La presencia online de tu empresa es más que un simple escaparate; es una ventana directa a cómo tratas los datos personales y la confianza de tus clientes. Y con esta visibilidad, viene una gran responsabilidad. Si tu empresa maneja datos personales, ya sea, por ejemplo, de consumidores o de empleados, debe cumplir con la normativa sobre protección de datos personales y derechos digitales.
En este artículo, hablaremos sobre la normativa que regula la protección de datos, cómo gestionar adecuadamente la información personal y qué medidas puedes implementar para asegurarte de que tu empresa cumpla con todas las normativas. También abordaremos temas relevantes, como la gestión de datos en el ámbito de las acciones de marketing, la utilización de cookies y el tratamiento de datos biométricos.
Nuestro objetivo es proporcionarte una guía clara y práctica, protegiendo así a tu empresa de sanciones y aumentando la confianza de tus clientes.
Los derechos digitales son el conjunto de derechos que protegen a los usuarios en el entorno online, permitiéndoles tener control sobre su información y actividad en la red. Estos derechos buscan garantizar que las personas tengan el mismo nivel de protección en su vida digital que en la vida real.
Por ejemplo, uno de los derechos clave en el ámbito empresarial es el derecho a la desconexión digital, que asegura que los empleados no estén obligados, por ejemplo, a responder correos o llamadas fuera de su horario laboral, protegiendo así su tiempo de descanso y intimidad personal. Este derecho es fundamental en un mundo donde la hiperconectividad puede llevar a la sobrecarga laboral y al desgaste.
Por otro lado, los derechos digitales también abarcan la disposición de la huella digital de una persona incluso después de su fallecimiento. Aquí es donde entra en juego el llamado “testamento digital”, un documento que permite a los fallecidos dejar instrucciones claras sobre qué hacer con sus cuentas en redes sociales, correos electrónicos y otros activos digitales tras su muerte.
Los derechos digitales son el conjunto de derechos que protegen a los usuarios en el entorno online, permitiéndoles tener control sobre su información y actividad en la red.
La protección de datos personales en el mundo digital va mucho más allá de proteger simples nombres. Se trata de proteger a las personas detrás de esos datos y asegurar que sus derechos fundamentales no sean vulnerados. Para ello, la información de una persona debe ser tratada de forma lícita, justa y transparente, aplicando medidas de seguridad para mantener su confidencialidad, disponisibilidad e integridad.
En un entorno digital, la información puede ser utilizada de formas que afecten directamente la vida de una persona.
Por ejemplo: Imagina que pides un préstamo y te lo rechazan porque alguien vendió tu historial de actividad en internet al banco donde se reflejan tu tendencia al juego online o tus (malos) hábitos de consumo. Como resultado, te han etiquetado como «mal pagador» por haber tenido un impago, justificado, en una factura de teléfono. Resultado: sufres una discriminación injustificada que afecta tus finanzas.
La protección de datos personales está diseñada para evitar precisamente estos abusos. Su objetivo no es solo proteger la privacidad de las personas, sino también garantizar que la información no se utilice para discriminar, manipular o limitar sus derechos, como el acceso a servicios financieros, oportunidades laborales o la capacidad de ejecutar ciertos contratos.
El incumplimiento de estas medidas puede tener consecuencias devastadoras. Además de los daños económicos o personales, la reputación de la empresa que gestiona los datos puede verse gravemente afectada. Es por eso que las empresas deben asegurarse de tratar los datos de forma transparente, obteniendo el consentimiento informado, si es preciso, de los usuarios y aplicando las medidas de seguridad necesarias para evitar accesos no autorizados, filtraciones o mal uso de la información.
Las leyes que protegen los datos personales y garantizan los derechos digitales son esenciales para salvaguardar la privacidad de los usuarios en el entorno digital. A continuación se destacan las principales normativas en este ámbito:
A continuación, se explica en más detalle cada una de estas normativas y su impacto en la protección de los datos personales y los derechos digitales.
El Reglamento General de Protección de Datos (RGPD) es la norma de referencia en la Unión Europea para la protección de datos personales. Al ser un reglamento, se aplica directamente en todos los Estados miembros sin necesidad de que cada país lo transponga a su legislación nacional.
El RGPD es la norma fundamental que establece un conjunto de obligaciones y derechos. Dicho de otra manera, indica qué deben hacer las empresas y organismos al tratar datos personales, pero también permite que cada país defina ciertos aspectos.
Por ejemplo: Cada Estado tiene la potestad de fijar la edad mínima para otorgar consentimiento, que en la UE oscila entre los 13 y 16 años. En España, esta regulación se encuentra en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (artículo 7).
La LOPDGDD adapta ciertas disposiciones del RGPD al contexto español y desarrolla aquellas que le han sido delegadas. Entre otras, por ejemplo, indica aquellos sectores de actividad que están obligados a contar con un Delegado de Protección de Datos, regula las condiciones para el consentimiento del menor o indica los requisitos para aplicar la base de legitimación de cumplimiento de obligaciones legales.
También establece medidas para garantizar los derechos digitales de los ciudadanos, asegurando que se respeten sus derechos en el entorno digital.
La protección de datos personales es muy contextual por lo que no se puede analizar de forma aislada, ya que, se relaciona con otras leyes sectoriales que también afectan el tratamiento de datos.
Por ejemplo: Existen obligaciones legales en otras normativas que permiten el tratamiento de datos, lo que puede requerir referencias adicionales fuera de la LOPDGDD y del RGPD.
El Reglamento de Servicios Digitales busca proteger a los usuarios en entornos digitales, especialmente en grandes plataformas, motores de búsqueda y redes sociales. Esta norma establece derechos y obligaciones para los proveedores de servicios que almacenan contenido, incluyendo aquellos que utilizan servicios de memoria caché.
Entre las obligaciones de las plataformas se incluye la detección y eliminación de contenido ilícito, así como la implementación de mecanismos accesibles para que los usuarios puedan reportar dicho contenido de manera sencilla. Así, el reglamento fomenta un entorno digital más seguro y transparente, asegurando que las plataformas cumplan con su responsabilidad en la protección de los derechos de los usuarios.
La Ley de Servicios de la Sociedad de la Información (LSSI) deriva de la directiva de privacy para establecer obligaciones específicas para los operadores intermediarios, como los que ofrecen servicios de alojamiento de datos y memoria caché.
La LSSI establece una serie de requisitos informativos que estos prestadores de servicios deben cumplir, como incluir un aviso legal en sus páginas web que identifique al titular. También regula de manera especial el consentimiento del usuario en relación con las comunicaciones comerciales electrónicas, como newsletters, y el uso de cookies.
En este contexto, es importante entender la jerarquía de las normas: una norma especial prevalece sobre una norma general. Por ejemplo, cuando se trata de cookies o comunicaciones comerciales, primero hay que verificar los requisitos establecidos por la LSSI y luego, en su caso, aplicar la LOPDGDD si se tratan datos personales.
Un ejemplo reciente es Windows Recall, una nueva función de Windows 11 que utiliza inteligencia artificial para organizar y buscar contenido en el ordenador de manera más eficiente. Sin embargo, sus métodos han generado preocupaciones serias sobre la privacidad, ya que:
La función tomaba capturas de la pantalla cada cinco segundos, registrando todas las actividades del usuario, incluyendo correos electrónicos, chats, aplicaciones utilizadas y sitios web visitados, incluso páginas sensibles como las bancarias.
Además de las capturas, Windows almacenaba un historial completo de la actividad del usuario, lo que podría incluir información personal y confidencial sin el consentimiento explícito del usuario.
Aunque Microsoft afirmaba que estos datos se almacenaban localmente en el ordenador y no en la nube, seguían siendo vulnerables a ataques de malware o accesibles para cualquier persona con acceso al dispositivo, como otros usuarios en casa o administradores de sistemas en entornos corporativos.
Tras las numerosas críticas recibidas, Microsoft decidió retrasar el lanzamiento de Windows Recall para abordar estas preocupaciones de privacidad.
La compañía está trabajando en mejorar la seguridad y control de la función, implementando cambios como la opción de activación voluntaria y la protección del historial de actividad con autenticación biométrica. Además, se están reforzando las medidas de cifrado para evitar posibles brechas y asegurar que la información registrada permanezca protegida, priorizando así la privacidad de los usuarios antes de su lanzamiento definitivo.
