Autorización necesaria para fotografías de niños en colegios

consentimiento fotos niños colegios

¿Debe un colegio recoger el consentimiento de los padres para colgar fotos de actividades donde aparecen los niños, en su blog?

Esta es la consulta que nos propone una lectora del blog, y para responderla tenemos por parte del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) el Informe 0194/2009, que trata precisamente este asunto. Y la respuesta aplica lo mismo para publicaciones en internet como para otras en libros, anuarios, revistas, etc...

Read more


Envíos publicitarios a personas y empresas que figuran en fuentes accesibles al público

El concepto de fuentes accesibles al público y la posibilidad de envíos publicitarios con estos datos es uno de los que más dudas y consultas motivan en el sector de protección de datos.

En el informe 0105/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) se responde a una consulta que plantea si resulta conforme a la normativa de protección de datos el envío de comunicaciones publicitarias, relativas a los servicios que presta la empresa consultante, a empresas o personas que aparecen en las guías telefónicas o en las guías de colegiados que reparten los colegios oficiales.

Tipos de envíos publicitarios

A la hora de abordar la cuestión planteada en la consulta debe tenerse en cuenta el medio por el que va a llevarse a cabo la publicidad, ya que si se trata de comunicaciones electrónicas resulta de aplicación lo dispuesto en la Ley de Servicios de la Sociedad de la Información (LSSI), mientras que en los envío de tipo postal sólo consideraremos la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

Será posible el envío de publicidad, siempre y cuando los datos de las personas a quienes se remita se encuentren en fuentes accesibles al público. Es decir, según la LOPD, serían las siguientes: el censo promocional; los repertorios telefónicos; las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo; los diarios y boletines oficiales y los medios de comunicación.

Cesión o acceso a datos por terceros

También es preciso recordar que si recurrimos a una empresa externa para que realice las campañas de publicidad  o utilizamos plataformas externas de email marketing, esto se considera una cesión de datos, por lo que será necesario considerar las particularidades de la empresa y si cumple con la LOPD, así como firmar un contrato de acceso a datos por cuenta de terceros.

¿Cómo cumplir la LOPD y LSSI en campañas de email marketing?

La LOPD debe cumplirse ya que normalmente, para la realización de estas campañas, se usan datos personales de los suscriptores (por ejemplo el nombre y la dirección de correo electrónico), por lo que es necesario inscribir un fichero de datos en la Agencia Española de Protección de Datos. Por otro lado, en caso de usar una plataforma de correo electrónico que está ubicada fuera de la Unión Europea, se está efectuando una Transferencia Internacional de Datos, por lo hay que averiguar si la empresa a la que vamos a hacer esa transferencia cumple todos los requisitos de seguridad exigidos.

La LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio electrónico) en una de sus secciones regula las llamadas comunicaciones electrónicas. Esta ley establece como obligatorio que se haya especificado un permiso expreso por parte del receptor del correo.

Según la LSSI, es ilícito enviar emails a direcciones recogidas de fuentes públicas, de bases de datos compradas, cedidas, regaladas, etc. Se exige un permiso expreso de los suscriptores, de lo contrario estaremos cometiendo una infracción que puede considerarse como leve (sancionada con multas de hasta 30.000€) o como grave (multas de hasta 150.000€). La única excepción posible ante el consentimiento expreso es que haya existido una relación comercial previa y demostrable con el usuario al que se ha enviado el email.

Read more


Consentimiento para el tratamiento de datos de menores de edad

ley de proteccion de datos menores
Esta mañana he recibido una consulta en el blog que me ha dado la idea para escribir este artículo. Una madre me pregunta sobre el consentimiento que debe otorgar para que puedan hacer fotografías a su hija de 7 años en un campamento y publicarlas. Creo que en esta época del año y con muchos menores en campamentos o escuelas de verano es un tema que preocupará a muchos padres.

