Actualización de los posts más leidos del 2019 (y bonus track)

 

La ya tradicional entrada navideña tipo #Cachitos, viene bien para investigar qué es lo que más os interesó en el Blog este año.

No quería  liarme mucho pero… me he liado.

 

RGPD y VIDEOVIGILANCIA

1.- Videovigilancia y RGPD: ocho preguntas sin respuesta.

Vaya, un post de 2018. Y anterior a la Guía de Videovigilancia de la AEPD.

En este post se leen cosas que contradicen frontamente lo que dice esa guía: por ejemplo, que las cámaras “voluntarias” de videovigilancia dispuestas por empresas privadas se legitiman en la base del interés legítimo, no en el interés público.

Y lo mantengo: ciertamente, se podrían legitimar en el interés público “delegado” (me ahorro la rima). Más aún si la AEPD me lo pone en bandeja.

Peeeeeero, lo cierto es que:

1.- Lo puedes encajar en la que quieras, aunque el interés publico -en un examen superficial- te ahorre la ponderación previa. Sí, amics, el interés público es la vía fácil (o no tanto, este va a ser uno de los melonacos a abrir en el 2020).

2.- Esta cosa tan sorprendente del interés público para legitimar camaritas privadas viene de las piruetas que tuvo que hacer la administración para legitimar sus propias cámaras de videovigilancia en el nuevo mundo del RGPD, en el que no cabía el “consentimiento tácito” y no podían -en otro examen superficial- apelar al interés legítimo -por ser, precisamente, administración pública-.

La pregunta que yo me hago y nadie me responde es… si en un Ayuntamiento tenemos un “staff” con gente trabajando que no son funcionarios, sino personal laboral… y se les controla laboralmente (control laboral, no con finalidad de seguridad) con una camarita de estas… ¿son compatibles interés público y control laboral? ¿No encaja ahí perfectamente y sin problema el interés legítimo?

Exacto.

Tengo un chuletón apostado con Javier Sempere a que muy pronto veremos una resolución oficial de alguna autoridad de cumplimiento declarando que sí, que claro que sí, que la administraciones públicas pueden ampararse en el interés legítimo en todo aquello que no implique ejercicio directo de “potestas”.

La ICO ya lo ha dicho, pero Maese Sempere dice que, bueno, “Gibraltar español” o algo parecido.

Huella Dactilar y RGPD

2.- Huella dactilar y RGPD

Ah, uno de mis posts favoritos del año. Quizá sea por la gloriosa foto de Alfonsito Pacheco que lo encabeza. (No se pierdan el libro de este hombre: por lo que te cuesta un torrezno y dos vinos, tendrán los modelos imprescindibles y un texto comprensible, directo y resolutivo para atajar todos los problemas en materia de protección de datos para un abogado unipersonal, que son más que los que suele tener cualquier micropyme).

No te digo nada y te lo digo todo.

Pero estábamos con los lectores de huella dactilar, que ha sido uno de los temas del 2019 (y será uno de los dramas del 20 en un decir “Jesús Rubí”), sobre todo ahora que el control de jornada legalmente obligatorio supuso una especie de orgasmo colectivo para los fabricantes de estos cacharros. Lo que suponga para los pobres empresarios que los hayan adquirido e instalado sin hacérselo mirar un poquitillo, está por escribirse.

La Audiencia Nacional tumbó en noviembre la famosa sanción impuesta por la AEPD al gimnasio que imponía a sus clientes el lectorcito de huella para controlar el acceso. Sí.

Pero la finalidad en el gimnario era “control de acceso”.  Y la sentencia recalcaba que no se aplicaba el RGPD, sino la Directiva del 95, bajo la cual los datos biométricos no estaban especialmente protegidos, como lo están ahora.

En este post, y en el número 3 de esta lista, dejo clara mi opinión (en fin, mía y sobre todo en la de la APDCAT, y la CNIL, y más) toda finalidad que se pueda cumplir mediante tratamientos menos intrusivos en la privacidad del trabajador, no podrá legitimar el tratamiento de un dato biométrico, sea huella dactilar u otro. Salvo que excepcionales razones lo impongan, y sean acreditables.