Todas las empresas que traten datos personales están obligadas a cumplir con la normativa de protección de datos. Esto incluye a cualquier negocio, si:
Esto quiere decir que, independientemente del tamaño o sector de tu empresa, es fundamental implementar medidas para asegurar el cumplimiento de la normativa sobre protección de datos y con ello, fortalecer la confianza de tus empleados, socios y clientes.
¿Hasta dónde llega el riesgo por no cumplir con la protección de datos?
En este momento, hay empresas multadas con hasta 1,3 millones de euros por errores que podrían haberse evitado.
Y no todas son grandes corporaciones.
Este eBook te muestra los fallos reales que han terminado en sanción, lo que se hizo mal… y lo que tú puedes hacer diferente.
Porque la próxima sanción podría estar más cerca de lo que imaginas
Sanciones y casos reales de incumplimiento de la protección de datos.
Las empresas utilizan diversos tipos de datos para fines comerciales y de marketing. Entre los más comunes se encuentran el nombre, el correo electrónico, el historial de compras y la dirección IP del usuario. Estos datos permiten a las empresas crear perfiles de clientes y ofrecer una experiencia más personalizada. Además, se pueden emplear otros datos como:
Estos datos se emplean para crear publicidad personalizada, segmentar a los clientes en función de sus intereses o comportamientos, y mejorar la efectividad de las campañas publicitarias.
Al utilizar datos personales para fines comerciales y de marketing, las empresas deben cumplir con ciertas limitaciones legales para proteger la privacidad de los usuarios. Uno de los principios más importantes es el principio de minimización de datos. Este principio establece que solo se deben recopilar y tratar los datos estrictamente necesarios para cumplir con el propósito específico para el que fueron recogidos.
Ejemplo: Si una empresa quiere enviar una newsletter, solo debe solicitar el nombre y el correo electrónico del usuario. Pedir información adicional, como la fecha de nacimiento o el sexo, no sería lícito ya que no es esencial para realizar el envío de comunicaciones comerciales.
La legislación exige que las empresas obtengan consentimiento explícito para el tratamiento de datos personales con fines publicitarios, como el envío de newsletters o promociones, salvo los casos en que se pueda utilizar otra base de legitimación como el interés legítimo. Esto significa que los usuarios deben estar claramente informados sobre cómo se utilizarán sus datos y deben dar su aprobación de forma activa, como marcar una casilla en un formulario de suscripción.
No siempre es necesario obtener el consentimiento explícito para el tratamiento de datos personales. Existen dos condiciones que deben cumplirse para que esto sea posible:
Relación previa con el cliente: La empresa debe tener una relación establecida con el cliente, como en el caso de una compra anterior.
Comunicaciones relacionadas: Las comunicaciones deben referirse a productos o servicios similares a los que el cliente ya ha adquirido. Por ejemplo: Si un cliente compró un televisor, puede recibir información sobre otros modelos de televisores, pero no sobre productos no relacionados, como lavadoras.
Si ambas condiciones se cumplen, la empresa puede enviar comunicaciones sin necesidad de solicitar el consentimiento, basándose, como se ha dicho, en el interés legítimo.
La comunicación de datos a terceros se refiere al proceso mediante el cual una empresa comparte datos personales de, por ejemplo, sus clientes o usuarios con otra tercera persona o empresa. Para llevar a cabo esta comunicación, es fundamental contar con una base de legitimación. Esto significa que, antes de comunicar datos a un tercero, el responsable debe asegurarse de tener una justificación legal para hacerlo.
Un caso típico es cuando un banco solicita autorización para ceder los datos de un cliente a otras empresas del grupo. Aquí, el banco está pidiendo el consentimiento del cliente para compartir su información.
Para comunicar datos a terceros, se deben cumplir, entre otras, alguna de estas condiciones:
Debes obtener el consentimiento explícito del usuario para compartir sus datos con un tercero.
Puedes compartir datos si tienes una obligación legal que lo justifique. Por ejemplo, si necesitas cumplir con requisitos legales, como informar a Hacienda o al INSS, estás legitimado para realizar esta cesión.
También es posible que tengas un interés legítimo que prevalezca sobre los derechos del interesado. Por ejemplo, si una empresa matriz gestiona los datos de los empleados de sus filiales, éstas pueden compartir información relevante, como datos de nómina, contrataciones y evaluaciones de desempeño. Esta cesión es necesaria para garantizar una gestión administrativa eficiente.