El tratamiento de datos de menores de edad requiere de una vigilancia especial, ya que por parte de la Agencia Española de Protección de Datos (AEPD) se exige un mayor rigor cuando el consentimiento se obtiene de un menor, debido a que va dirigido a una persona más vulnerable que aún no está totalmente formada.

Consentimiento necesario para tratar datos personales de menores

La LOPD establece una protección especial para los menores de edad al considerarlos como el sector más frágil y por su dependencia de los padres o tutores legales. Por ello se exige más rigor en el cumplimiento de los requisitos de la normativa de Protección de Datos.¿Dónde está la frontera de edad respecto a quién se considera capacitado para proporcionar ese consentimiento? El artículo 13.1 del Reglamento LOPD indica:

Artículo 13.1 del Reglamento LOPD

Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.

Necesidad de consentimiento para menores de 14 años

En caso de menores de 14 años o incapaces, se exigirá en todo caso el consentimiento de sus padres o tutores legales para tratar sus datos personales. Este consentimiento será igual al exigido en otros casos a los afectados por el tratamiento con la diferencia de que quien debe otorgarlo es el representante legal del menor. Los requisitos exigidos por la LOPD para que el consentimiento sea válido son que debe de ser libre, inequívoco, específico e informado.

Evita sanciones y cumple con la LOD

Es el responsable del fichero quien debe garantizar que el consentimiento obtenido es válido y, por ello, debe asegurarse de que la persona que presta ese consentimiento es quien está capacitada para ello. Lo normal es que el responsable del fichero exija el DNI u otra forma de identificación a esa persona.

Información sobre el tratamiento de los datos personales

Al solicitar el consentimiento, el responsable del fichero debe informar de forma clara y concisa de una serie de aspectos como:

  • De la existencia un fichero de datos de carácter personal, de la finalidad para la que se recogen éstos y de los receptores de la información.
  • Del carácter forzoso o voluntario de su respuesta a las preguntas que les sean propuestas.
  • De los efectos de la recogida de los datos o de la negativa a facilitarlos.
  • De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
  • Del nombre y dirección del responsable del tratamiento o, en su caso, de su representante.

Modelo para informar de la recogida de datos y solicitar el consentimiento

La AEPD establece un modelo de solicitud de consentimiento que reúne los requisitos establecidos por la ley teniendo en cuenta que, en el caso de menores entre los 14 y los 18 años, y debido que el consentimiento puede ser otorgado por los propios menores como afectados por el tratamiento, se establece la obligación de usar un lenguaje claro y accesible para los menores.

En ese modelo de consentimiento se indicará la finalidad de la recogida y tratamiento de los datos, los destinatarios de la información, la forma de ejercer los derechos ARCO y la identidad y dirección del responsable del fichero.

Prueba del consentimiento

En cuanto a la demostración de ese consentimiento, el articulo 12 del Reglamento señala que es el responsable del fichero quien debe probar la existencia de ese consentimiento por cualquier medio admisible, y cuando se trata de menores de edad se establecen en el Reglamento mayores exigencias, así se atribuye al responsable del fichero el establecer los procedimientos para garantizar que se ha comprobado válidamente la edad del menor y la legitimidad del consentimiento otorgado por los padres o tutores legales.

Los datos personales de menores de 14 años sólo pueden ser recogidos y tratados con el consentimiento expreso de sus progenitores o tutores legales.

La norma no exige un procedimiento determinado, dejando libertad al responsable del fichero para establecer el que considere adecuado.

Consentimiento prestado por menores de edad

Los menores entre 14 y 18 años pueden prestar ellos mismos el consentimiento para tratar sus datos personales ya que se considera que tienen condiciones suficientes de madurez para ello. En este caso sólo se exige que el lenguaje utilizado sea comprensible para ellos y que el consentimiento reúna los requisitos de libertad, información, certeza y concreción.

Debe tenerse en cuenta, además que el artículo 18 del Reglamento impone al responsable del fichero o tratamiento la obligación de conservar los documentos o cualquier otro soporte empleado que garantice el cumplimiento del deber de información. Para el depósito de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá escanear la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no se ha producido alteración alguna de los soportes originales.

