983 337 998 info@ntabogados.com
Feed RSS para esta sección

Archivo | Sin categoría

Tercer comunicado de la Fundación Tripartita sobre la aplicación de créditos formativos para consultoría LOPD

A raíz de lo comentado aquí hace tres días en nuestro último post, gracias a los muchos compañeros que escribieron lo mismo o entradas similares en sus respectivos blogs, y a la carta abierta publicada por la APEP, la Fundación Tripartita ha emitido el tercer comunicado al respecto de la utilización de créditos formativos para la prestación de servicios de consultoría en materia de protección de datos, lo que se conoce popularmente como «LOPD a coste cero».

En su comunicado, la Fundación Tripartita recuerda que «el crédito anual del que disponen las empresas está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores«.  Además advierte de que «las empresas que se bonifiquen por la contratación de servicios de consultoría (LOPD, LPR, etc.) deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social».

Por último, informan de que como consecuencia de los procesos de comprobación realizados, «las actuaciones realizadas por el Servicio Público de Empleo Estatal han dado lugar a la imposición de sanciones«.

Algunos de los comentarios escritos por compañeros al respecto (si falta alguno, por favor, indicádmelo en los comentarios):
http://marketingpositivo.blogspot.com.es/2012/06/caso-de-estudio-crisis-de-reputacion.html
http://www.evaluaconsultores.com/carta-abierta-a-la-federacion-de-municipios-y-provincias-de-castilla-la-mancha-y-la-fundacion-tripartita/
http://www.desaconsultores.es/se-acabo-el-mercado/
http://www.luissalvador.com/2012/06/carta-abierta-a-la-federacion-de-municipios-y-provincias-de-castilla-la-mancha-y-la-fundacion-tripartita/
http://marketingpositivo.blogspot.com.es/2012/06/la-administracion-avala-el-fraude-de-la.html
http://www.alviasesores.es/noticias/a_vueltas_de_nuevo_con_la_lopd_a_coste_cero-id55.html
http://www.evaluaconsultores.com/los-rescates-de-la-lopd-y-los-mendrugos/
http://ruthbenitoabog.wordpress.com/2012/06/12/sobre-adaptacion-lopd-a-coste-cero-y-subvenciones-de-fundacion-tripartita/
http://mikelgarcialarragan.blogspot.com.es/2012/06/el-colmo-de-la-lopd-coste-0.html
http://www.toito.es/actualidad/?p=1180

Edito para añadir que el desconocimiento que alega la Fundación Tripartita sobre el convenio en cuestión ya ha sido resuelto, dado que le ha sido remitido por varios compañeros. Dado que ya lo tienen, supongo que tendrán algo que decir.

Administraciones Públicas que colaboran en la utilización fraudulenta de créditos formativos

Leo que la Federación de Municipios y Provincias de Castilla-La Mancha (FEMP-CLM) ha firmado un convenio para «implantar la normativa sobre la Ley de Protección de Datos en la totalidad de las corporaciones locales de Castilla-La Mancha». Además podrán beneficiarse del convenio también «los proveedores de las administraciones locales de la región también podrán verse beneficiados, ya que la práctica totalidad de los mismos podrán adaptarse también a la LOPD sin coste para sus empresas, al ser dicha actuación subvencionable a través de la Fundación Tripartita«.

Se está diciendo claramente que los créditos formativos para los trabajadores se utilizarán para la prestación de servicios de adecuación a la normativa sobre protección de datos. Tal y como ha advertido en dos ocasiones la Fundación Tripartita (en 2010 y 2012), el crédito 
«está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores», con lo que utilizarlo para otras cosas «puede llegar a ser constitutivo de fraude». Además «las actuaciones realizadas por el Servicio Público de Empleo Estatal han dado lugar, en ocasiones, a la imposición de sanciones a las empresas ofertantes de los citados servicios de protección de datos de carácter personal, así como a la devolución de las bonificaciones practicadas en materia de formación en el empleo por parte de las empresas. Sin perjuicio de ello, podrá darse traslado de los hechos constatados y de las evidencias obtenidas tanto a la Inspección de Trabajo y Seguridad Social, como a los órganos administrativos pertinentes en materia de Defensa de la Competencia».


El caso es especialmente sangrante, puesto que según cuenta la noticia se bonificará a las entidades «si estas participan en el proceso de forma activa mediante la comunicación a sus proveedores de la necesidad de cumplir la LOPD». Es decir, no sólo se colabora en la utilización ilícita de fondos de formación para los trabajadores, sino que la propia administración tiene la desfachatez de actuar como comercial de una entidad privada que realiza estas actuaciones.
Así, mientras un gran número de profesionales del sector nos dedicamos a prestar servicios de calidad a nuestros clientes, con el objeto de cumplir correctamente con la Ley y ayudar a las empresas, una administración pública se dedica a firmar convenios para detraer fondos del derecho que tienen los trabajadores a su formación, puesto que se utilizarán créditos para pagar servicios que no son formativos. Enhorabuena a la FEMP-CLM por esta ejemplar actuación.
Este post se publica totalmente libre de derechos, eres libre de utilizar la obra sin ningún tipo de restricción.

El Camping Alfaques pierde el juicio contra Google Spain

La empresa titular del Camping Alfaques demandó al buscador Google por una lesión de su derecho al honor, dado que en los resultados de Google se mostraban preferentemente informaciones referidas a la tragedia ocurrida allí en 1978.

Tal y como analizamos en el blog «Descargas Legales», la demanda fue desestimada por falta de legitimación pasiva de Google Spain, puesto que el juez considera que la empresa titular del buscador, y la que controla los resultados, es Google Inc.

Es una pena que no se haya entrado en el fondo del asunto, puesto que tendríamos una resolución judicial muy interesante, relacionándola además con el «derecho al olvido«. Veremos si finalmente se demanda a Google Inc. 

Taller APEP sobre «Cloud Computing»

Ayer se celebró en Madrid un Taller Práctico sobre Protección de Datos Personales en el «Cloud Computing», uno de los temas de moda en materia de protección de datos, organizado por la Asociación Profesional Española de Privacidad (APEP). El objetivo de la jornada era que facilitar que se pueda «discriminar, entre las distintas ofertas de servicios, aquellas que se ajusten a los requerimientos de la LOPD, así como a las prácticas técnicas, organizativas y legales que se encuadran en esta concreta materia».

Manuel García Sánchez, de la Agencia Española de Protección de Datos, explicó las características esenciales del Cloud, así como los factores de impulso, las barreras para su adopción y los riesgos asociados, incidiendo en uno de los problemas fundamentales: la deslocalización. Manuel recomendó que la adopción de servicios de computación en nube se haga de forma gradual y planificada, analizando los riesgos que se asumen al elegir un determinado proveedor. Recordó que la responsabilidad del responsable del fichero no decae por su falta de poder negociador respecto del proveedor: siempre es necesario contar con el contrato que exige el artículo 12 de la LOPD y que el proveedor aplique las medidas de seguridad necesarias.

Jesús Rubí, Adjunto a la Dirección de la AEPD, nos recordó la intervención que ya realizó en la Sesión Anual Abierta de la AEPD de este año, insistiendo sobre las obligaciones de diligencia que son exigibles tanto para el responsable como para el encargado del tratamiento. 

Con el objeto de cumplir con la obligación establecida en el artículo 20.3 del Reglamento de Desarrollo de la LOPD, Rubí explicó que la Agencia considera cumplido este requisito si el proveedor facilita al responsable documentación que acredite la realización de una auditoría, externa e independiente, sobre el cumplimiento de las medidas de seguridad.

Por último, Leandro Núñez, compañero de la APEP, abordó los problemas derivados de las transferencias internacionales de datos, tan habituales en la contratación de servicios de cloud computing. Desde una perspectiva práctica, analizó las distintas posibilidades: cláusulas contractuales tipo, Binding Corporate Rules, Puerto Seguro, etc. La conclusión principal es que en la práctica se presentan muchos problemas y es necesario un trabajo exigente para cumplir con las obligaciones que establece la LOPD y, en muchos casos, la autorización del Director de la Agencia.

