Archivo de la etiqueta: datos personales

Guía para reclamación de deudas, y consentimiento para uso de datos por parte de reclamadores

Posted on por
Responder

Frecuentemente escuchamos  a deudores quejarse, muchas veces con razón, de que están siendo “acosados” por sus acreedores, y de que usan sus datos sin su consentimiento, o que no saben quién les reclama ni por qué.

En este sentido, para entender mejor qué puede hacer y qué no puede hacer un acreedor para reclamar el pago de una deuda, puedes consultar la siguiente Guía, teniendo en cuenta que España es uno de los pocos países de la Unión Europea que no tiene una regulación específica para este tipo de reclamaciones:

1.- Por lo general, el acreedor está legitimado para contactar con el deudor, utilizando aquellos datos facilitados por el propio deudor. Para ello, el acreedor NO necesita el consentimiento del deudor y, por ese mismo motivo, el que el deudor lo revoque no tiene ningún efecto. También se podrá actualizar los datos de localización por parte del acreedor cuando hayan cambiado, aplicando las garantías respecto a la fiabilidad de esos datos.

2.- El punto 1 se justifica así porque la base legal de tratamiento no es el consentimiento. Aparte del interés legítimo del acreedor en cobrar la deuda, la base legal de tratamiento de los datos es la ejecución y desarrollo del contrato del que trae origen la deuda (por ejemplo un préstamo, un contrato de telefonía móvil o una hipoteca), que aún sigue vigente.

3.- Por lo general, es recomendable no contactar telefónicamente con un deudor fuera del siguiente horario: de 9:00 horas  a 21:00 horas, ni hacerlo de forma muy continuada (varias veces al día o todos los días de forma seguida), de manera que se pueda considerar que el deudor está siendo acosado. Una mala práctica en este sentido no solo no permitirá el objetivo (cobrar la deuda) ya que el deudor se siente acosado y perseguido, y el acreedor podrá tener problemas de ámbito penal.

4.- El acreedor, siempre que lo informe debidamente, podrá grabar las llamadas. Además, deberá informar de forma clara, al menos, de quién es el responsable del tratamiento de los datos, cómo ejercitar los derechos de protección de datos, base legal de tratamiento y facilitar el acceso a la política de privacidad o cláusula informativa de conformidad con el artículo 13 del RGPD.

5.- El acreedor, podrá contactar por otros medios, como SMS, mensajería instantánea, carta, visitas concertadas.

6.- El acreedor podrá contactar con personas del entorno del deudor (familiares, amigos, compañeros de trabajo…), siempre y cuando sea exclusivamente para localizar al deudor. Además, nunca podrá revelar el propósito de la llamada ni la condición de deudor de la persona que intenta localizar. Por último, téngase en cuenta que las personas del entorno del deudor pueden ejercer su derecho de oposición a recibir llamadas, por lo que en ese caso el acreedor no podrá volver a contactar con ellas.

7.- El deudor, aunque obviamente puede ejercitar su derecho de oposición o de supresión de sus datos, por lo general, y si la deuda sigue pendiente, es probable que no se acceda a su petición, si el acreedor entiende que prevalece su derecho a cobrar la deuda.

8.- El acreedor puede delegar la reclamación de deudas en empresas especializadas o despachos de abogados. En este caso, tampoco es necesario el consentimiento del deudor para transferir sus datos a estas empresas de recuperación de deuda, ya que estas actúan en calidad de encargados del tratamiento. Sin embargo, la empresa de recobro deberá informar correcta y claramente sobre quién es el acreedor inicial que actúa en calidad de responsable del tratamiento, además de lo previsto en el punto 4 anterior.

9.- Si el deudor ha pagado la deuda, o ha sufrido un fraude, o se le está reclamando un importe incorrecto, lo más recomendable es que se apresure en acreditar documentalmente todo lo que defiende, y se ahorre llamadas y discusiones maratonianas. En este sentido, si ha pagado la deuda, podrá acreditarlo mediante justificantes bancarios, si ha sufrido un fraude, siempre ayudará haber interpuesto la correspondiente denuncia a la policía.