Límites al tratamiento de datos de menores

No se puede recabar ni tratar cualquier dato de los menores, la ley establece límites como:

  • No se pueden solicitar datos que permitan obtener información relativa a otros componentes de la familia o sobre sus características como pueden ser los datos referidos a la profesión de los padres, situación económica, datos sociológicos o cualesquiera otros, sin el debido consentimiento de los titulares de tales datos.
  • Sólo pueden solicitarse los datos de identidad y dirección de los padres o tutores con la finalidad de obtener el consentimiento necesario.

Podemos concluir, por tanto, que los datos personales de menores de 14 años sólo pueden ser recogidos y tratados con el consentimiento expreso de sus progenitores o tutores legales y que para obtener ese consentimiento es necesario informarles previa y claramente sobre las finalidades de ese tratamiento y la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición así como la dirección del responsable de ese fichero.

Tratamiento de datos de menores en el colegio o en actividades extraescolares

En estos lugares se tratan múltiples datos de menores y, por tanto, es necesario cumplir la LOPD. En caso de actividades extraescolares realizadas en lugares ajenos al centro escolar se debe respetar también el derecho fundamental a la Protección de Datos y así, la captación de fotos de los niños y su uso posterior en alojamientos, actividades deportivas etc. debería realizarse con el conocimiento y el consentimiento de los padres o con el del niño, si fuera mayor de catorce años.

Es habitual que los colegios tengan perfiles en las redes sociales donde se publican imágenes de los estudiantes en excursiones, competiciones y todo tipo de actos. También hay profesores que hacen fotos a los alumnos en el recreo para después enviárselas a los padres o a los representantes del colegio para publicarlas en revistas o anuarios.

Otro caso especialmente grave es el hecho de descargar determinadas aplicaciones educativas por los profesores, con un proveedor extranjero, y utilizarlas aunque tengan que incluir información personal de los alumnos.

Publicación de fotos de menores

ejemplos proteccion de datos

Multa de la AEPD de 601 € a una Academia de música por publicar en unos carteles publicitarios la foto de un menor en un concierto sin el consentimiento de los padres. O 1000 € a un fotógrafo por publicar en un concurso una foto de un menor sin el consentimiento de sus progenitores.

Es conveniente educar al menor informándole sobre su privacidad y, sobre todo, en las redes sociales, tan habituales hoy en día para los menores. Los menores no son conscientes normalmente de la importancia que tiene la publicación de fotos u otros datos personales en las redes sociales. Deben aprender la importancia que tiene preservar su intimidad y no exponer públicamente su imagen.

Los principales peligros a los que están expuestos los menores en las redes sociales son: acceso a contenidos inapropiados para su edad, probabilidad de comunicarse online con usuarios malintencionados y la información personal publicada por ellos mismos o por terceros.

Los niños son especialmente vulnerables en el entorno de Internet. Las ofertas que reciben en páginas web, foros, o chats les atraen fácilmente. Debe acompañarse a los menores en la navegación, especialmente al principio, ayudarles a diferenciar peligros existentes, asegurarse de que los niños no accedan a Internet a través de entornos no confiables o de que no intercambien datos personales ni fotografías con desconocidos.

Si tu hijo va a participar este verano en cualquier campamento o competición en el cual se les hagan fotos que luego van a aparecer en las redes sociales, asegúrate de haber dado tu consentimiento para ello. Y, sobre todo, ten en cuenta que estos datos subidos a la red ya no pueden borrarse.

¿Necesitas cumplir la LOPD?

Read more


Protección de Datos por profesionales de la salud

A todos nos preocupa que nuestros datos personales circulen por ahí sin saber muy bien quién tiene acceso a ellos y, si hablamos de datos de salud, aún más. Por este motivo me he puesto en contacto con Laura Rodríguez Gutiérrez, Fisioterapeuta –Nº COL Madrid 8309 y Terapeuta PNI clínica, para que me explique un poco mejor su experiencia como profesional de la salud en este tema de Protección de Datos. Esto es lo que muy amablemente Laura me ha contado.

