El pasado 5 de noviembre de 2019 se publicó en el BOE el Real Decreto-ley 14/2019, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Entró en vigor al día siguiente de su publicación e incorpora novedades que deben ser tenidas en cuenta por las administraciones públicas a la hora de contratar servicios a entidades que tratarán datos personales y a no trabajar con servidores ubicados fuera de la UE.
Introduce diversas modificaciones en la Ley de Contratos del Sector Público, que deben tenerse en cuenta en futuras contrataciones:
– Los contratos públicos que a partir de ahora se suscriban deberán incorporar la referencia expresa al sometimiento a la normativa nacional y de la Unión Europea en materia de protección de datos (esencialmente Ley Orgánica 3/2018 y Reglamento (UE) 2016/679, General de Protección de Datos).
– Los pliegos deberán incluir diversas menciones cuya omisión determinará la nulidad del contrato. Entre ellas:
La obligación general del contratista de respetar la normativa en materia de protección de datos
Cuando se le cedan datos personales para ejecutar el contrato, la finalidad para la cual se le cederán tales datos
La obligación de dicho contratista de mantener a la Administración contratante al corriente de la ubicación de los servidores en los que se alojarán los datos cedidos con motivo de la ejecución del contrato, y desde dónde se van a prestar los servicios asociados a los mismos.
– Se añade una nueva prohibición de contratar con el sector público. Así, cuando una empresa haya sido sancionada con la resolución de un contrato público por incumplir las normas sobre protección de datos, dicha empresa no podrá temporalmente volver a contratar con la Administración.
– En caso de que se recurra a la subcontratación, el contratista principal será quien asuma la total responsabilidad de la ejecución del contrato frente a la Administración, también en lo que respecta a este ámbito de la protección de datos
Recuerda firmar los contratos de encargado del tratamiento con los proveedores de servicio con acceso a datos personales y ser diligente a la hora de seleccionar a esos proveedores teniendo en cuenta estas novedades.
Como DPO de varios Ayuntamientos (y también por mi condición de mujer) me han resultado muy interesantes varios informes que la Agencia Española de Protección de Datos ha publicado en relación al ejercicio de competencias dentro de los servicios sociales en violencia de género.
Esto supone un tratamiento de datos «muy sensibles» por parte de los Ayuntamientos. Voy a intentar aclarar algunos puntos que plantean ciertas dudas a los profesionales que gestionan toda la información que se genera y que pueden ser bastante comunes en los Servicios Sociales de los Ayuntamientos encargados de estos temas.
¿Qué medidas de seguridad se deben adoptar?
El Nuevo Reglamento Europeo (RGPD) no recoge un listado concreto de medidas de seguridad tanto técnicas como organizativas como hacía la antigua LOPD. El RGPD deja que sea el Responsable del Tratamiento (en este caso el Ayuntamiento) junto con del Delegado de Protección de Datos (DPO) quienes determinen las medidas necesarias para mantener la seguridad y confidencialidad de los datos manejados teniendo en cuenta lo indicado en el artículo 32 RGPD. En cada Ayuntamiento concreto estas medidas serán distintas en función de como se traten los datos y de las medidas que ya se hayan adoptado pero a mi entender son comunes:
1. Minimización de datos : Los datos recogidos en los formularios, informes o fichas son particularmente sensibles (datos del agresor, víctima, lesiones o situaciones p.e. de discapacidad…). No deben recogerse datos que no sean necesarios en relación con los fines para los que van a ser tratados. Debe cumplirse con el principio de «minimización».
2- Comunicaciones vía email cifradas: Normalmente algunos de los datos, informes, etc. se van a transmitir vía email a otras administraciones públicas y/o profesionales implicadas en el proceso. Deben aplicarse medidas tanto técnicas como organizativas para evitar el acceso no autorizado y mantener la confidencialidad e integridad de los datos. Deben aplicarse como mínimo técnicas de cifrado.