10.- El acreedor, puede además dar de alta al deudor en ficheros de información crediticia (antes llamados de solvencia patrimonial y crédito), siempre y cuando se cumplan los requisitos previstos en el artículo 20 de la LOPDGDD.

Reconocimento facial y RGPD

Posted on por
Responder

De acuerdo con el RGPD, hay determinadas tecnologías que, por su novedad y/o falta de precisión, deben ser tratadas con especial cautela. Sobre todo si los datos tratados son considerados sensibles.

Este es el caso del reconocimiento facial, una tecnología que en algunos casos puede ser especialmente invasiva para la privacidad, y que en la mayoría de las ocasiones requiere una evaluación previa antes de implantarla en nuestra empresa o negocio.

Recientemente, la Autoridad sueca ha sancionado a un instituto de estudiantes que había decidido hacer una prueba piloto con esta tecnología, para un mejor control de la asistencia de sus alumnos.

En este caso, además de ser un proyecto piloto, el instituto había solicitado el consentimiento paterno de todos aquellos estudiantes que querían participar en el proyecto, lo que aparentemente se podría considerar que habían actuado diligentemente.

Sin embargo, y teniendo en cuenta esta tecnología de reconocimiento facial, la actuación correcta del instituto debería haber sido la siguiente:

1.- Realizar una evaluación de impacto en los derechos de los estudiantes respecto al tratamiento de sus datos, estudiando la posibilidad de utilizar métodos menos invasivos para su privacidad.

2.- Hacer una consulta previa a la Agencia de protección de datos sueca, para obtener en su caso el visto bueno de la misma.

Lamentablemente el instituto no realizó ninguna de estas acciones.

Por esta razón, antes de utilizar nuevas tecnologías en las que se tratan datos personales, siempre es recomendable seguir los pasos anteriores.

Por último, la AEPD ha publicado una lista de posibles tratamiento que necesariamente exigen la realización de una evaluación de impacto, y que puedes encontrar aquí.

Consentimiento y datos personales de empleados

Posted on por
Responder

Recientemente se ha sancionado a una empresa en Grecia (PwC) por una mala elección respecto a la base legal de tratamiento de los datos personales de sus empleados.

El esencial error que ha cometido esta empresa (que paradójicamente presta, entre otros servicios, el asesoramiento legal en protección de datos) es basar el tratamiento de datos de trabajadores en el consentimiento expreso de estos, mediante la firma de un documento. Y se entiende que es un error porque, con el nuevo Reglamento Europeo de Protección de Datos, existen bases legales mucho más fuertes y justificadas para el tratamiento de datos que el consentimiento, el cual deber quedar relegado únicamente a aquellos casos en lo que no es aplicable otra base legal.

En concreto, para el uso de datos personales de trabajadores, la base legal de tratamiento más correcta es el desarrollo y cumplimiento de un contrato entre la empresa y estos, y el cumplimiento de obligaciones legales (alta en Seguridad Social, por ejemplo).

Ante estos hechos, en PwC Grecia se dio la absurda situación en la que, al haber escogido una base legal como es el consentimiento, en aquellos casos en los que los empleados se han negado (o se han olvidado) de firmar el documento, se entiende que PwC estaba usando estos datos sin autorización, lo que ha desembocado en una sanción de 150.000 Euros.

5 Claves para cumplir con la LOPD en tu empresa

Posted on por
Responder

Como ya he comentado en otras ocasiones, los datos de carácter personal son derechos especialmente protegidos, y se encuentran dentro de la categoría de derechos fundamentales de la Constitución.

La privacidad de estos datos deber ser tomada muy en serio por las empresas y organizaciones, pues éstas gestionan información personal que, de ser conocida por terceros, puede causar perjuicios graves para los particulares, además de generar denuncias a la AEPD o demandas para éstas.

Sin perjuicio de que siempre recomendaré que un experto con conocimientos jurídico-técnicos en LOPD valore y audite cada empresa de forma independiente antes de implantar cualquier política de protección de datos, a continuación indico las claves básicas para dar un cumplimiento mínimo a la LOPD.

1.- Inscripción de los diferentes ficheros en la Agencia Española de Protección de Datos.