Como una cosa es un gimnasio y otra, digamos, una central nuclear o una infraestructura crítica. Hasta donde me llega la memoria, los gimnasios no quebraban victimas del fraude antes de la popularización de los chismelectores de huellas dactilares.

Quiero decir: claro que se puede controlar la entrada sin imponer el tratamiento de datos biométricos a todo perro Pichi.

Y lo del “chequeo de jornada” menos aún. 

No vale ampararse en la “obligación legal” para amparar lo del dedito. Ese control se puede llevar a cabo de cien maneras distintas sin captar ni tratar datos biométricos.

En algunos supuestos sí que se puede. Desde luego. Pero en general, no.

Y en los casos en los que se considere que concurren la excepción, será necesario documentar rigurosamente los motivos y realizar la correspondiente evaluación de impacto.

La base legal no puede ser “me viene bien”, “salía más barato” o “el comercial me dijo que no había problema”.

 

politica de desconexion digital

3.- Política de desconexión digital, novedades en geolocalización y control de jornada.

La política de desconexión digital es una especie de metáfora del más amplio problema de la protección de la privacidad en nuestra Sociedad: la desconexión es una medida indiscutiblemente saludable que debería promoverse desde la empresa y aplicarse en el domicilio.

Y sin embargo, casi nadie lo hace. Vamos a peor. Pero esto es otro tema

Aunque la intención del legislador era clara, la formulación legal no lo era tanto. Y menos mal, porque la aplicación en sus términos de no es nada fácil.

En el post tienen el descargable de lo que era y sigue siendo, con cuatro flexibilizaciones -en el límite del bien y del mal, y espero que por dentro-, mi modelo de política a estos efectos.

Además en el mismo post se comenta el catedralicio informe de la APDCAT sobre el control laboral por huelal dactilar, comparando las finalidades de control de acceso y control de jornada.

Nada más que añadir, your Honour.

 

Minimización de datos

4.- Principio de minimización

Impresionante. Este es de diciembre de 2018. Hace más de dos años.

En general la elección y aplicación de bases legales de tratamiento patria es lamentable: se ven claros ejemplos a diario.

Pero es que antes de la aplicación de la base legal, están nuestros queridos principios del art 5 RGPD. El de minimización es uno de ellos, y quizá uno de los más novedosos en su día, pero los de licitud, lealtad y transparencia, y ejem ejem, el de limitación de finalidad vienen en el mismo kit.

E, insisto, se aplican antes que los requisitos propios de cada base legal.

 

 

5.- TedTalk: Vampiros de Datos

No fue nada fácil, pero gracias a la mágica Belén Viloria, todo salió bien.

Hubo muchos borradores y muchas ideas se quedaron en el tintero, pero en la sensibilización en materia de privacidad queda todo por hacer, y seguiremos dando la paliza hasta donde podamos.

Y más importante aún -ustedes me entienden-, la gente se reía con mis paridas.

habilitaciones legales

Bonus Track: Los renglones torcidos de la LOPD

El mejor post del año no lo colgué en mi propia web, sino en el Blog Secuoyer.

En el 2019 arrancamos nuestro proyecto “Paradox Academy“: formación hecha a medida para cada organización.

Siempre hay que ajustar el nivel a la audiencia, pero nosotros ofrecemos estudiar previamente la problemática de cada organización para resolver problemas in situ, y para salir airosos de la lluvia de preguntas en la que se convierte cualquiera de nuestras sesiones.

El “tiro al mono” es, no sólo nuestra parte favorita de la sesión, es que es la forma de vida natural de todo Secuoyer que se precie.

 

Retos para el nuevo año

Les he pedido a los Reyes Magos tiempo para traer a este blog un par de cosas que llevo meses pregonando en mis formaciones por toda España:

  • Las claves del RGPD en seis cuentos (o películas).
  • Las bases legales legales de tratamiento para “dummies”.
  • La “pirámide de la accountability” (aplicada a las bases legales).

 

Si en verano ya pudiera actualizar lo que he publicado aquí y en Secuoya, y, ejem, añadir todo lo que no he publicado para sacar un libro, ya sería la pera.

Lo escribo aquí para ver si me da vergüenza no hacerlo. O algo.

Muy muy feliz 2020.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos