COVIT19. Geolocalización pública y privada

El acceso a los datos de geolocalización se considera un tratamiento de datos de carácter personal, por lo que es necesario cumplir la normativa de Protección de Datos.
Se considera, dato de geolocalización: “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal del usuario de un servicio de comunicaciones electrónicas disponible para el público”
Interesa diferenciar, entre la Geolocalización promovida por empresarios o por las Administraciones Públicas:

Geolocalización por parte del empresario


¿Puede un empresario geolocalizar a sus empleados?


Sí puede, aún sin consentimiento, informando y observando unas determinadas obligaciones, del art. 90 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
• Los empleadores podrán tratar los datos o de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, dentro de su marco legal y con los límites inherentes al mismo.
• Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o a los empleados públicos o a sus representantes, acerca de la existencia y características de estos dispositivos.
• Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
• Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar. Art 88 Ley Orgánica 3/2018, de 5 de diciembre
• El Estatuto de los trabajadores permite el control por parte del empleador a sus empleados, ya que este podría incurrir en alguna responsabilidad, sea por culpa invigilando o falta de control suficiente.

El Tribunal Constitucional ha establecido, que la limitación de los derechos fundamentales del empleado por parte de las facultades empresariales sólo podrá emplearse en el marco de una relación laboral, dentro de unos límites horarios, con las herramientas del empresario y al concepto indeterminado, como es, la proporcionalidad.

¿Cuándo se entenderá que existe, proporcionalidad?


Atendiendo a los principios de:
• Principio de idoneidad: si la medida es susceptible de conseguir el objetivo propuesto.
• Principio de necesidad: si es necesaria en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia.
• Principio de proporcionalidad: si esta medida es equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

¿Cuánto tiempo podrán retenerse los datos de geolocalización?


• Los datos de geolocalización de los interesados deberán borrarse por lo general por un período 2 meses.
• Los datos de localización podrán ser conservados por un período 1 año:
✓ Si una reglamentación específica la prevé; como en el caso del art. 90 de la ley 3/2018.
✓ Si dicha conservación se requiere para fines de prueba de la ejecución de un servicio, cuando no es posible aportar la evidencia por otros medios. Por ejemplo: un histórico de los desplazamientos con fines de optimización de rutas, por un período máximo de un año.
✓ Deberán guardarse, atendiendo al principio de secreto y confidencialidad,
✓ No podrán aplicarse a ninguna otra finalidad, ni revelarse por el empresario ni por el trabajador, ni durante ni aún después de haber finalizado la relación laboral. (Ley 1/2019, de 20 de febrero, de Secretos Empresariales).

Medidas de Seguridad de los datos


Habrá que mantener Registro de Tratamientos, en el que se registre el tratamiento de GEOLOCALIZACIÓN, dónde se detalle:
• Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
• Medidas, normas, procedimientos y reglas dirigidos a garantizar el nivel de seguridad.
• Base legal sobre la que se sustenta el tratamiento.
• Legitimación.
• Cesiones
• Permanencia o duración de los datos
• Análisis de Riesgo, Evaluación de Impacto, Consulta previa a la Agencia de Protección de Datos.
• Gestión de los tratamientos por diseño y por defecto.
• Nombrar un Delegado de Protección de Datos, cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o consistan en el tratamiento a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales
• Funciones y obligaciones del personal.
• Control de accesos.
• Procedimiento de notificación, gestión y respuesta ante las incidencias.
• Los procedimientos de realización de copias de respaldo y de recuperación de los datos y metadatos.
• Si estos tratamientos van a ser susceptibles de transferencias internacionales


Geolocalización por parte del Estado o Administraciones Públicas


¿Puede el Estado geolocalizar a sus ciudadanos?
Pues sí, con consentimiento o sin él, siempre que esté sustentado por una ley.
Según el Considerando 45 de RGPD debe determinarse en virtud de derecho de la Unión o de los Estados miembros, si el responsable del tratamiento que realiza la misión en interés público, en ejercicio de poderes públicos debe ser una autoridad o una persona física o jurídica de derecho Público. También cuando sea necesario el tratamiento para proteger intereses vitales de los ciudadanos, como en este caso.
La medida deberá guardar proporcionalidad con las finalidades perseguidas, y entendemos que el interesado podrá pedir el derecho de acceso a los datos; no así el derecho a la portabilidad de estos, negado en el art 20.3 del RGPD.
Cualquier reclamación sobre derechos deberá poder atenderse por el Delegado de Protección de datos de la Administración actuante, por la Agencia Española de Protección de Datos, o en vía Contencioso-administrativa, Defensor del Pueblo. Agotados los recursos, podrá abordarse en vía de recurso de amparo ante el Tribunal Constitucional, ya que se trata de un derecho fundamental, art 18.1 y 18.4 de la Constitución.
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
Otro tema de interés jurídico es, si deberá ser por ley, ya que, afecta a derechos fundamentales, o sería suficiente por una Orden Ministerial.
El día de 27 de marzo el Ministerio de Sanidad, evacúo la Orden SND/297/2020por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, que amparándose en el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma; y en el artículo tercero de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, dispone que, con el fin de controlar las enfermedades transmisibles.
Por lo que, podremos ser geolocalizados, con o sin consentimiento, ya veremos, por parte de las Administraciones Públicas competentes, con la finalidad
de protegernos de una pandemia global que pone en cuestión el modelo y las estructuras del Estado moderno.
Lo lógico es que se tomen las medidas de seguridad, teniendo en cuenta que no hay sistema inexpugnable. Lo ideal es que se pudieran anonimizar los datos, de manera que no pudieran volverse a reconstruir; pero, aunque técnicamente sea posible finalmente lo que se persigue es identificar al interesado.
Por lo que, los datos se someterán a una seudonimización, y o disociación, y estarán en manos de Google o Apple, u otros operadores privados que dispondrán de una gran cantidad de datos, susceptibles de otros tratamientos, además del COVID19.
Tampoco, deberíamos alarmarnos, ya que todos cuando leemos los periódicos digitales, consultamos el tiempo, en aplicaciones lúdicas, nos descargamos películas, tenemos nuestros perfiles en Twitter, Facebook, Instagram, WhatsApp, Telegram entre otros; y aunque sean gratuitos, tienen un precio, nuestra privacidad.
Hay que decir que, en la Constitución de 1978 no existe una jerarquía de derechos (arts. 14 al 29, y la objeción de consciencia), en el sentido de que unos prevalezcan sobre otros.
Nunca ha habido tanta legislación para proteger un derecho fundamental. Seguramente será por el riesgo, que este tiene, a ser vulnerado.

Conferencia CENSOR CONSULTING

Conferencia  sobre" la aplicación de un Programa  Compliance Corporate en la empresa "en Alicante .Nov 2017

CENSOR CONSULTING y WORDL COMPLIANCE ASSOTION