No se trata simplemente de inscribir un fichero genérico en el que caben todo tipo de datos. Se debe hacer un estudio previo de las diferentes formas en los que un empresa recaba datos de carácter personal para así organizarlos en diferentes ficheros. Por ejemplo, si los datos se recaban a través de un formulario web, conviene crear un fichero exclusivo para estos datos, si se recogen imágenes de una cámara de seguridad se debe crear otro fichero diferente, si se trata de proveedores otro, de curriculums otro, de personal y nóminas otro diferente, otro para clientes, etc. De esta manera, los datos estarán organizados, localizables y mejor protegidos según sus características, pues obviamente no es lo mismo tener información de enfermedades de una persona, que tener simplemente su e-mail.

Otra cosa importante es, por supuesto, poner esto en práctica y crear estos ficheros física o virtualmente de forma ordenada, y mantenerlos en buenas condiciones junto con las medidas técnicas adecuadas en función de si se trata de datos con una protección de grado básico, medio o alto.

2.- Elaboración de una política de privacidad y de cookies.

Tanto si tu empresa tiene una web como si no, la LOPD indica que se ha de elaborar una política de privacidad en la que se informará a los clientes o aquellas personas de las que se recaben sus datos de cual será el uso de los mismos, cómo pueden ejercitar los derechos ARCO (acceso, cancelación, rectificación y oposición), a dónde deben dirigirse los usuarios, titularidad del o los ficheros y otra información relevante que cada empresa quiera o deba facilitar a sus clientes.

Además, esta política se debe implementar en el propio seno de la empresa, y funcionar tal y como se indica a los clientes. Es decir, conviene que haya un responsable del fichero, un responsable de atender a los clientes que ejerciten sus derechos ARCO, etc. No es suficiente informar de nuestra política de privacidad si internamente la empresa no funciona como tal, ni se lleva ningún control sobre los datos.

3.- Elaborar el Documento de seguridad.

Un Documento de seguridad es donde se anotan protocolos de seguridad, medidas técnicas y organizativas para la protección de los datos, se indica quienes son los responsables de las diferentes funciones y ficheros, listado de personas con acceso a los datos, se archivan documentos firmados con terceros en relación con acceso a datos, contratos de confidencialidad con los trabajadores, etc. En definitiva, se trata de un documento «vivo», que se deberá actualizar con cada cambio y por ello es necesario que alguien se responsabilice del mismo.

Paradójicamente, el Documento de seguridad es el gran olvidado de las empresas, cuando en realidad es el documento más importante y el que, en caso de inspección por denuncia (de momento no hay inspecciones de oficio propiamente dichas) se requerirá. Hemos de tener en cuenta que las inspecciones suelen producirse por denuncia, normalmente de trabajadores pero cada vez los casos son más variados.

Actualmente, como digo, no existe la figura del inspector de protección de datos de carácter personal, pero hemos de tener en cuenta que un Inspector de trabajo también podrá solicitar el Documento de seguridad, ya que suele contener datos de carácter laboral, o curriculums, y aunque no se sancionará en caso de no tenerlo en condiciones, sí se anota en el acta de inspección.

Además, para muchas certificaciones ISO, el estar en cumplimiento de la LOPD es un requisito básico.

4.- Firma de Contratos con proveedores, clientes y trabajadores.

Otro gran olvido de las empresas u organizaciones es firmar los correspondientes documentos con aquellos proveedores, clientes u otras personas que tengan acceso a los datos o dependencias de éstas.

En estos contratos las partes implicadas se deben comprometer a hacer el uso correcto y necesario de los datos a los que acceden, además de guardar confidencialidad. Sin estos contratos, los datos  corren el peligro de ser utilizados para otras cuestiones.

5.- Mantenimiento.

Por último, y muy importante, es que las empresas deben concienciarse de que la LOPD es una de las leyes más estrictas y específicas que Europa nos impone, y que para dar un buen cumplimiento es necesario trabajar sobre los datos obtenidos de forma continua, establecer medidas técnicas adecuadas, auditarse y mantener unos estándares de protección y calidad adecuados de forma continuada, y por tanto tras la implantación de protección de datos, se deben proceder al mantenimiento correcto de todos los protocolos de cara a evitar sanciones importantes.