Como cada 28 de Enero, hoy se celebra el Día Internacional de la Protección de Datos, una fecha que busca aumentar el conocimiento de los usuarios sobre la protección de datos y principalmente destinada a concienciar e informar sobre los derechos y obligaciones como usuarios en internet. Ante aun año atípico como este en el que el coronavirus ha cambiado nuestras vidas, las novedades en cuanto a la gestión de la normativa de protección de datos personales también nos han traído grandes novedades por lo que nos ha parecido interesante para este post recordar algunos de los aspectos que debemos tener en cuenta y que han cambiado en este último año relacionados con la pandemia:
La llegada obligatoria del teletrabajo
Si bien en algunas empresas y puestos de trabajo ya era habitual llevar a cabo teletrabajo, la llegada de esta pandemia lo hizo extensivo a todos nosotros de forma obligatoria como consecuencia del confinamiento. Este hecho supuso que, en muchas organizaciones, se abordase la llegada del teletrabajo de forma rápida y, en algunos casos, no teniendo muy en cuenta las implicaciones en cuanto a protección de datos y seguridad de la información. En este sentido, cabe recordar la importancia como Responsables de Tratamiento de abordar las medidas necesarias para proteger la información a través de políticas específicas de teletrabajo, eligiendo formas seguras de acceso remoto así como las herramientas necesarias para que la oficina pase a estar en nuestros hogares o en cualquier otro lugar pero siga protegida la información (restricciones de acceso, configuración adecuada de equipos y servidores, elección de soluciones confiables, monitorización de accesos a la red desde el exterior…). Sobre todos estos aspectos, la AEPD sacó una Guía sobre el teletrabajo tanto para empresas como para los usuarios que puede consultarse aquí.
Control del COVID en el entorno laboral
Otro de las dudas que nos surgieron dentro del entorno laboral fueron relacionadas con la gestión de la propia pandemia y, sobre todo, qué podíamos o no hacer en cuanto tratamiento de datos de positivos… ¿podemos tratar los datos de enfermos de COVID? ¿cómo llevamos a cabo este control en trabajadores? ¿se puede tomar la temperatura a quienes entran en mi comercio? Y la preocupación era lógica porque estamos ante un tratamiento de datos relativos a la salud de las personas y por tanto datos de categoría especial según el RGPD. La AEPD se pronunció en cuanto a la toma de temperatura en este post dejando algunos puntos abiertos pero también aclarando muchos aspectos como el tratamiento en el entorno laboral de estos datos y la licitud para hacerlo en base a la obligación del empleador de garantizar la seguridad y salud de las personas trabajadoras. Además, ponía en relevancia la importancia de hacer una ponderación adecuada sobre el impacto de los clientes o usuarios u otras medidas que no debemos pasar por alto en ningún momento y que no siempre se ha tenido en cuenta.
Por supuesto, este tipo de tratamiento nos lleva también a analizar otros aspectos como la obligatoria limitación de la finalidad en la utilización de estos datos personales, seguridad relativa al tratamiento de estos datos así como cumplir con los derechos y garantías que establece el RGPD como la información, plazos y criterios de conservación…
Exámenes Online y el reconocimiento facial
Aunque sea un caso específico del ámbito educativo y sobre todo de las Universidades, no podemos dejar de analizar este caso que fue muy clarificador no sólo para este caso sino para abordar muchas dudas que nos podían surgir sobre el uso de la identificación biométrica. Y para tratar este tema, la AEPD publicó un Informe Jurídico en el que se abordan los procedimientos de evaluación y nos marcaba las líneas a seguir y animaba a buscar medidas alternativas menos intrusivas que la utilización de datos biométricos o, si se llevaba a cabo la evaluación siguiendo estos métodos, buscar las suficientes garantías reforzadas. La realización de exámenes universitarios online sigue actualmente con la polémica activa de si deberían hacerse o no exámenes presenciales y, si se hacen de forma online, qué medidas deberíamos abordar para que los procedimientos de evaluación sean equiparables. Sin duda un punto que todavía dará mucho que hablar.
Una verano movidito
La llegada del verano nos trajo cambios importantes en cuanto al cumplimiento RGPD si bien no directamente relacionadas con la pandemia actual pero sí muy importantes para todas las organizaciones. Por una parte, las Directrices sobre el consentimiento expreso fueron revisadas por parte del Comité Europeo de Protección de Datos (Directrices 5/2020) en el mes de mayo lo cual llevó a la AEPD a actualizar su Guía de Cookies con el fin de corregir la opción de “seguir navegando” como forma de consentimiento expreso quedando la misma prohibida así como la posibilidad de limitar el acceso a contenidos o servicios a usuarios que acepten el uso de cookies. Tras esta actualización, no pueden utilizarse muros de cookies que no ofrezcan una alternativa al consentimiento. En este sentido, si aún no habéis revisado vuestras políticas de cookies, os recomendamos hacerlo cuanto antes.
Por otra parte, llegó la Sentencia Schrems II sobre el Escudo de Privacidad entre Estados Unidos y la Unión Europea (el conocido como Privacy Shield) considerándose inválida la decisión de adecuación del escudo de privacidad dado que los requisitos del Derecho nacional estadounidense y más concretamente algunos programas existentes, permiten a las autoridades de los Estados Unidos acceder a datos personales transferidos desde la UE con fines de seguridad nacional, existiendo así limitaciones a la protección de datos personales que no están circunscritos de un modo que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión.
Esta sentencia, lleva a las empresas que hacían transferencias internacionales a empresas estadounidenses adheridas al Escudo de Privacidad qué hacer ahora dado que estas transferencias pasaron a ser ilegales. Pues bien, en espera de una solución mejor que de momento no ha llegado, se nos ofrecen diferentes tipos de soluciones como la utilización de Cláusulas Contractuales Tipo (CCT) evaluando en cada caso que existen las salvaguardas adecuadas. Otra opción es utilizar Normas Corporativas Vinculantes (NCV) e igualmente aplicar salvaguardas adecuadas. Por tanto, y si no lo hemos hecho ya, debemos analizar los flujos actuales en nuestra empresa con destino a Estados Unidos y revisar las bases por las que se sustentaban estas comunicaciones y comprobar las CCT o NCV existentes y cuáles son las medidas adicionales que debemos aplicar.
Seguramente, en un año tan movido como el último, existen muchos más hitos importantes en cuanto a protección de datos se refiere pero no podemos añadir todos y el post ya nos ha quedado demasiado extenso. Por mencionar un aspecto relevante, no debemos olvidar la Guía de Protección de Datos por Defecto de la que hablábamos aquí.
Sólo nos queda desearos un Feliz Día Internacional de la Protección de Datos y animaros a hacer una revisión completa de vuestro cumplimiento. Como veis, siempre hay cambios importantes y debemos estar atentos para poder cumplir adecuadamente y proteger la información con la que trabajamos. Manos a la obra.
