Comienza la cuenta atrás para la entrada en vigor del nuevo Reglamento de Protección de Datos

El próximo día 25 de mayo entrará en vigor el Reglamento General de Protección de Datos (RGPD), implicando significativos cambios en los procesos y políticas utilizados por las empresas para la recogida y tratamiento de datos de carácter personal, tanto de sus clientes como de sus propios trabajadores.

Como consecuencia de ello, un gran número de entidades se encuentran inmersas en un proceso de adaptación de sus procesos a un nuevo marco normativo que plantea numerosas incógnitas y que, puede dar lugar a errores en el diseño de las nuevas políticas y procedimientos en el tratamiento de datos de carácter personal. La preocupación es elevada y no es para menos ya que el RGPD no olvida incluir un régimen sancionador en el que en el peor de los casos las multas pueden llegar incluso hasta los 20 millones de euros.

La nueva normativa europea sobre Protección de Datos entrará en vigor el viernes 25 de Mayo de 2018

La nueva normativa europea sobre Protección de Datos entrará en vigor el viernes 25 de Mayo de 2018.

En cuanto a las previsiones que las empresas deberán tomar para con sus empleados, se encuentra la posible obligación de tener que nombrar un Delegado de Protección de Datos, ya sea un empleado o un consultor externo que se responsabilice del cumplimiento de los procesos de recogida y tratamiento de los datos personales de los trabajadores y los clientes de la empresa, o la formación en materia de protección de datos que todos los trabajadores deben recibir antes del 25 de mayo y que implica entre otros, la obligatoriedad de conocer todas las novedades. Como puede apreciarse, se trata de una labor para la empresa que supondrá un coste significativo en muchos casos, pues dependerá de la actividad a la que se dedique la empresa y el número de trabajadores que conforme su plantilla.

Por tanto todos los departamentos de la empresa y sus trabajadores, dependiendo del grado de exposición a la privacidad se verán afectados por el RGPD. Concretamente estarán especialmente afectados los departamentos de Recursos Humanos de las empresas que realizan como es natural, tratamiento de datos personales con habitualidad de sus trabajadores, lo que conllevará un gran impacto en los procesos de las organizaciones, asumiendo estos departamentos una carga de trabajo más especializada con la necesidad de contar con expertos en protección de datos.

A modo de ejemplo y sin intención de profundizar en los pormenores del reglamento, los ámbitos en los que los departamentos de Recursos Humanos deben tener especial celo en el cumplimiento del RGPD son:

  • Tratamiento de datos biométricos: Nos referimos al registro de huella dactilar, firma digital, imágenes faciales y otros identificadores únicos que cada vez están más extendidos como forma de control de accesos a sistemas de la empresa o de control de la asistencia al trabajo, están considerados como datos especialmente sensibles.
  • Videovigilancia y control de los emails de los trabajadores: El reglamento indica que el empleador tiene derecho a controlar al empleado, aunque siempre manteniendo los principios de proporcionalidad, idoneidad e información. Es muy importante cumplir con lo dispuesto en el reglamento en cuanto a esta forma de control a la vista de la jurisprudencia que viene analizando la procedencia de estas actuaciones.
  • Fotos en la web: La imagen del trabajador es indudablemente un dato de carácter personal. Así, que la captación de fotos o la publicación de imágenes en la web corporativa de miembros de la empresa requerirá un consentimiento expreso porque tienen una función de promoción y calidad del servicio.
  • Gestión, capacitación y evaluación del desempeño: Los departamentos de Recursos Humanos trabajan constantemente con datos de los trabajadores de la empresa, datos que incluyen la gestión de nóminas, pero también otros especialmente sensibles sobre su capacitación laboral en cuanto a la vigilancia de la salud en el cumplimiento de la normativa de Prevención de Riesgos Laborales o la publicación y comunicación de sus evaluaciones del desempeño en sus puestos de trabajo.

¿Qué opinas de este nuevo Reglamento General de Protección de Datos? ¿Está tu empresa o departamento tomando las medidas oportunas para llegar a la línea de meta del 25 de mayo cumpliendo los nuevos requisitos en cuanto a protección de datos?

Pablo Aranda Valverde - Iuslaboral AbogadosPablo Aranda Valverde
Ius Laboral Abogados

Novedades en la adaptación a la LOPD para Pymes y Autónomos en enero 2016

Empezamos el año con novedades importantes en cuanto a protección de datos personales. Atención al contenido de este post.

El pasado 29 de octubre la Agencia Española de Protección de Datos (AEPD) publicó la resolución del 6 de octubre del Tribunal de Justicia Europeo anulando la regulación de Safe Harbour, sentencia por la que se establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro, tras la demanda de un activista austríaco llamado Max Schrems a Facebook por el uso de sus datos personales.

Al ser una sentencia Europea, los países miembros deben de cumplirla y hacer la modificaciones legales oportunas. La AEPD en España ha emitido un comunicado a aquellas empresas de las que tiene constancia del uso de Puerto Seguro para que procedan a su regularización indicando como fecha límite el próximo 29 de enero de 2016.

Esto significa que todas aquellas empresas o empresarios que contraten servicios con empresas que almacenan datos de ciudadanos europeos en servidores de Estados Unidos, por ejemplo, Mailchimp, Google, Facebook, Twitter, Apps, Dropbox….deben de exigirles a las mismas el cumplimiento de la sentencia del TJUE en materia de protección de datos.

Para poder solucionar dicho problema hay que cumplir unos requisitos:

  1. Comprobar si los centros de datos donde almacenan los datos están ubicados en Europa.
  2. Acogerse a una de las excepciones legalmente establecidas:

    “El artículo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no será necesaria la autorización previa de la Directora de la Agencia Española de Protección de Datos:

    – Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
    – Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
    –  Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
    – Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
    – Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
    – Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
    – Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
    – Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
    – Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
    – Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo. “

  3. Formalizar un contrato con la empresa suministradora de servicios incluyendo las cláusulas que la AEPD establece legalmente.

Aunque, en un principio, la AEPD no parece tener intención de sancionar, sería interesante actualizar la normativa de tu empresa en materia de Protección de Datos, más vale prevenir que curar.

Beatriz Gaspar García
Emede y Asociados Asesores Tributarios, SLP