La Ley de Protección de Datos en el ámbito sanitario

Cada uno de nosotros, en mayor o menor medida, hemos sido usuarios de algún servicio sanitario en cualquiera de sus campos de actuación; desde la sanidad pública a cualquier otro servicio o especialidad clínica en el sector privado; medicina general o especializada, nutrición, podología, fisioterapia, psicología, odontología….

¿Eres un profesional de la salud?

Ahora bien, si preguntara cuántos de nosotros hemos sido informados sobre la Ley de Protección de Datos a través de un documento de Consentimiento Informado para su gestión, creo que nos sorprenderíamos al averiguar que muchos usuarios de los servicios sanitarios ni siquiera son conscientes de este derecho amparado por ley.

¿Qué es la Protección de Datos?

La Protección de Datos es un Derecho Fundamental desarrollado a partir del artículo 18.4 de la Constitución Española. Este derecho se refiere a la facultad de disposición y control sobre los datos personales que autoriza a las personas físicas para consentir el conocimiento y tratamiento de sus datos por terceros. De esta forma es la persona física la única facultada para disponer lo que se puede hacer con sus datos de carácter personal.

guia-proteccion-datos-sanidad

Descargar Guía Protección de Datos Sanidad

Datos de salud: protección especial

En nuestro país la legislación vigente es la Ley General de Sanidad de 25 de abril de 1986 y la Ley 41/ 2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de derechos y obligaciones en materia de información y documentación clínica. A ello debemos añadir las normativas autonómicas.

La regulación en materia de protección de datos de carácter personal se constituye por la Ley Orgánica 15/1999, de 13 de diciembre.

Esta ley orgánica nace por la necesidad de proteger y gestionar con un carácter riguroso, datos tan sensibles como los que conciernen a nuestro estado de salud física y mental, así como datos personales como domicilio, DNI e incluso en ocasiones, datos fiscales.

Obligaciones del personal sanitario

Por ello, el personal sanitario, está obligado por ley a ofrecer a todos sus pacientes un Consentimiento Informado en el que se aclara en qué consiste esta ley y cómo se gestionaran todos los datos que se manejen en su consulta, así como el derecho que tiene el usuario a darlos de baja cuando lo desee.

Entre los datos que se gestionan desde esta Ley, están como hemos indicado, los de “Carácter personal” (cualquier información que identifique o haga posible identificar a una persona física) y los “Datos de Salud”. Estos últimos son más ambiguos ya que no están definidos por ley pero si se ha llegado a un consenso enmarcando en esta categoría cualquier información sobre la salud actual y pasada, informes médicos y hábitos (alcoholismo, drogadicción, conductas sexuales, aspectos psico-patológicos) que el paciente perciba como de carácter “sensible e intimo”

Entre los datos que se gestionan desde esta Ley, están como hemos indicado, los de “Carácter personal” (cualquier información que identifique o haga posible identificar a una persona física) y los “Datos de Salud”.

Esta ley se aplica a todos los profesionales sanitarios, sea cual sea su disciplina, al igual que el secreto profesional que estaría muy vinculado a este tema. También están obligadas a su cumplimiento, instituciones, clínicas y hospitales que generen historiales clínicos.

Requisitos de la Protección de Datos de salud

Los profesionales para poder cumplir con esta Ley deben de aplicarla con unos principios determinados:

  • Principio de Calidad de datos: donde sólo se recoja aquella información necesaria y relativa a la consulta actual
  • Principio de Información y Consentimiento: por el que el paciente ha de ser informado de la existencia de esta ley y de sus derechos al respecto así de cómo se gestionara la información recogida en la consulta. Esta información ha de ser registrada en unos ficheros que a su vez han de ser dados de alta en la Agencia Española de Protección de Datos.
  • Principio de Seguridad: no todos los datos, son igual de sensibles en su recogida. Hay datos que requieren más atención que otros, como pueden ser datos de información fiscal o de carácter personal al que el paciente le de especial importancia. Para ello hay 3 niveles de gestión; alto, medio y básico.
  • Principio de confidencialidad: el profesional está obligado al secreto profesional sobre cualquier dato recogido en consulta.
  • Principio de comunicación de datos: si se requiere que la información registrada sea compartida por circunstancias muy específicas, el usuario ha de ser informado y firmar un consentimiento al respecto.