Nueva regulación de los emails comerciales y las cookies

El pasado viernes el Gobierno aprobó el Real Decreto-ley 13/2012, de 30 de marzo, por el que se realiza la transposición de varias a Directivas, entre otras, la  Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, (conocida como “Directiva de cookies“) y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación en las comunicaciones electrónicas).

En materia de comunicaciones electrónicas, se realizan dos modificaciones en la LSSI, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico:

  • Se prohíbe el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en el artículo 20 de la LSSI (nuevo apartado 4 del artículo 20). Esta prohibición no es muy relevante en la práctica, teniendo en cuenta que ya el apartado 1 de este artículo obliga a que se identifique claramente a la persona física o jurídica en nombre de la cual se realiza la comunicación comercial, es decir, si hay que identificarla “claramente”, evidentemente no es válido que se “disimule o se oculte la identidad del remitente”.
  • Las comunicaciones comerciales por correo electrónico deberán incluir necesariamente una dirección electrónica válida donde pueda ejercitarse el derecho a oponerse al tratamiento de sus datos con fines promocionales (nuevo párrafo en el apartado 2 del artículo 21). Sobre lo que supone esta nueva obligación, discrepo de lo que afirman los compañeros Campanillas y Prenafeta, que entienden que “no se podrán realizar campañas de email marketing desde cuentas de correo que no permitan la respuesta a los mismos, esto es, como aquellas que incluyen el mensaje “no-reply”». En mi opinión se podrán seguir enviando de esta forma comunicaciones comerciales, sólo que en todo caso debe indicarse una dirección de correo electrónico para oponerse, la cual no tiene por qué ser la misma desde la que se envía. Se trata de que no se limite la posibilidad de oposición, por ejemplo, a visitar una web determinada, incluso obligando al destinatario a acceder con su usuario y contraseña al apartado de registro de usuarios; en definitiva, que se más sencillo y rápido oponerse.

En cuanto al régimen de las “cookies“, el texto es el mismo que proyectó aprobar el anterior gobierno, con lo que lo que comentábamos en este mismo blog el año pasado sigue siendo plenamente válido. En resumen:

  • Sólo pueden usarse “cookies” si el afectado ha dado su consentimiento previo e informado (salvo que tengan por finalidad efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario).
  • Este consentimiento podrá entenderse otorgado mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
  • Habrá que ver si la Agencia Española de Protección de Datos sigue el criterio del Grupo de Trabajo del Artículo 29, en cuyo caso para que pueda ser válido el consentimiento, será necesario que  el navegador pida al usuario que entren en un asistente de privacidad la primera vez que instalen o actualicen, así como proporcionar un método fácil de ejercer su opción durante la utilización del producto. Sobre las opciones que dan actualmente los principales navegadores, pueden leer este interesante post de Santiago Bermell.

Para conocer el resto de novedades que trae esta norma, Gontzal Gallo nos las resume en su blog.

DISPONE: Herramienta de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública

sshot-1

La Agencia Española de Protección de Datos (AEPD) ha presentado su nueva herramienta, DISPONE, una aplicación de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública.

Con la introducción de la información que la herramienta va solicitando, que es la que exige la LOPD para la creación de ficheros de titularidad pública, se genera automáticamente el texto de la disposición que deberá ser aprobada por el órgano responsable y publicada en el boletín oficial correspondiente.

La aplicación es una buena herramienta de ayuda, pero ello no conlleva en ningún caso que se  sustituya el trabajo previo necesario para la correcta determinación del fichero y, por tanto, de la previa disposición de creación. Es decir, sigue siendo imprescindible analizar exhaustivamente todas las circunstancias que tienen trascendencia a la hora de tratar datos, desde el procedimiento de recogida, la finalidad del tratamiento, las cesiones realizadas o las medidas de seguridad necesarias.