Por ejemplo: Si la cesión se realiza para cumplir con una obligación legal, como informar a Hacienda o al INSS, estás legitimado para hacerlo. Sin embargo, si la comunicación se realiza con fines comerciales, como cuando un tercero te paga por obtener esos datos, necesitarás el consentimiento del usuario.
El interesado tiene derecho a obtener del responsable del tratamiento confirmación sobre si se están tratando o no datos personales que le conciernen, esto es, tiene derecho a acceder a esos datos y a recibir la siguiente información:
Finalidad del tratamiento: Para qué se están utilizando sus datos personales.
Categorías de datos: Qué tipo de datos personales se están tratando.
Destinatarios: A quién se han comunicado o se comunicarán sus datos, incluyendo terceros u organizaciones internacionales.
Plazo de conservación: Tiempo previsto para la conservación de sus datos o criterios utilizados para determinar dicho plazo.
Derechos: Información sobre sus derechos, que incluyen:
Origen de los datos: Si los datos no se han obtenido directamente del interesado, debe ser informado sobre su origen.
Decisiones automatizadas: La persona debe ser informada sobre la existencia de decisiones automatizadas que le afecten, incluyendo la elaboración de perfiles.
Ejemplo de decisiones automatizadas: Un banco utiliza un sistema automatizado para evaluar las solicitudes de préstamo. El sistema analiza datos como el historial crediticio e ingresos del solicitante y asigna un puntaje de riesgo. Si el puntaje cumple con los criterios del banco, la solicitud se aprueba automáticamente; si no, se rechaza. Esto significa que la decisión se toma sin intervención humana, afectando el acceso del solicitante al crédito.
Garantías adecuadas: Si los datos son objeto de transferencia internacional en base a las mismas.
Estos y otros derechos que las personas pueden ejercer ante el responsable del tratamiento de datos personales, se recogen en el artículo 15 del RGPD.
Si una empresa cede datos personales sin el consentimiento adecuado o sin una base legal, está incurriendo en un incumplimiento de la normativa sobre protección de datos. Esto puede resultar en sanciones severas, que pueden alcanzar hasta 20 millones de euros o el 4% de la facturación anual de la empresa.
Cookies
Son dispositivos de almacenamiento y recuperación de datos que un sitio web almacena en tu ordenador, móvil o tablet cuando navegas por internet, en la web en cuestión, con la finalidad de almacenar y recuperar información ya almacenada.
Sirven para diferentes propósitos: algunas cookies son técnicas, es decir, necesarias para que la página funcione bien (como recordar qué productos tienes en el carrito de compra), mientras que otras, conocidas como cookies analíticas, recopilan información sobre tu actividad en la web. Estas cookies observan qué páginas visitas, cuánto tiempo pasas en cada una y qué clics realizas, con el objetivo de analizar tu comportamiento en línea, ya sea con fines analíticos o para el envío de publicidad personalizada.
Trackers (o rastreadores)
En general, son dispositivos que abarcan elementos como el píxel de Facebook. Estos pixels también recopilan datos sobre tus hábitos en internet, permitiendo a los anunciantes crear un perfil sobre ti. Con esta información, pueden ofrecerte publicidad personalizada basada en tus intereses, mostrando anuncios que se ajustan a tus gustos y preferencias según tus visitas y actividades en distintas páginas web.
Las cookies son dispositivos de almacenamiento y recuperación de datos que un sitio web almacena en tu ordenador, móvil o tablet cuando navegas por internet, en la web en cuestión, con la finalidad de almacenar y recuperar información ya almacenada.
Los trackers son herramientas que se instalan en tu dispositivo para recopilar datos sobre tus hábitos en internet.
En Europa, las cookies y los trackers están regulados principalmente por la Directiva ePrivacy, que en España se implementa a través de la Ley de Servicios de la Sociedad de la Información (LSSI). Esta establece que el usuario debe dar su consentimiento informado antes de que se instalen cookies que no sean estrictamente necesarias para el funcionamiento de la web. En otras palabras, es ilegal que las páginas web descarguen cookies de seguimiento o trackers sin haber obtenido primero el consentimiento del usuario.
Sin embargo, en muchos sitios, las cookies se activan antes de que el usuario pueda aceptarlas o rechazarlas, lo cual es una práctica sancionable. Además, las cookies y trackers recopilan datos personales, como la IP y el historial de navegación. Por eso, después de obtener el consentimiento para las cookies, es necesario solicitar también para el tratamiento de estos datos e informar al usuario de forma clara y detallada sobre cómo se utilizarán.
Las cookies y la privacidad digital están estrechamente relacionadas porque muchas cookies recopilan y almacenan datos personales del usuario, lo que plantea cuestiones importantes sobre cómo se protege esta información en línea. Al navegar, las cookies pueden registrar detalles como las páginas que visita el usuario, el tiempo que pasa en cada una, sus preferencias y comportamientos , lo cual puede afectar la privacidad digital si no se maneja de forma adecuada.
Esto también implica que se tratan datos personales por lo que es evidente que será aplicable en último término la normativa sobre protección de datos personales.
Sí, y la diferencia es sencilla.
Las cookies obligatorias son las técnicas, es decir, las que son esenciales para que una web funcione correctamente, como las que permiten cargar las distintas secciones de una página.
Las cookies opcionales, como las de preferencias (con excepciones) o las de marketing, que requieren el consentimiento del usuario porque no son indispensables para la navegación.
Los patrones oscuros o dark patterns son tipos de diseño de herramientas digitales, como apps o páginas web, que buscan influir en nuestras decisiones sin que nos demos cuenta, o incluso en contra de nuestra voluntad.
Por ejemplo: Un banner de cookies que muestra el «Aceptar» en un botón grande de color llamativo, mientras que el de «Rechazar» es pequeño y poco visible. Esto es un patrón oscuro que prioriza que el usuario acepte las cookies por encima de rechazarlas.
Los dark patterns o patrones oscuros son diseños pensados para influir en nuestras decisiones y comportamiento de manera sutil o incluso en contra de nuestra voluntad.
Patrones oscuros y consentimiento
El uso de patrones oscuros puede afectar a la obtención lícita del consentimiento del usuario.
Por ejemplo:
Existen diferentes tipos de patrones oscuros, que pueden afectar de distintas formas las decisiones del usuario. Se pueden clasificar como sigue:
Sobrecarga (Overloading).
Cuando se nos bombardea con muchas opciones o se nos hace la misma pregunta una y otra vez fatigándonos para que al final compartamos más de lo que queríamos.
Por ejemplo: Si rechazas las cookies y cierras la página. Si luego vuelves a entrar, es probable que te pregunten de nuevo si las aceptas, mientras que si las aceptaste, no te lo vuelven a preguntar.
Otro ejemplo: Cuando una ventana emergente (popup) para suscribirte a una newsletter se abre constantemente, incluso después de que la hayas cerrado o rechazado la oferta.
Ocultación (Skipping).
Aquí, la información importante se esconde o se presenta de forma confusa, haciendo que el usuario la ignore sin darse cuenta.
Por ejemplo: Cuando un sitio web presenta su política de privacidad en un documento largo y denso que utiliza un lenguaje técnico. Los usuarios que quieren entender cómo se utilizan sus datos pueden sentir frustración y decidir no leerla, dejando de lado información crucial.
Emocionar (Stirring).
Se usan efectos visuales o mensajes persuasivos para apelar a las emociones y así influir en las decisiones.
Una página de donaciones que muestra imágenes conmovedoras de personas necesitadas y utiliza frases emotivas como “Tu ayuda puede cambiar vidas” para incitar al usuario a donar sin pensar demasiado.
Obstaculización (Hindering).
Consiste en poner trabas para que el usuario acceda a ciertas funciones, como esconder los ajustes de privacidad en lugares difíciles de encontrar.
Por ejemplo: Cuando un servicio de streaming puede complicar el proceso de cancelación al requerir que los usuarios naveguen a través de varias páginas y formularios, o al ofrecer múltiples preguntas que los usuarios deben responder antes de poder cancelar.
Inconsistencia (Fickle).
Este tipo de patrón presenta una interfaz confusa o inestable, lo cual dificulta realizar las acciones deseadas, como cambiar la configuración de privacidad.
Por ejemplo: Cuando un sitio web que cambia constantemente la ubicación de los botones de configuración de privacidad o presenta diferentes diseños en cada visita, dejando al usuario confundido sobre cómo realizar cambios.
Enturbiar (Left in the dark).
Cuando la información o las opciones de privacidad son ambiguas o contradictorias, lo que impide que el usuario comprenda realmente lo que está aceptando.