El incumplimiento de lo que hasta ahora ha sido mencionado sería sancionable.

Así bien, a partir de ahora como usuario espero que sepa un poco más sobre este derecho del que dispone por Ley y de gran importancia para gestionar información tan sensible como la que atañe a nuestra salud y datos personales. Debe exigirlo en cualquier servicio sanitario al que asista, público y/o privado.

También confío, que otros compañeros sanitarios, que realizan sus servicios y cumplen con este deber, estén de acuerdo conmigo que en la práctica diaria manejamos mucha información sensible de pacientes para los que somos unos totales desconocidos y confían en nosotros compartiendo su intimidad. Qué menos que hacerles este proceso mucho más fácil mostrándoles que todo lo que compartan con nosotros será respetado y tratado como la “Ley Ordena”.

Cesión de datos de salud

Al igual que en casi todos los sectores, en el campo de la salud también existe la subcontratación. Así, cuando un odontólogo encarga una pieza dental a un protésico, o si un médico pide a un laboratorio un análisis de uno de sus pacientes o manda a éste a hacerse una radiografía.

En estos casos habrá siempre un movimiento de datos necesarios para realizar la actuación encomendada, y según la Ley Orgánica de Protección de Datos (LOPD), habrá que determinar si se trata de datos personales y, si es así, el profesional que recibe el encargo actuará sobre esos datos como responsable del fichero o encargado del tratamiento.

La AEPD establece que el profesional que recibe el encargo de este tipo de trabajos se considera responsable del fichero en el momento en que mantenga contacto directo con el afectado, ya sea facturándole directamente o en el caso de que necesite disponer de información personal del paciente para garantizar una actuación adecuada.

En este caso, la cesión de los datos por parte del primer profesional al segundo, debe legitimarse bien con el consentimiento expreso de los afectados o en una Ley, dado que tratándose de datos de salud resulta aplicable el artículo 7.3 de la LOPD.

Acceso a datos por cuenta de terceros

Por el contrario, si el protésico o analista no tienen ningún tipo de relación con los pacientes, realizan los trabajos por encargo y las facturas emitidas no implican un vínculo personal con el paciente, en estos casos estamos ante una prestación de servicios por cuenta de terceros, es decir, un encargado del tratamiento., detallado en el artículo 3 g) de la LOPD y en el artículo 5.1 i) Reglamento de desarrollo de la LOPD señalando que:

Artículo 3 g) y Artículo 5.1 i) del Reglamento de la LOPD

Encargado del tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo, que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

En cualquier caso hay que añadir que en ambos casos existe un tratamiento de datos de salud, que requiere implantar medidas de seguridad de nivel alto, medidas que se deberán implantar tanto si se procede como responsable del fichero o como encargado del tratamiento.

Además si se da una relación de encargado del tratamiento, ésta deberá de precisarse por escrito haciendo constar los extremos previstos en el artículo 12 de la LOPD y los de los artículos 20 a 22 del Reglamento.

¿Necesitas cumplir la LOPD?

Read more


LOPD y datos de profesionales autónomos

ley de proteccion de datos para autonomos

Nos consulta un lector que proyecta un sitio web directorio de empresas en qué puede afectarle la Ley Orgánica de Protección de Datos (LOPD). De hecho, si preguntamos a gran parte de los profesionales autónomos sobre el cumplimiento de esta normativa, la mayoría no sabe ni qué es esto.

Los autónomos, al igual que cualquier otra empresa, entidad u organismo, en cuanto recogen y tratan datos personales de sus clientes o proveedores, están sujetos a la normativa de Protección de Datos.