Cualquier iniciativa de la AEPD que busque un mayor grado de cumplimiento de la normativa es de alabar y en este caso podemos imaginarnos que va especialmente dirigida al gran número de administraciones públicas, fundamentalmente pequeños ayuntamientos, que todavía no han realizado la inscripción de sus ficheros.

Nuevo comunicado de la Fundación Tripartita sobre el Coste Cero en LOPD

Hace unos meses la Fundación Tripartita para la Formación y el Empleo advirtió públicamente sobre la ilegalidad de utilizar los fondos que aporta esta fundación, destinados a la formación de empleados, para prestar servicios de consultoría en materia de protección de datos. Las empresas que llevan a cabo estas prácticas prestan servicios de consultoría y facturan servicios de formación (ya se imparta o no realmente), cuyo coste se ahorra el empresario a través de las cuotas de la Seguridad Social de sus trabajadores, con lo que el servicio les sale gratis.  
La Fundación Tripartita informa ahora de que desde hace dos años se están llevando a cabo comprobaciones al respecto, las cuales han dado lugar a «la imposición de sanciones a las empresas ofertantes de los citados servicios de protección de datos de carácter personal, así como a la devolución de las bonificaciones practicadas en materia de formación en el empleo por parte de las empresas». Advierte además de que se puede dar traslado de los hechos a la Inspección de Trabajo y Seguridad Social y a los órganos administrativos competentes en materia de Defensa de la Competencia.
Hay que agradecer a la Fundación Tripartita que se haya puesto manos a la obra para perseguir estas actuaciones y que se conozca que las empresas que realizan estas prácticas, además de prestar, por lo general, un servicio de dudosa calidad, ponen en serio peligro de recibir sanciones por otras vías a las empresas que contratan sus servicios.
Más información en el blog de Luis Salvador.

4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos

Logo_4

Con motivo de la celebración del Día Europeo de Protección de Datos (28 de enero), se celebró el pasado 27 de enero de Madrid la 4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD). El objetivo de estas sesiones es dar a conocer el estado actual de la protección de datos en España, y convoca cada año a un gran número de profesionales de la materia, este ocasión, según la nota de prensa de la Agencia, unos 800. El resumen de la jornada lo pueden encontrar en esa misma nota de prensa.

El Director de la AEPD, don José Luis Rodríguez Álvarez, comenzó la jornada destacando el importante aumento de denuncias y reclamaciones de tutela de derechos realizadas por los ciudadanos durante el año 2011, que crecieron respecto al año anterior, un 50% y 34% respectivamente. Pese a que en anteriores intervenciones públicas el director no se había mostrado muy partidario del término, en esta ocasión celebró que se incluya expresamente el derecho al olvido en la propuesta de Reglamento europeo sobre Protección de Datos recientemente presentada por la Comisión Europea. 
Precisamente resultó particularmente interesante dentro de la jornada la intervención del  coordinador del Área de Internacional de la AEPD, Rafael García Gozalo, que desgranó la principales novedades de la propuesta de Reglamento y Directiva presentada recientemente por la Comisión Europea, así como la revisión del Convenio 108, del Consejo de Europa, para la protección de las personas físicas en relación con el tratamiento automatizado de datos personales.
El tema central de la sesión, como el de muchas jornadas del sector últimamente, fue la computación en la nube, o el cloud computing. Es conveniente recordar que este tipo de servicios no son novedosos, a fin de cuentas no es de ahora el alojamiento de datos en servidores de terceros. Lo que sí que es cierto es que se ha generalizado mucho su uso y que en cuanto a la normativa sobre protección de datos nos encontramos con varios problemas: la transferencia internacional de datos con la aplicación de las medidas de seguridad y la normativa española, y la habitual subcontratación de los servicios. Respecto a esto, la Agencia anunció la publicación de unas cláusulas contractuales tipo para los casos en los que se produzcan transferencias internacionales.
Por último, se contestaron por parte de los intervinientes consultas planteadas por los asistentes tanto al inscribirse como en la propia sesión. Hay que agradecer y valorar la predisposición del personal de la Agencia a la hora de responder preguntas en directo, pero creo que en muchos casos no aporta suficiente seguridad a las dudas de los profesionales, puesto que a menudo las cuestiones requieren de precisión tanto en el supuesto planteado como en la respuesta, y no siempre las respuestas son por tanto lo suficientemente claras o fiables.
En fin, un acto cuya celebración hay que agradecer a la Agencia, tanto por la deferencia ante los profesionales de la privacidad, como por las actuaciones de difusión de la cultura sobre protección de datos realizadas paralelamente en estos días.
Pueden descargarse las presentaciones de las distintas ponencias desde la web de la AEPD.
Otros resúmenes de la jornada en los blogs Marketing Positivo y Privacidad Práctica.