Por ejemplo: Cuando un sitio dice “Podemos compartir tus datos con terceros” sin explicar quiénes son esos terceros o cómo se utilizarán los datos, dejando al usuario inseguro sobre lo que realmente está aceptando.
Los patrones oscuros pueden hacer que los usuarios acepten condiciones que no desean o que compartan más información personal de la que realmente quieren. Al manipular o esconder las opciones sobre el tratamiento de datos personales, reducen la transparencia y la libertad del usuario para decidir sobre sus datos. Esto afecta la confianza del usuario en internet y puede llevar a prácticas de tratamiento de datos personales sin un consentimiento totalmente informado, lo cual va en contra de las normativas de privacidad.
Las empresas pueden implementar varias estrategias para evitar el uso de patrones oscuros en la gestión de cookies y diseño de sus plataformas y mejorar la experiencia del usuario.
Una de las más efectivas es la adopción del denominado “Legal Design”. Esta metodología combina conocimientos jurídicos y de diseño para que la información sobre cookies, políticas de privacidad y otras condiciones legales sea más accesible y comprensible.
Al aplicar el Legal Design, las empresas pueden simplificar el lenguaje y la estructura de los avisos y consentimientos. Utilizar un lenguaje claro y directo ayuda a los usuarios a entender cómo se utilizan las cookies y cómo se recopilan sus datos. Esto reduce la confusión y la desconfianza. Además, es fundamental facilitar el ejercicio de los derechos del usuario. Deben poder acceder, suprimir o rectificar sus datos de manera sencilla y directa, evitando complicaciones en la gestión de sus preferencias. Por último, es importante evitar la insistencia. No se debe insistir a los usuarios con repetidas solicitudes de aceptación de cookies, ya que esto puede resultar molesto e intrusivo.
En otras palabras, aplicar una política de transparencia en todo lo que concierne a la protección de datos personales para construir una relación de confianza con los usuarios y garantizar que puedan ejercer sus derecho con facilidad.
¿Hasta dónde llega el riesgo por no cumplir con la protección de datos?
En este momento, hay empresas multadas con hasta 1,3 millones de euros por errores que podrían haberse evitado.
Y no todas son grandes corporaciones.
Este eBook te muestra los fallos reales que han terminado en sanción, lo que se hizo mal… y lo que tú puedes hacer diferente.
Porque la próxima sanción podría estar más cerca de lo que imaginas
Sanciones y casos reales de incumplimiento de la protección de datos.
Los datos biométricos son características únicas de cada persona, como la huella digital y los rasgos faciales, que normalmente son invariables a lo largo de su vida. Decimos normalmente invariables porque algunos datos biométricos, como las huellas dactilares, pueden desgastarse con el tiempo y, por lo tanto, variar, algunos otros también pueden variar debido, por ejemplo, a operaciones quirúrgicas.
El hecho de que estos datos sean únicos hace que su protección sea muy importante; un acceso no autorizado puede permitir que un tercero acceda a servicios vinculados (acceso a cuentas bancarias, a páginas de compras, a historiales médicos, etc.) a esa huella digital o ese reconocimiento facial.
Además de las huellas digitales y los rasgos faciales, los datos biométricos también pueden incluir patrones de comportamiento, como la forma de escribir en un teclado o la forma de mover el ratón.
Los datos biométricos son características únicas de cada persona, como la huella digital o los rasgos faciales, que, en general, permanecen invariables a lo largo de la vida.
El criterio actual de la Agencia Española de Protección de Datos (AEPD), considerado un criterio administrativo, establece que el uso de datos biométricos para registrar la jornada laboral no está permitido, ya que dicho tratamiento no es necesario para cumplir con esa finalidad. A pesar de que esto es un criterio administrativo, es evidente que marca el criterio sancionador de la agencia. Esto significa que, en la actualidad, es más complejo utilizar estos datos para el registro de la jornada puesto que existen alternativas menos intrusivas que son igualmente eficaces. Por ejemplo, se pueden utilizar tarjetas de acceso o aplicaciones móviles para fichar.
El uso de datos biométricos para el control de acceso solo esté muy debidamente justificados y se pueda acreditar dicha «necesidad».
¿En qué casos podría llegar a ser «necesario»?
Por ejemplo: En lugares donde la seguridad es crítica, como en una sala específica de una central nuclear.