Cómo afecta la LOPD en el tratamiento de los datos personales de autónomos

Con carácter general sabemos que la LOPD se aplica exclusivamente a datos de personas físicas, quedando las jurídicas (y algunos datos concretos de las físicas) excluidas por el artículo 2 del Reglamento LOPD:

Artículo 2 del Reglamento LOPD
  1. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
  2. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.

Diferencias entre autónomo y empresario individual

Aquellos datos se refieren a profesionales que no ejercen su actividad bajo forma de empresa, no ostentando en consecuencia la condición de comerciantes a la que se refieren los artículos primero y siguientes del código de comercio. Sentencia de la Audiencia Nacional.

A primera vista puede parecer muy claro, pero debemos recordar que los términos autónomo y empresario individual no son exactamente sinónimos. Según la tesis de la Agencia de Protección de Datos (AEPD) los autónomos solo quedarían excluidos de la aplicación de la LOPD en caso de que organicen su actividad en forma de empresa.

Este criterio coincide con el de la Audiencia Nacional que en sentencia de 21 de noviembre de 2002 considera aplicable la normativa de protección de datos vigente en el momento a profesionales liberales.

Situaciones en que puede encontrarse un autónomo respecto a la LOPD

situacion-autonomo-lopd

A la hora de establecer la obligación de un profesional autónomo de cumplir la LOPD debemos diferencias varias situaciones:

  • Autónomo que sea socio-administrador de una Sociedad Anónima o Sociedad Limitada: en este caso, a nivel personal no tiene ninguna obligación de cumplir la Ley de Protección de Datos. Es su empresa la que debe cumplirla. Él tendrá en todo caso la responsabilidad como administrador de asegurar que su empresa cumpla la LOPD.
  • Autónomo que ejerce una actividad empresarial y tiene empleados: en ese caso está obligado a cumplir la Ley de Protección de Datos, ya que es el Responsable de los datos que posee de sus empleados que son datos de carácter personal. Además es probable que recoja en su negocio otros datos personales, por ejemplo, los de sus clientes, proveedores, etc. Pero sólo por el hecho de tener empleados ya está obligado a cumplir la LODP.
  • Autónomo que ejerce una actividad empresarial pero no tiene empleados: aquí, al no tener empleados, habría que examinar si, por la naturaleza de su negocio, trata datos personales de clientes o proveedores, qué tipo de datos trata y si esos datos que maneja están organizados en ficheros o no, ya que si no tiene ficheros no estaría sometido a la Ley de Protección de Datos. En caso de que sus clientes sean personas particulares y no empresas es muy probable que tenga la obligación de cumplir la LOPD.

Obligaciones del autónomo en materia de Protección de Datos

Las obligaciones que tienen los autónomos para adaptarse a la LOPD son las mismas que el resto de empresas y que son:

  • Inscribir debidamente los ficheros en la Agencia Española de Protección de Datos.
  • Regular los tratamientos de datos que se realicen por terceros, así como las posibles cesiones de datos.
  • Elaborar el documento de seguridad con sus anexos obligatorios.
  • Imponer las medidas técnicas y organizativas que aseguren la protección de los datos personales: deben observarse de las medidas de seguridad en función del tipo de ficheros y datos que maneje.
  • Implantar las medidas técnicas y organizativas que aseguren los derechos de los afectados: adaptarse a los principios de la LOPD; facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
  • Todos los datos de carácter personal recogidos por la empresa, deben contar con el consentimiento del afectado, además de cumplir una serie de principios básicos como son: principio del consentimiento del afectado, principio de información y principio de calidad de los datos.
ejemplos proteccion de datos

Autónomos y pymes suponen el 99% del tejido empresarial español. La Agencia Española de Protección de Datos (AEPD) ha publicado nuevos materiales y recursos con los que facilitarles la adaptación al Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2016 y comenzará a aplicarse el 25 de mayo de 2018.

Consentimiento para la recogida de datos personales de autónomos

De esta forma nos encontramos con que la recogida de datos personales de profesionales autónomos que no ejerzan su actividad en forma de empresa será una actividad sometida a la LOPD. Esto genera la obligación para el responsable del fichero de obtener el consentimiento del interesado, informar sobre los derechos que le asisten, así como sobre la identidad y dirección del responsable y sobre el uso que se va a dar a esos datos.

Cuándo no es necesario el consentimiento del autónomo

La única forma de evitar tener que recabar el consentimiento es que los datos provengan de una fuente accesible al público, entre las que se incluyen en el artículo 7 del Reglamento de Protección de Datos.

Artículo 7 del Reglamento LOPD
  1. Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.

Resumen sobre los datos de autónomos en relación a la LOPD

Incluir datos de profesionales autónomos que no estén organizados como empresa en un directorio de empresas requiere el previo consentimiento informado de los interesados, salvo que los datos procedan de una fuente accesible al público en el sentido del artículo 7 del Reglamento LOPD.

Fuente (PDF): Informe 0451/2009 del Gabinete Jurídico de la AEPD

¿Eres autónomo?, cumple la LOPD

Read more


Cómo informar a los trabajadores sobre las normas de uso de internet y el correo electrónico corporativo

anexo nóminaLa cuestión es de gran importancia en el ámbito empresarial si tenemos en cuenta que ante un procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) en ningún caso se puede responsabilizar al trabajador sobre la infracción cometida (la responsabilidad final no recae sobre la persona física) y que para poder acceder legalmente por parte del empresario al correo electrónico de los empleados es requisito imprescindible haber informado previamente de las normas de uso.

¿Cómo informar a los trabajadores sobre el uso de Internet y correo corporativo?

El empresario tiene derecho a implantar las medidas que estime adecuadas para controlar el trabajo de sus empleados, pero siempre y cuando no se vulneren los derechos fundamentales de los mismos. Por lo que en ningún caso esas medidas pueden ir destinadas a “cotillear” sobre la vida privada de los trabajadores.

Es por tanto una materia que afecta de lleno al posible acceso que el empleador pueda necesitar realizar en el futuro a los datos almacenados en los equipos, ya sean los resultantes de la navegación por Internet como los derivados del uso de correo electrónico corporativo.

Posición de la AEPD

En el Informe 0464/2013 de su Gabinete Jurídico, la AEPD responde a una cuestión acerca de si es conforme a Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) la entrega a todos los trabajadores junto con la nómina de un determinado mes, de un Anexo al contrato relativo al deber de confidencialidad, así como respecto del uso de Internet y del correo electrónico para fines profesionales.

Es un informe jurídico de gran interés porque la AEPD además de responder a la pregunta, aprovecha para repasar la reciente jurisprudencia sobre la potestad del empresario para ejercer el control sobre el email y los ordenadores entregados a sus trabajadores.

En lo que se refiere a la metodología de anexar las citadas normas a la nómina de un mes, la AEPD lo considera un método adecuado, pero añadiendo que debe ser firmado por el empleado:

Y en el caso planteado, mediante la firma del Anexo al contrato de trabajo existiría una información al trabajador del uso que debe darse a este tipo de medios; la firma del Anexo es uno de los medios a través de los cuales el empresario puede probar dicha circunstancia; como podría por otro lado acreditarse mediante la aportación de otros indicios que coadyuvaran a entender cumplido este requisito, pero siendo la firma uno de ellos, totalmente lícita y admitida en Derecho.

Respecto a la potestad de control se citan varias sentencias recientes, de las que se pueden destacar estos extractos:

(...) hay que tener en cuenta que se trata de medios que son propiedad de la empresa y que ésta facilita al trabajador para utilizarlos en el cumplimiento de la prestación laboral, por lo que esa utilización queda dentro del ámbito del poder de vigilancia del empresario (...)
Por ello, lo que debe hacer la empresa de acuerdo con las exigencias de buena fe es establecer previamente las reglas de uso de esos medios –con aplicación de prohibiciones absolutas o parciales– e informar a los trabajadores de que va existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones.

