Rostain y Mouron, dos famosos fotógrafos franceses, fueron noticia hace tiempo por un trabajo ciertamente curioso. Se dedicaron a recoger y fotografiar basura de famosos, de celebrities (Antonio Banderas, Elizabeth Taylor, Ronald Reagan, etc..). La idea era conocer a estas personas a través de sus desechos, mostrándolos visualmente. Pues bien, el Ayuntamiento de San Sebastian ha decidido conocer a aquellos vecinos que incumplen la normativa en materia de recogida de basuras (horarios, lugares y forma de depósito, etc). Y para ello nada mejor que fisgar en tu bolsa de la basura.

El municipio donostiarra ha creado una brigada de inspectores, que vigile e informe al respecto. Y por lo que ha trascendido, su celo ha llegado al punto de investigar en las bolsas de basura para conocer, apercibir o sancionar al presunto infractor, lo que ha creado bastante desasosiego y polémica, al punto de que parece que, en estos extremos, han echado marcha atrás. Ahora bien, me ha parecido sumamente oportuno el post de Iurismática sobre las posibles vías de defensa de los comerciantes (u otras personas) afectadas por estos hechos, que se reducen a dos.

Por un lado tenemos todo el tema de la LOPD y su posible vulneración. En este punto, como en los chistes, hay una noticia mala y una buena. La mala es que debemos tener cuidado nosotros con los datos personales que vamos dejando por ahí, pues no sería la primera vez que la Agencia de Protección de Datos sanciona a empresas que van dejando datos personales abandonados en la basura (volveremos al final del post sobre este punto). La buena, es que si tu ayuntamiento genera un fichero con dichos datos, el paquete fijo que también le cae a él.

La otra posibilidad de defensa es invocando la vulneración de nuestro Derecho a la intimidad, fijado en el 18 de la Constitución Española. La clave, como señala Jorge Campanillas es saber si dicho derecho se extiende a nuestra basura. El entiende que si, y los comentaristas de su post nos dan alguna pista para reforzar esta interpretación garantista, como es carácter y finalidad del servicio público de basuras. Por cierto, que como es evidente por el ejemplo citado en la introducción del post, esta interpretación no es la aplicada en los EEUU:

Dicho lo cual, mi consejo práctico es que se cumpla la normativa. Y que todos los profesionales y empresario tengan una destructora de papel por lo que pase cualquier tipo de documento a desechar. Y si nuestro volumen de negocio nos obliga io nos lo permite, que contratemos empresas especializadas en la destrucción documental.

Vía | Iurismática
En Pymes y Autónomos | Los datos sensibles en la LOPD

El Tribunal Superior de Justicia de la Región de Murcia ha fallado a favor de la empresa en un litigio que mantenía con los trabajadores en relación a una denuncia de éstos por entender que la recogida de huellas para un nuevo control de acceso al centro de trabajo vulneraba sus derechos.

La empresa decidió implantar dicho control de acceso para el que se utilizaba un sistema de digitalización de las huellas dactilares. Los representantes de los trabajadores no estuvieron de acuerdo con ese sistema y denunciaron el hecho por dos motivos, uno por la posible vulneración de los derechos de los trabajadores por intromisión ilegítima de su intimidad, y otra por una vulneración de la LOPD.

El fallo determina que “ la captación por un sistema electrónico de determinados parámetros biométricos de la huella digital no reviste caracteres de intromisión ilegítima en la esfera de la intimidad, tanto por la parte del cuerpo utilizada, como por las condiciones en que se usa, pues no existe constancia de la utilización de tales datos para fines diversos y porque con ocasión de la lectura de la huella digital no se puede ver la imagen de la huella ni puede ser captada por terceros, quedando todos los datos del sistema guardados en los ordenadores de la empresa a efectos de su custodia,”

En lo que respecta a la LOPD, la Ley indica que para el tratamiento de los datos de carácter personal se exige el consentimiento inequívoco del afectado, algo que en este caso no se produce. Pero, como excepción, se establece que no será preciso ese consentimiento cuando los datos de carácter personal se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa.

En el momento en que los trabajadores fueron contratados y facilitaron sus datos personales a la empresa éstos ignoraran que habrían de ser utilizados para el control de su acceso a las instalaciones y, concretamente, con ocasión de la instalación del nuevo sistema de control, deberían somerterse a la captación y digitalización de sus huellas, sin embargo todos los trabajadores fueron informados de la implantación del nuevo sistema de acceso por lo que no se aprecia vulneración alguna de la LOPD.

