando pérdidas de tiempo en las comunicaciones y en la toma de decisiones.

Quienes ya la utilizan aducen también razones de otro orden, como es potenciar la sensación de pertenencia al grupo, incrementando la implicación de los trabajadores y fomentando su participación.

Sin embargo, pese a que las soluciones de software ya están ahí, la aceptación e integración de estas herramientas de trabajo requerirá un cambio sustancial de mentalidad frente a las tradicionales estructuras jerarquizadas en la empresa, ya que supone una democratización del trabajo. En un país como el nuestro, qué ocurriría si a través de las redes sociales corporativas fuese visible y evidente que las mejores ideas, la mayor participación y la óptima productividad no van asociadas a un cargo superior y mejor remunerado. Sin duda, será interesante observar si la evolución sociológica es capaz de seguir a la tecnológica.

Geolocalizado por mi Smartphone

    Guardado en BLOG, INTERNET, PRIVACIDAD, PROTECCION DATOS    |    1 Comentario

Desde que hace unos días saltó la noticia en un diario británico de que Iphones y Ipads, ambos dispositivos de Apple, recogían datos de geolocalización del usuario sin su conocimiento ni consentimiento, el revuelo mediático ha dado lugar a una investigación por parte del Congreso de Estados Unidos. Actualmente la investigación oficial ya abarca a Nokia, Microsoft, RIM y HP y el próximo día 10 de mayo Apple y Google tendrán que comparecer ante el Congreso americano para dar explicaciones. Todo ello sin contar las posibles acciones legales emprendidas por usuarios indignados. Por el momento dos usuarios de Apple han denunciado a la compañía ante los tribunales. De este modo saltó a la luz algo que venía ocurriendo desde junio de 2010, fecha en que se comercializa el sistema operativo IOS4.

Tras la negativa inicial de Apple y después de admitir al menos un almacenamiento temporal de la información, se rumorea (de hecho en McRumours) que Steve Jobs pasó a la acusación en forma de “y tú más” dirigida contra Google y su sistema operativo y directo competidor, Android. Y acertó, ya que además en el caso de los dispositivos Android parece que se produce no sólo la recogida de datos de geolocalización del usuario, sino también su envío a Google.

Huelga decir que la recogida y grabación de datos de geolocalización no obedece a la preocupación de las empresas por evitar nuestro extravío, sino que los servicios de localización sirven para la prestación de servicios personalizados, en concreto,  comerciales y publicitarios.

Según lo publicado por el Wall Street Journal, estas bases de datos podrían suponer para estas compañías tomar el mercado de servicios de bases de datos de localización, mercado estimado en 2,9 billones (sí, sí, con B) de dólares y que, según Gartner Inc., se estima que alcance un valor de 8,3 billones de dólares en el 2014.

A día de hoy Apple rectifica obligada por la presión legal y mediática. Así hemos pasado paradójicamente de la negativa categórica a la rectificación pública. De este modo se anuncia que el fichero que recoge los datos, consolidated.db, puede ser borrado en la nueva versión si se desactiva por el usuario la función de geolocalización. De este modo, el interesado puede elegir si tal recogida de datos se produce o no.

Los datos de localización geográfica vinculados a un usuario son sin duda datos personales y, por tanto, sometidos a todos los requisitos y exigencias legales contenidas en la LOPD y su Reglamento 1720/2007, en cuyo artículo 81.4 se exige la aplicación de la medida de seguridad de seguridad alto consistente en la implantación de un registro de acceso y su conservación durante al menos dos años en relación con el fichero de datos de tráfico y localización:

A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento.”

Dichos datos de localización, sea cual sea el soporte en que se recogen y difunden, requieren protección mediante medidas de seguridad que garanticen el respeto al derecho de privacidad y, por supuesto, la información necesaria al usuario o consumidor que le permita saber quién, dónde y para qué recoge dichos datos. Lo contrario, no sólo implica una intromisión ilegítima en la privacidad, sino también una vulneración de la LOPD,  impidiendo al interesado ejercer sus derechos de acceso, rectificación, cancelación y muy especialmente el de oposición al tratamiento de la información de geolocalización con fines comerciales. Por no hablar del riesgo que para la seguridad de personas – como pueden ser cargos públicos, políticos, etc.- supone su difusión o su acceso por terceros. Sin duda habrá quien argumente las elevadas medidas de seguridad con las que se custodia esa información, pero en este punto a Sony me remito.