Actualización de los posts más leidos del 2019 (y bonus track)
La ya tradicional entrada navideña tipo #Cachitos, viene bien para investigar qué es lo que más os interesó en el Blog este año.
No quería liarme mucho pero… me he liado.
Indice
1.- Videovigilancia y RGPD: ocho preguntas sin respuesta.
Vaya, un post de 2018. Y anterior a la Guía de Videovigilancia de la AEPD.
En este post se leen cosas que contradicen frontamente lo que dice esa guía: por ejemplo, que las cámaras «voluntarias» de videovigilancia dispuestas por empresas privadas se legitiman en la base del interés legítimo, no en el interés público.
Y lo mantengo: ciertamente, se podrían legitimar en el interés público «delegado» (me ahorro la rima). Más aún si la AEPD me lo pone en bandeja.
Peeeeeero, lo cierto es que:
1.- Lo puedes encajar en la que quieras, aunque el interés publico -en un examen superficial- te ahorre la ponderación previa. Sí, amics, el interés público es la vía fácil (o no tanto, este va a ser uno de los melonacos a abrir en el 2020).
2.- Esta cosa tan sorprendente del interés público para legitimar camaritas privadas viene de las piruetas que tuvo que hacer la administración para legitimar sus propias cámaras de videovigilancia en el nuevo mundo del RGPD, en el que no cabía el «consentimiento tácito» y no podían -en otro examen superficial- apelar al interés legítimo -por ser, precisamente, administración pública-.
La pregunta que yo me hago y nadie me responde es… si en un Ayuntamiento tenemos un «staff» con gente trabajando que no son funcionarios, sino personal laboral… y se les controla laboralmente (control laboral, no con finalidad de seguridad) con una camarita de estas… ¿son compatibles interés público y control laboral? ¿No encaja ahí perfectamente y sin problema el interés legítimo?
Exacto.
Tengo un chuletón apostado con Javier Sempere a que muy pronto veremos una resolución oficial de alguna autoridad de cumplimiento declarando que sí, que claro que sí, que la administraciones públicas pueden ampararse en el interés legítimo en todo aquello que no implique ejercicio directo de «potestas».
La ICO ya lo ha dicho, pero Maese Sempere dice que, bueno, «Gibraltar español» o algo parecido.
2.- Huella dactilar y RGPD
Ah, uno de mis posts favoritos del año. Quizá sea por la gloriosa foto de Alfonsito Pacheco que lo encabeza. (No se pierdan el libro de este hombre: por lo que te cuesta un torrezno y dos vinos, tendrán los modelos imprescindibles y un texto comprensible, directo y resolutivo para atajar todos los problemas en materia de protección de datos para un abogado unipersonal, que son más que los que suele tener cualquier micropyme).
No te digo nada y te lo digo todo.
La Audiencia Nacional tumbó en noviembre la famosa sanción impuesta por la AEPD al gimnasio que imponía a sus clientes el lectorcito de huella para controlar el acceso. Sí.
Pero la finalidad en el gimnario era «control de acceso». Y la sentencia recalcaba que no se aplicaba el RGPD, sino la Directiva del 95, bajo la cual los datos biométricos no estaban especialmente protegidos, como lo están ahora.
En este post, y en el número 3 de esta lista, dejo clara mi opinión (en fin, mía y sobre todo en la de la APDCAT, y la CNIL, y más) toda finalidad que se pueda cumplir mediante tratamientos menos intrusivos en la privacidad del trabajador, no podrá legitimar el tratamiento de un dato biométrico, sea huella dactilar u otro. Salvo que excepcionales razones lo impongan, y sean acreditables.
Como una cosa es un gimnasio y otra, digamos, una central nuclear o una infraestructura crítica. Hasta donde me llega la memoria, los gimnasios no quebraban victimas del fraude antes de la popularización de los chismelectores de huellas dactilares.
La base legal no puede ser «me viene bien», «salía más barato» o «el comercial me dijo que no había problema».
3.- Política de desconexión digital, novedades en geolocalización y control de jornada.
La política de desconexión digital es una especie de metáfora del más amplio problema de la protección de la privacidad en nuestra Sociedad: la desconexión es una medida indiscutiblemente saludable que debería promoverse desde la empresa y aplicarse en el domicilio.
Y sin embargo, casi nadie lo hace. Vamos a peor. Pero esto es otro tema
Aunque la intención del legislador era clara, la formulación legal no lo era tanto. Y menos mal, porque la aplicación en sus términos de no es nada fácil.
En el post tienen el descargable de lo que era y sigue siendo, con cuatro flexibilizaciones -en el límite del bien y del mal, y espero que por dentro-, mi modelo de política a estos efectos.
Además en el mismo post se comenta el catedralicio informe de la APDCAT sobre el control laboral por huelal dactilar, comparando las finalidades de control de acceso y control de jornada.
Nada más que añadir, your Honour.
4.- Principio de minimización
Impresionante. Este es de diciembre de 2018. Hace más de dos años.
En general la elección y aplicación de bases legales de tratamiento patria es lamentable: se ven claros ejemplos a diario.
Pero es que antes de la aplicación de la base legal, están nuestros queridos principios del art 5 RGPD. El de minimización es uno de ellos, y quizá uno de los más novedosos en su día, pero los de licitud, lealtad y transparencia, y ejem ejem, el de limitación de finalidad vienen en el mismo kit.
E, insisto, se aplican antes que los requisitos propios de cada base legal.
5.- TedTalk: Vampiros de Datos
No fue nada fácil, pero gracias a la mágica Belén Viloria, todo salió bien.
Hubo muchos borradores y muchas ideas se quedaron en el tintero, pero en la sensibilización en materia de privacidad queda todo por hacer, y seguiremos dando la paliza hasta donde podamos.
Y más importante aún -ustedes me entienden-, la gente se reía con mis paridas.
Bonus Track: Los renglones torcidos de la LOPD
El mejor post del año no lo colgué en mi propia web, sino en el Blog Secuoyer.
En el 2019 arrancamos nuestro proyecto «Paradox Academy«: formación hecha a medida para cada organización.
Siempre hay que ajustar el nivel a la audiencia, pero nosotros ofrecemos estudiar previamente la problemática de cada organización para resolver problemas in situ, y para salir airosos de la lluvia de preguntas en la que se convierte cualquiera de nuestras sesiones.
El «tiro al mono» es, no sólo nuestra parte favorita de la sesión, es que es la forma de vida natural de todo Secuoyer que se precie.
Retos para el nuevo año
Les he pedido a los Reyes Magos tiempo para traer a este blog un par de cosas que llevo meses pregonando en mis formaciones por toda España:
- Las claves del RGPD en seis cuentos (o películas).
- Las bases legales de tratamiento para «dummies».
- La «pirámide de la accountability» (aplicada a las bases legales).
Si en verano ya pudiera actualizar lo que he publicado aquí y en Secuoya, y, ejem, añadir todo lo que no he publicado para sacar un libro, ya sería la pera.
Lo escribo aquí para ver si me da vergüenza no hacerlo. O algo.
Muy muy feliz 2020.
Jorge García Herrero
Abogado y Delegado de Protección de Datos