La sentencia concluye que “no se aprecia que los trabajadores afectados por la entrada en funcionamiento del nuevo sistema de control de acceso hayan perdido el poder de control y disposición sobre sus datos personales, integrado por los derechos que corresponden a los afectados a consentir la recogida y el uso de sus datos personales a conocer los mismos y, para hacer efectivo ese contenido, el derecho a ser informado de quién posee sus datos personales y con qué finalidad, así como el derecho a oponerse a esa posesión y uso exigiendo a quien corresponda que ponga fin a la posesión y empleo de tales datos”.

En Pymes y Autónomos | Recabar el consentimiento para cumplir la LOPD
Imagen | Olivampo

La Ley de Protección de Datos regula en su artículo 11 la cesión de datos a terceros. Como regla general, sólo será posible para fines directamente relacionados para los cuales fueron recabados, pero siempre con el consentimiento previo del interesado, que puede revocar dicho consentimiento.

Además hay que tener en cuenta que ese consentimiento será nulo si no se informa al mismo sobre la finalidad a la que van a ser destinados.

Sin embargo la Ley contempla una serie de excepciones a la necesidad del consentimiento. Entre ellas cuando esa cesión esté autorizada por una Ley o norma de derecho comunitario o si han sido recogidos de fuentes accesibles al público.

También se exceptúan los casos en los que los datos formen parte de un procedimiento de una relación jurídica. Por ejemplo en una compra-venta de una vivienda, la cesión de los datos a la Notaría o al Registro de la Propiedad.

Tampoco les afectarán a las transmisiones de datos entre administraciones públicas cuando tengan por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos o se recojan en el ejercicio de las funciones propias de las administraciones públicas en el ámbito que le atribuya una norma con rango de ley o una norma de derecho comunitario.

Así mismo cuando los datos tengan por destinatarios al Defensor del Pueblo, el Ministerio Fiscal o los jueces o Tribunales de Cuentas o sus análogos autonómicos en el ejercicio de sus funciones. Si los datos están relacionados con la salud, se exceptuará el consentimiento cuando los datos sean necesarios para solucionar una urgencia o para realizar estudios epidemiológicos en los términos que estén establecidos por la legislación sobre la materia.

Por último, cuando el tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del fichero, siempre que esté amparado por una ley o una norma de derecho comunitario.

En Pymes y Autónomos | Recabar el consentimiento para cumplir la LOPD
Imagen | b r e n t

Para la Ley de Protección de Datos, los datos sensibles son aquellos que tienen una especial influencia en los derechos fundamentales, la intimidad y las libertades públicas de los individuos.

Esos datos han de ser especialmente protegidos. Los datos sensibles se refieren a la ideología, afiliación sindical, creencias religiosas, origen racial, salud, vida sexual o a la comisión de infracciones penales o administrativas.

Con respecto al tratamiento de los datos sensibles, el responsable del fichero ha de tener en cuenta varios condicionantes. En cuanto a su ideología o creencias religiosas, el responsable de los datos ha de informar al interesado, en el momento de recabar el consentimiento, de su derecho a no dar información sobre esos temas.

El tratamiento de los datos personales que releven la ideología, religión, creencias o afiliación sindical sólo podrán realizarse si media consentimiento expreso y escrito del afectado. Sólo se exceptúan los ficheros mantenidos por partidos políticos; iglesias; confesiones o comunidades religiosas; sindicatos o asociaciones, fundaciones y otras entidades sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical, en lo que se refiere a los datos de sus asociados o miembros, sin perjuicio de que la cesión de esos datos precise siempre del consentimiento del afectado.

Los datos de caracter personal que se refieran al origen racial, la salud o la vida sexual sólo podrán ser recabados, tratados o cedidos por razones de interés general, cuando así lo disponga una ley o si el afectado consiente expresamente a ello.

Queda expresamente prohibida la creación de ficheros de datos cuya finalidad exclusiva sea almacenar información sobre la ideología, creencias religiosas, origen racial o vida sexual.

Los datos de caracter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones competentes en los supuestos previstos por las normas reguladoras.

En Pymes y Autónomos | Recabar el consentimiento para cumplir la LOPD
Imagen | JF10

La Asociación Profesional de Privacidad de Castilla-La Mancha, ha publicado los datos de su último estudio sobre el cumplimiento de la LOPD, obteniendo un resultado alarmante: el 95% de las empresas incumplen la ley vigente.

Tal y como mostramos en el gráfico que encabeza este artículo, el 70% de las infracciones cometidas tienen carácter de graves y muy graves. Las fuertes sanciones previstas para estos casos podrían acabar con muchas de estas empresas, pymes en su mayoría: 40.001 € – 300.000.00 € para las graves y 300.001 € – 600.000 € para las muy graves.

El análisis ha sido realizado en Albacete sobre 200 empresas, pero los datos podrían ser fácilmente extrapolables al resto del país.