Nueva colaboración en COPE Valladolid

Cope

Alberto Guerrero, conductor de «Así son las mañanas» en COPE Valladolid, ha tenido la gentileza de invitarme a acudir a su programa todos los viernes. En una nueva sección del programa, hablaremos sobre tecnología, redes sociales, internet, etc. Comentaremos la actualidad al respecto, las aplicaciones más utilizadas en los teléfonos o daremos consejos sobre el uso de las redes sociales.

Cualquier que tenga una sugerencia o pregunta sobre estos temas, estaremos encantados de comentarla en la radio. 
El programa se puede escuchar en directo en la web de la Cadena COPE y además se pueden descargar las grabaciones de los programas anteriores en la sección de audios de COPE Valladolid. Os espero al otro lado.

Despedido por usar el ordenador para fines particulares

La Sala de lo Social del Tribunal Supremo ha dictado una sentencia, resolviendo un recurso de casación para unificación de doctrina, que confirma las sentencias del Juzgado de lo Social del Valencia y del Tribunal Superior de Justicia de la Comunidad Valenciana. Se declara la procedencia de un despido disciplinariocontra una trabajadora por realizar un uso abusivo del ordenador de la empresa para cuestiones personales dentro del horario de trabajo, incluyendo el envío a su correo electrónico personal de valiosa información comercial de la empresa.

Según consta en la sentencia, la empresa había  entregado “a todos los trabajadores y en concreto a la aquí demandante, una carta que ésta recibió y firmó, en la que se le comunicaba que quedaba terminantemente prohibido el uso de medios de la empresa (ordenadores, móviles, Internet, etc..) para fines personalestanto dentro como fuera del horario de trabajo”. Con posterioridad a esa información, se comenzó a monitorizar la actuación de la empleada, comprobándose el uso particular del ordenador.

En este tipo de conflictos siempre han de tenerse en cuenta varios aspectos, pero fundamentalmente la información previa y el alcance del control realizado por parte de la empresa. De la sentencia podemos sacar las siguientes conclusiones de cara a dejar claro el asunto:

  • El artículo 20 del Estatuto de los Trabajadoresreconoce el derecho de dirección y control de la actividad laboral del empresario, del que se deriva que puede “imponer lícitamente al trabajador la obligación de realizar el trabajo convenido dentro del marco de diligencia y colaboración […] y el sometimiento a las órdenes o instrucciones que el empresario imparta […] y, consecuentemente, la facultad empresarial para vigilar y controlar el cumplimiento de tales obligaciones por parte del trabajador”.
  • Aspecto clave es la expectativa razonable de confidencialidad que puede tener el trabajador respecto a su actuación, ya recogida en otras sentencias del Supremo. A este respecto, la sentencia es muy clara: “si no hay derecho a utilizar el ordenador para usos personales, no habrá tampoco derecho para hacerlo en unas condiciones que impongan un respeto a la intimidad o al secreto de las comunicaciones, porque, al no existir una situación de tolerancia del uso personal, tampoco existe ya una expectativa razonable de intimidad y porque, si el uso personal es ilícito, no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo”. 
  • Para que no exista esa expectativa de confidencialidad es imprescindible informar de las condiciones y prohibiciones de utilización de los medios de la empresa. Por eso es fundamental redactar correctamente estas condiciones e informar de forma fehaciente de ellas a todos los trabajadores.