3- Reducir al mínimo necesario las cesiones: En cuanto al recorrido que realizan estos datos a otros órganos y/o profesionales deben reducirse los escalones a seguir en esos envíos reduciendo así también el riesgo de dispersión de los mismos.
¿Se pueden ceder esos datos a otros profesionales y/o administraciones?
Cuando un juez dictamina que se deben adoptar medidas de protección (de seguridad o de asistencia social, jurídicas, sanitarias, psicológicas o de cualquier índole) se establece un sistema integrado de coordinación administrativa que agilice y garantice las comunicaciones entre los diferentes profesionales implicados.
Por lo tanto esta cesión de datos es necesaria por razón de interés público esencial y existe una base legitimadora según el artículo 6.1.e) del RGPD para realizar estas comunicaciones de datos.
¿Y si piden los datos recogidos por los sistemas de seguimiento telemático?
A veces las Fuerzas y Cuerpos de Seguridad del Estado solicitan al centro de control del sistema (COMETA) datos de los usuarios (víctimas o inculpados) recogidos por los sistemas de seguimiento telemático (pulseras con gps, etc.)
Estos requerimientos deben atenderse pero cumpliendo los siguientes criterios:
1- Solicitud de datos concretos, específicos y motivados: Las solicitud debe ser para un caso concreto y debe resultar necesaria para:
Prevención de un peligro real y grave las la seguridad pública
ó
Para la represión de infracciones penales
2- Absolutamente necesarios: Al tratarse de datos «especialmente protegidos» deben comunicarse sólo los absolutamente necesarios para los fines de la investigación concreta.
3- Conservación: Los datos deberán ser cancelados cuando no fueran necesarios para la averiguación que motivó su petición
4- Mejor por escrito: No es requisito imprescindible que la petición sea por escrito (a veces la urgencia puede impedirlo y se hace por teléfono con la dificultad seguramente de necesitar grabar esa solicitud de información y no poder hacerlo) pero siempre será, desde el punto de vista de la prudencia valorativa y probatoria, la mejor forma.
¿Y qué pasa con el derecho de acceso?
No se deben facilitar datos que puedan afectar negativamente a los derechos y libertades de otros. Por lo tanto (al menos en la mayoría de los casos) NO se podrán facilitar copias de los datos.
La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente un nuevo informe jurídico en relación a una consulta recibida que les planteaba diferentes cuestiones relativas a la publicación de las calificaciones de asignaturas impartidas en los estudios de Grado. Voy a desarrollar los puntos más clarificadores para mi de este informe….
1- Lo primero que se debe establecer es si el hecho planteado, es decir, la publicación de las calificaciones obtenidas por los alumnos, está sometida a la actual normativa de protección de datos
1.1 ¿Cuál es esa normativa?
Actualmente
debemos aplicar el Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos (RGPD), plenamente aplicable desde el 25 de Mayo de
2018 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (LOPDGDD).
1.2 ¿Qué son según esta normativa datos personales?
Lo define el mencionado Reglamento en el artículo 4.1 como “toda información sobre una persona física identificada o identificable (“el interesado”); se considera persona física identificable toda persona cuya identidad puede determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”
En
este caso se publica por lo menos el nombre y apellidos y la nota obtenida,
por lo tanto está claro que son datos personales y que se identifica a la
persona.
1.3 ¿Hay además tratamiento de esos datos personales?
En ese mismo artículo 4.1 del Reglamento se define tratamiento como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
Por
lo tanto, está claro que la publicación de las calificaciones de los
alumnos, contiene datos personales y que
además esos datos se tratan ya que se estructuran, difunden, etc. con lo
que hay tratamiento de datos personales.
2- Ahora se debe revisar la base legitimadora, es
decir, ¿pueden las Universidades tratar esos datos y publicarlos en base a
alguno de los supuestos recogidos en el artículo 6 que legitiman el
tratamiento?
2.1 ¿Sería el consentimiento de los alumnos una base legitimadora válida?
Con la entrada en vigor del RGPD en relación al consentimiento queda mucho más claro cuando puede ser válido y cuando no. En el considerando 42 señala que “El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno” y además en el 43 añade que “Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido par el tratamiento de daos de carácter personal en un caso concreto en el que exista un desequilibrio claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular”.
Por
lo tanto podemos concluir que en este caso al tratarse de una Universidad
pública y que estamos hablando además de un alumno parece claro que el
consentimiento con el nuevo paradigma no es válido.
2.2 ¿Entonces qué otra base legitimadora puede ser correcta?
Vámonos
a la normativa sectorial, a ver si hay una base legal que legitime el
tratamiento.
El artículo 1.1 de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades califica a la educación superior como un servicio público, por lo tanto la publicación de las calificaciones universitarias encontraría su base jurídica en los previstos del artículo 6.1.e) del RGPD ya que el tratamiento es necesario para el cumplimiento de una misión pública o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
Además
las calificaciones obtenidas van a tener incidencia ya que en la consulta se
indica que se van a otorgar un número de matrículas de honor limitado y se van
a conceder premios extraordinarios. Por lo tanto también puede haber un interés
legítimo de los alumnos del grupo en conocer las calificaciones de sus
compañeros, al amparo del artículo 6.1.f) del RGPD
3- Conclusiones
Se
tratan datos personales de los alumnos en base al cumplimiento de una misión
pública o en el ejercicio de poderes públicos y además puede haber un interés
legítimo de los alumnos en conocer las notas del resto de los compañeros como
ya hemos explicado anteriormente. De este modo el tratamiento de datos está
amparado por la normativa actual y no es necesario (ni sería válido) el
consentimiento de los alumnos para realizar la publicación de las
calificaciones pero debe cumplirse además:
El principio de minimización
Limitación de la finalidad
Limitación del plazo de
conservación
Proteger la integridad y
confidencialidad de la información
Por lo tanto la publicación es correcta pero debe realizarse teniendo en cuenta:
¿Dónde?: De forma que sólo los interesados (alumnos de ese grupo) tengan acceso a las calificaciones. P.e. a través de una intranet o aula virtual con acceso limitado a profesores y alumnos del grupo. Tablones de anuncios en una zona que no sea de acceso público adoptando medidas que eviten que el público en general tenga acceso a la publicación.
¿Qué datos publicar?: Los estrictamente necesarios, es decir, nombre, apellidos y calificación. En el caso de que haya alumnos con mismo nombre y apellidos, se publicarán cuatro cifras del dni aleatorias (nie, pasaporte…). Deben seguirse en este caso las orientaciones publicadas por la AEPD para Administraciones Púbicas que comenté en este otro post. Os dejo el enlace…
Tiempo de publicación: Mientras transcurra el plazo para presentar reclamaciones para las calificaciones provisionales. Para las definitivas el tiempo imprescindible que permita garantizar su conocimiento por todos los interesados.
Disponer del consentimiento y poder demostrar que se ha obtenido correctamente es, sin duda, uno de los riesgos prioritarios a subsanar para dar cumplimiento al RGPD (Reglamento General de Protección de Datos)
¿Cuáles son los hechos?
La AEPD ha hecho pública la primera sanción a una AMPA (Asociación de padres y madres de alumnos) por no contar con el consentimiento de los padres o tutores para sacar fotos a los menores y realizar un calendario con el fin de comercializarlo. El consentimiento sólo se había otorgado al Colegio, no al AMPA.
Debemos tener en cuenta que al tratase de menores de 14 años (en esto aplica la LOPDGDD que deja la mayoría de edad en 14 años como la antigua LOPDGDD) según el art. 8 del RGPD el consentimiento debe ser otorgado por los padres o tutores y además aplica también el art 6.1 ya que no se pueden realizar fotos ni tratarlas si no se dispone de ese consentimiento ya que no aplica ninguna otra excepción en este caso de las recogidas en el artículo 6.1 que legitime este tratamiento.
Finalmente la sanción se queda en un apercibimiento
Finalmente se apercibe al AMPA (ya que ha adoptado medidas adecuadas para subsanar las deficiencias y no tenía denuncias anteriores) por una infracción del art. 6.1 del RGPD en relación con el art. 8 del RGPD. Podéis leer el procedimiento completo en https://www.aepd.es/resoluciones/PS-00089-2019_ORI.pdf
La figura del DPO en los Colegios
Aplicando el art. 37 del RGPD y el 34.1.b de la LOPDGDD (nueva ley española LOPD) los Colegios son sujetos obligados a disponer de un DPO.Ese mismo DPO podría asesorar al AMPA del Colegio para intentar evitar situaciones de este tipo y dar formación.
Primera sentencia que se dicta en España sobre los requisitos para la validez como prueba de las grabaciones de video-vigilancia en el control empresarial de la actividad de los trabajadores, aplicando e interpretando el Reglamento Europeo de Protección de Datos y la nueva norma española, la LO 3/2018, de 5 de diciembre, sobre Protección de Datos Personales y garantía de los derechos digitales.
Ya no vale sólo con colgar el cartel de video-vigilancia
Si se pretende poder utiliza (llegado el caso), las imágenes recogidas por el sistema de video-vigilancia como prueba en un juicio por despido, no vale sólo con tener colocado en lugar visible el cartel informativo que todos estamos más o menos acostumbrados a ver.
Según se indica en la sentencia el deber informativo sobre el alcance de las medidas de video vigilancia, incluyendo la finalidad sancionadora, es una exigencia que se impone en todo caso, más allá de la mera colocación del cartel informativo, conforme a la jurisprudencia del Tribunal Europeo de Derechos Humanos y el propio Reglamento General de Protección de Datos, que obligan a su aplicación y a interpretar la propia normativa nacional en los términos que exige el TEDH y que se derivan del Reglamento Europeo, dotado de eficacia directa y primacía frente a la norma nacional que contradiga su contenido, teniendo en cuenta que en dicho reglamento no se establece excepción alguna al deber de transparencia e informativo en materia de protección de datos aplicable a las relaciones laborales. Por eso, el juez español debe aplicar el reglamento europeo con preferencia a la regulación nacional .
¿Cómo debe actuar la empresa para estar cubierta?
1- Debe colgar el cartel
2- Debe informar a los empleados de forma previa, clara, precisa y concisa de la existencia de las cámaras y de la finalidad. Es decir debe informarse a los empleados de que las imágenes pueden utilizarse para despedir o sancionar a los trabajadores cuando captan un acto ilícito -como sería no sólo un delito o una infracción administrativa, sino también un incumplimiento laboral.
Podeis leer más sobre esta interesante sentencia aquí.
La AEPD, junto con el resto de órganos de control autonómicos, publica unas orientaciones destinadas a las Administraciones Públicas. Para identificar a los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos se incluye nombre, apellidos y cuatro cifras aleatorias del documento oficial de identidad. ¿Pero…qué cuatro cifras? :
Dado un DNI con formato 12345678X, se publicarán los dígitos que en el formato que ocupen las posiciones cuarta, quinta, sexta y séptima. En el ejemplo: *4567.
Dado un NIE con formato L1234567X, se publicarán los dígitos que en el formato ocupen las posiciones, evitando el primer carácter alfabético, cuarta, quinta, sexta y séptima. En el ejemplo: ***4567.
Dado un pasaporte con formato ABC123456, al tener sólo seis cifras, se publicarán los dígitos que en el formato ocupen las posiciones, evitando los tres caracteres alfabéticos, tercera, cuarta, quinta y sexta. En el ejemplo: *****3456
KASIK 