Postura del Tribunal Constitucional al respecto

El Tribunal Constitucional, a través de diferentes pronunciamientos, ha intentado dar respuesta a la cuestión de cuándo una medida restrictiva de derechos del trabajador es o no vulneradora de derechos. Así una medida restrictiva de determinados derechos será legal siempre y cuando cumpla los cuatro requisitos que a continuación se relacionan:

  • Idónea: Si la medida restrictiva permite satisfacer el interés del empresario, que deberá ser específicamente conocer la conducta laboral de sus empleados.
  • Necesaria: La medida impuesta por el empresario será considerada necesaria si no existe ninguna otra que siendo menos agresiva o limitadora de los derechos del trabajador, pueda aplicarse con la misma eficacia.
  • Proporcionada: Deben derivarse de ella más beneficios para el interés general que perjuicios sobre otros valores en conflicto.
  • Justificada: Debe responder a motivaciones objetivas y no basada exclusivamente en lo que conviene al empresario, o a un comportamiento arbitrario o caprichoso del mismo.

En caso de faltar uno cualquiera de los anteriores elementos, estaremos ante una conducta que infringe un derecho fundamental.

¿Cómo deben usar los trabajadores Internet en la empresa y el correo corporativo?

Cuidado al utilizar los medios informáticos que las empresas ponen a vuestro alcance. Lo que haya en vuestro dispositivo de empresa (ordenador de mesa, portátil,smartphone, tablet…), puede estar controlado por vuestro jefe, siempre y cuando cumplan con lo establecido por la ley y la jurisprudencia. Aunque seguro que si se utilizan los medios informáticos de la empresa para uso personal, si se hace de forma responsable y/o coherente, ningún juzgado o tribunal considerará que estamos incumpliendo con nuestras obligaciones como trabajador.

¿Qué puede hacer la empresa para evitar usos indebidos de trabajadores?

Las empresas deben establecer protocolos de uso de los medios informáticos y comunicárselo a los trabajadores recabando su firma. Si se implantan esos mecanismos de control de las herramientas informáticas, es necesario informar de su existencia a los trabajadores. Y en cualquier caso, tales protocolos de uso y medidas de control deberán ser, idóneas, necesarias, proporcionadas y justificadas.

Read more


Publicación de resoluciones sancionadoras deportivas

Nos pregunta una lectora:
¿puede una federación de fútbol publicar en la web el nombre de mi hijo de 11 años y la sanción que le han impuesto por expulsarle de un partido?
Futbol infantil La respuesta la encontramos en uno de los informes jurídicos (descarga gratuita al final del artículo) de la Agencia Española de Protección de Datos (AEPD).

Read more


Grabación de asambleas de una asociación

Nos consultan en qué condiciones según la Ley de Protección de Datos (LOPD) se puede grabar las asambleas de una asociación.

Asamblea

Siendo evidente que la grabación de una asamblea recogerá la imagen de muchos de los participantes, queda claro la aplicación de la LOPD puesto que la imagen es uno de los datos de carácter personal protegidos por dicha norma.

Read more


Tratamiento por abogados de datos de la parte contraria en un proceso

Un lector nos somete la siguiente cuestión: "en unos días se inicia un proceso judicial en el que intervengo y tengo entendido que el abogado de la parte contraria ha obtenido determinados datos sobre mi sin mi consentimiento. ¿No se lo impide la LOPD?" Hablamos por tanto de la colusión de dos derechos: protección de datos y tutela judicial efectiva.

Read more


Tratamiento de datos a través de páginas web

Dentro de la sección de Informes Jurídicos de la web de la Agencia Española de Protección de Datos (AEPD) existe uno específico sobre tratamiento de datos a través de páginas web. En resumen viene a decir que en el caso de recogida de datos básicos es suficiente incluir en un formulario un enlace del tipo Aviso Legal o Política de Privacidad, pero que en el caso de datos especialmente protegidos el consentimiento ha de ser inequívoco.

Read more