Crece la preocupación por las nuevas obligaciones en protección de datos impulsadas desde Europa
La actualización en la Ley de cookies o las nuevas exigencias en relación al registro de la jornada laboral de los trabajadores siembran la incertidumbre y provocan dudas entre los afectados
Preocupación. Inquietud. Incertidumbre. Cualquiera de estas palabras serviría para definir el estado de los afectados por los nuevos cambios promovidos desde el Comité Europeo de Protección de Datos (CEPD).
Y es que el máximo organismo europeo en materia de protección de datos ha vuelto a modificar, otra vez, las exigencias en cuanto al tratamiento de datos personales, obligando a empresas y usuarios a adaptarse, de nuevo, a contrarreloj.
Para arrojar un poco de luz sobre este asunto, conocer todos los cambios de normativa, a quiénes afectan y cómo aplicarlos, hablamos con la consultora Grupo Atico34, una de las empresas de protección de datos referente a nivel nacional:
Las cookies, de nuevo en el punto de mira
Uno de los cambios más notorios y que muchas páginas web ya están aplicando es la posibilidad de cobrar al usuario por rechazar las cookies. En este caso, se trata de una opción totalmente voluntaria que el titular de la web puede ejercer, siempre y cuando se informe al usuario de manera clara y transparente.
Por otra parte, todas las páginas web que realicen un tratamiento de datos de usuarios están obligadas a incluir en su aviso de cookies la opción de Rechazar cookies. Tal y como explica Miguel Quintanilla, Director del Área de Compliance y Protección de Datos en Atico34, «hasta ahora, muchas webs ofrecían la posibilidad de aceptar o modificar las cookies. Sin embargo, ahora es obligatorio ofrecer un botón de Rechazar cookies y debe mostrarse en la misma capa informativa que el de Aceptar cookies, en el mismo formato, el mismo color y sin que ninguno destaque sobre el otro».
Además, desde el Comité Europeo de Protección de Datos (CEPD) también han promulgado la obligación de ofrecer al usuario una información más clara y transparente sobre el uso de las cookies, debiendo informar acerca de cuestiones como la finalidad para la que son recabadas, el plazo de conservación de los datos o la identidad de los terceros a quienes sean cedidas.
El registro de la jornada laboral mediante datos biométricos, prohibido
El entorno online no es el único en el que el CEPD ha querido meter mano. Si en el caso anterior los principales afectados son los titulares de páginas web, en este caso hablamos sobre una novedad que apunta directamente a los centros de trabajo, en concreto a la manera en que se realiza el registro de la jornada laboral de los trabajadores.
Desde ya, queda totalmente prohibido el registro de la jornada laboral o el control horario de los trabajadores a través de dispositivos de reconocimiento biométrico. Una obligación que «contraviene lo dispuesto hasta ahora por la jurisprudencia del Tribunal Supremo y elimina la diferenciación entre datos los biométricos recogidos para identificación y los recabados para simple autenticación», señalan desde Atico34.
Por explicarlo de manera sencilla, apuntan desde la consultora, «a partir de ahora no se puede fichar la jornada de trabajo a través de dispositivos de reconocimiento de huella dactilar, identificadores de iris, reconocimiento facial, ni cualquier sistema biométrico similar», por tanto, todas las empresas que utilicen alguno de estos métodos, deberán sustituirlo por otro, como podría ser fichar a través de una app móvil o deslizadores de tarjetas identificativas.
Y no es la única novedad en este sentido. El Ministerio de Trabajo parece que también se apunta a la fiesta, y quiere eliminar por completo el fichaje en papel para sustituirlo por métodos informatizados que permitan el acceso telemático, en cualquier momento, de los inspectores de trabajo».
Es decir, ya no se puede fichar con sistemas de control biométrico, tampoco en papel, y además, se ha de facilitar un acceso libre a la información por parte de los inspectores de trabajo, pero sin dejar claro qué tipo de permisos se les deben facilitar o si solo tienen acceso a los datos relativos a la entrada y salida de trabajadores, o también a otros como bajas laborales o vacaciones.
Adaptarse a la normativa de protección de datos, un reto cada vez más complicado
Si hace años adaptarse a la normativa de protección de datos era relativamente sencillo y muchas empresas o usuarios lo hacían por cuenta propia, la realidad actual es muy distinta, «sólo hay que ver las continuas novedades que se producen, como las que hemos estado comentando, para darse cuenta de que la protección de datos es un pilar fundamental en el globalizado mundo actual, y que los organismos cada vez ponen más énfasis en el respeto a la integridad y seguridad de los datos personales», añade Quintanilla.
Sin embargo, las crecientes obligaciones y exigencias, unidas a las modificaciones y actualizaciones de la normativa, obligan a empresas y usuarios a adaptarse una y otra vez a un escenario en continuo cambio, añadiendo una preocupación más al ya difícil reto de sobrevivir en el implacable mercado actual. El Delegado de Protección de Datos, los textos legales, la normativa sobre videovigilancia, el tema del registro de la jornada laboral, etc… demasiadas exigencias a las que hacer frente por parte de empresas y usuarios que se ven desbordados.
De hecho, en algunos casos, los niveles de exigencia en protección de datos y compliance son tan elevados que solo las mejores empresas de protección de datos como Grupo Atico34, o firmas como Cuatrecasas o Garrigues podrían hacerles frente. No hay más que ver las recientes obligaciones a las empresas de más de 50 empleados de elaborar un Plan de Igualdad o de implementar un canal de denuncias.
Por tanto, el reto no es sólo para los afectados directamente por la normativa, sino para las empresas que ofrecen servicios de protección de datos. «Necesitamos tener las infraestructuras y recursos, tanto humanos como materiales, para dar solución a peticiones de toda índole: a nosotros acuden empresas y organismos públicos que necesitan que se les asigne un DPO; otras quieren un software para automatizar tareas de protección de datos; y las hay que requieren cumplir la normativa de videovigilancia», reconocen desde Atico34.
En definitiva, un reto cada vez más complicado para todas las partes implicadas, y que a buen seguro irá añadiendo nuevas dificultades con el paso del tiempo. Habrá que estar atentos.