El mayor problema radica en la mala praxis de las empresas prestadoras de servicio de protección de datos, que amparados en los servicios de bajo coste, prescinden de las consultorías e inclumplen puntos muy importantes de la ley.

Una práctica que se ha detectado es la implantación de sistemas a cargo de los fondos de la fundación tripartita, pero también por la existencia de empresas fraudulentas que se presentan como agencias de protección de datos, cuando en realidad no cumplen los requisitos para realizar tal labor. Como resultado, las principales infracciones detectadas en las empresas son:

• El Documento de Seguridad del 97% de las empresas estudiadas no posee los contenidos básicos exigidos por el Reglamento. En su mayoría se debe a no adaptarse a las novedades legales, como la aplicación de normativas derogadas como el Real Decreto 994/1999 de 11 de Junio. Esto refleja una falta de control y actualización por parte de las empresas que prestan los servicios de protección de datos.
• El 85% no poseen los compromisos de confidencialidad de los trabajadores ni los tienen firmados.
• El 70% no tienen firmados los contratos de tratamiento de datos por cuenta de terceros (Art. 12.2 de la LOPD).

• El 90% no tienen disponible en su Web la información del Aviso Legal o La Política de Privacidad o está se encuentra incompleta (Art. 10 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico).

Observando las sanciones económicas y estos niveles de incumplimiento, es recomendable contar con un buen sistema de consultoría, pues la existencia de malas prácticas podrían acabar con nuestro negocio. Una normativa activa requiere de un esfuerzo continuo de adaptación, aunque los que nos prestan el servicio no siempre parecen hacerlo de manera eficiente.

Más información | Estudio sobre el cumplimiento de la legalidad vigente sobre Protección de Datos
En Pymes y Autónomos | La Agencia de Protección de Datos también sanciona a Pymes, Protección de datos
Imagen | APCLM

En el caso de que este hombre publique estos datos personales de sus clientes y no cuente con el consentimiento expreso de los mismos, extremo que dudo bastante que esta tienda tenga, la denuncia ante la Agencia de Protección de Datos le puede puede acarrear una sanción mínima de 600 euros y puede llegar incluso a los 60.000 euros por incumplimiento del deber de secreto que fija la propia LOPD.

Tal y como hemos comentado en multitud de ocasiones, la legislación española en materia de protección de datos es muy estricta al igual que es mucho más laxa en materia de morosidad y sistemas de recobro de deudas. En esta situación, recurrir a la publicidad y exponerse a sanciones es un verdadero error, dado que la sanción puede ser mucho mayor que las cantidades que persigue cobrar.

El intento de cobro proactivo, insistir con sus morosos, recurrir a las llamadas telefónicas e incluso la búsqueda de estas personas, puede dar mejores resultados que el cartel en la tienda. Este tipo de acciones persiguen avergonzar al moroso y en muchas ocasiones, aunque se publiquen los nombres y cantidades debidas, ni siquiera se consigue el efecto denigrante que se persigue mediante la publicidad.

En Pymes y Autónomos | El derecho al honor y los registros de morosos, La empresa más rentable del mundo, Aportaciones de la morosidad
Imagen | Landahlauts

Hace unos días, nuestros compañeros de Tecnología Pyme publicaban un post sobre el correo electrónico, ¿propiedad de la empresa o del trabajador? en relación al carácter público o privado del correo electrónico que la empresa pone a disposición de sus trabajadores.

El correo electrónico de la empresa es de uso laboral y la empresa está legitimada para acceder al contenido de la cuenta de correo electrónico de un trabajador. La empresa no necesita el consentimiento de los trabajadores para poder acceder a esas cuentas, independientemente de que el trabajador pueda hacer uso de las mismas para asuntos personales.

Lo que sí debe tener en cuenta la empresa es que, en virtud del artículo 5.1 de la LOPD, debe informar previamente al trabajador de este aspecto y fijar las reglas de uso de esas cuenta de correo, así los trabajadores sabrán claramente cómo deben utilizar esas cuentas, los controles que la empresa puede establecer para asegurarse de que se cumple ese uso e incluso contemplar la posibilidad de que en ausencia del trabajador se pueda acceder a la información contenida en esas cuentas.

Supongamos que a causa de una enfermedad, vacaciones o cualquier otro motivo, el trabajador esté varios días sin ir al trabajo, y que en su cuenta de correo electrónico se pueda recibir información importante para la actividad de la empresa. Si las normas internas de uso del correo electrónico así lo reflejan, se podría acceder en su ausencia a esa cuenta de correo para comprobar los mensajes recibidos.

El trabajador tiene derecho al respeto a su intimidad, pero ese respeto no incluye la privacidad de las cuentas de correo electrónico de la empresa cuando así está establecido en sus normas de uso. Ese deber de información de la empresa al trabajador puede cumplirse mediante una cláusula incluida en el contrato de trabajo o incluso mediante una circular a todo el personal de la empresa que detalle cómo se regula la utilización del correo electrónico corporativo.

Por tanto, cumpliendo el deber de información previo, el correo electrónico de la empresa tiene carácter público. La empresa puede acceder a la información almacenada en esas cuentas y es responsabilidad del trabajador la utilización de las mismas para otros fines que no sean los meramente laborales.

En Pymes y Autónomos | Dos años de cárcel a dos empresarios por usar el correo electrónico personal de una trabajadora
Imagen | Robert Scoble

Reconozco que he sido muy escéptico inicialmente con la cifra que aporta el informe de de Affirma, consultora que ha llevado a cabo este estudio pero me he autoconvencido cuando he comprobado las estadísticas de inscripción de ficheros en la ADP. A cierre de septiembre, los ficheros inscritos tienen el siguiente detalle:

Como vemos, cada empresa inscribe una cantidad distinta de ficheros, pero podemos estimar que puede andar entre 4 y 10 ficheros por empresa inscritos. Con estas cifras, las empresas tenemos que tomar conciencia de la importancia que tiene cumplir con este trámite.

Os remito para la información necesaria al especial de la LOPD que realizan nuestros compañeros de Tecnología Pyme, con la inestimable ayuda de Jesús Pérez para que nuestra empresa pueda cumplir con esta pesada carga administrativa también.

Vía | El Pais
En Pymes y Autónomos | Especial sobre la LOPD en Tecnología Pyme
Imagen | Sergis Blog

Pero también se remarcan situaciones que pueden complicar el uso de los datos, entre ellas, que sólo se le da validez de la cesión a los trabajadores efectivamente cedidos, con lo cual, si en mi TC2 aparecen 10 trabajadores, pero sólo 5 son los cedidos ¿cómo podemos solucionar el problema?

La mejor opción a la que podemos recurrir es a la autorización para cesión de datos por parte de todos los trabajadores. Esta autorización se recoge en un documento, por escrito, que contemple el alcance de la cesión de datos a realizar, cubriendo a la vez todas las hipotéticas situaciones que pueden provocar una cesión de datos no contempladas por ley.

Para facilitar la tarea de confección del documento os dejo un modelo estandarizado para vuestro uso, sólo con personalizar el nombre de la empresa, trabajador, fecha y firma.
CLAUSULA Para to Expreso LOPD
Más Información | Descarga del modelo en forrmato DOC
En Pymes y Autónomos | Cesión del TC2 al contratista y protección de datos
Imagen | Bixentro

En nuestro blog hermano El Blog Salmón reflexionaba acerca de asombrosas diferencias. Frente al nadie conoce a nadie de las operadoras de móvil y los negocietes de los SMS, en el resto de los sectores se generalizan una serie de responsabilidades subsidiarias o solidarias en cadena. Que se lo digan a aquellos de vosotros que pretendan trabajar como pymes para un centro comercial o dentro de una obra. Tenéis que entrar con los TC2 de vuestros empleados en la boca, el contratista tiene que tener claro que estáis al corriente de pago ya que si no será a él al que le caiga el marrón, según el art. 42.2 del Estatuto de los Trabajadores:

El empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata.

¿Y cómo ponemos esto en relación con la LOPD? En este punto chocan dos autenticas corrientes legales de moda que amenazan con destruir el día a día de las pymes.

Llegado este punto, la Agencia Española de Protección de Datos nos recuerda el Reglamento de la LOPD, concretamente el 10.1, y reconoce que hay supuestos en que no es necesaria la autorización del titular de los datos para su cesión:

a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre. El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

Por tanto, sin problemas, es perfectamente viable dicha cesión sin autorización previa, pero ojo, nos recuerda que:

• Dicha autorización legal sólo es valida para los datos de los trabajadores efectivamente cedidos, no de todos los de la empresa.

• Debe comunicarse dicha cesión a a estos trabajadores.

Creo que la solución esra fácil esta vez, al margen quizás del primero de estos dos ultimos avisos (ojo, que se nos puede colar dicha información): por mi parte, me parece más difícil dirimir otra cuestión. ¿Puede McDonalds seguir colgando la foto y el nombre del empleado del mes sin su autorización?, ¿pueden las agencias de seguros o las inmobiliarias hacer públicos al resto de la plantilla los resultados de producción de sus comerciales? Teniendo en cuenta otras tomas de postura del mismo organismo me echo a temblar.

Vía | leydeproteccióndedatos.blogspot.com
Más información | Informe Jurídico 0412/2009 de la AEPD
En Tecnología Pyme | guía LOPD
En Pymes y autónomos | LOPD – Análisis y novedades
Imagen | bionicteaching