Las cámaras de videovigilancia en empresas se utilizan principalmente para dos propósitos:
La seguridad de las personas y las instalaciones
El control laboral
Para determinar si la instalación de un sistema de videovigilancia es lícita se deberá realizar un juicio de proporcionalidad. Esto implica evaluar si la medida es idónea para cumplir con la finalidad que se persigue y proporcionada en relación al impacto que pueda tener en los derechos de los empleados, especialmente en su privacidad. Así, la videovigilancia debe ser un recurso justificado, adecuado y limitado a lo estrictamente necesario para que sea considerado legítimo.
Por ejemplo: Tener una cámara exclusivamente focalizada en un empleado durante 24 horas puede considerarse una violación de su intimidad y privacidad. Asimismo, la videovigilancia en zonas comunes, como áreas de descanso o comedores, está prohibida, ya que se entiende que son espacios donde los trabajadores se encuentran fuera de sus obligaciones laborales y deben contar con su derecho a la privacidad.
Para garantizar la protección de los derechos en el contexto de la videovigilancia, es esencial contar con una base legal para el tratamiento de datos y aplicar los principios fundamentales como el de minimización, licitud y confidencialidad.
Además deben aplicarse las medidas de seguridad adecuadas, y realizarse evaluaciones de impacto sobre la protección de datos.
El IoT, o Internet de las Cosas, se refiere a la interconexión de objetos físicos a través de internet, de modo que puedan captar, procesar y compartir datos de su entorno.
Entre los ejemplos de dispositivos IoT se encuentran los relojes inteligentes, que registran actividad física y datos sensibles, como la frecuencia cardíaca. También incluye dispositivos como neveras o luces conectadas, que pueden transmitir información sobre nuestros hábitos diarios. Este nivel de conexión plantea riesgos de seguridad y privacidad, ya que el acceso no autorizado podría exponer información sobre nuestros horarios, presencia en el hogar e incluso la naturaleza de nuestras rutinas diarias.
El IoT, o Internet de las Cosas, es la interconexión de objetos físicos a través de internet para captar, procesar y compartir datos de su entorno.
El IoT puede llevar a la recolección de datos personales, muchos de ellos sensibles. Además, la constante comunicación entre dispositivos aumenta las posibilidades de ataques, donde un tercero podría acceder a información privada o controlar dispositivos. Esto genera preocupaciones sobre cómo se almacenan, protegen y comparten los datos, especialmente los relacionados con la salud, la seguridad y la vida doméstica.
Primero, implementando la protección de datos personales por defecto. Los dispositivos IoT deberán estar configurados de manera predeterminada para recopilar el mínimo de datos necesario para su funcionamiento. Esto implica que al adquirir un dispositivo, las opciones de tratamiento de datos predeterminadas deberían ser las menos invasivas posibles.
Segundo, permitir que el usuario decida qué datos desea compartir y en qué condiciones. Por ejemplo, al comprar un reloj inteligente, el usuario debería poder optar por desactivar funciones como el monitoreo de la frecuencia cardíaca o la conexión automática con aplicaciones móviles, garantizando así un control más significativo sobre su información personal desde el principio.
Ejemplo: Edificios Inteligentes
Una empresa de gestión de propiedades utiliza dispositivos IoT en edificios comerciales para monitorear el consumo energético y la calidad del aire. Esto les permite optimizar el uso de recursos y crear un entorno de trabajo más saludable y eficiente. Sin embargo, estos dispositivos pueden recopilar datos sobre la ocupación y el comportamiento de los empleados, lo que plantea preocupaciones sobre la privacidad.
Si la red se ve comprometida, un hacker podría acceder a información que indique cuándo hay o no personas en el edificio, lo que aumenta el riesgo de robos.
La empresa de gestión de propiedades debe informar claramente a los ocupantes del edificio sobre qué datos se recopilan y cómo se utilizan. Además, debe facilitarles el acceso para limitar o rechazar la recopilación de datos, garantizando así una mayor protección de su privacidad.
Se considera transferencia internacional de datos cualquier envío de datos personales a un país fuera de la Unión Europea (UE).
Estas transferencias presentan un reto adicional, ya que los países fuera de la UE no están sujetos al Reglamento General de Protección de Datos (RGPD) y, por lo tanto, pueden ofrecer garantías de privacidad y protección de datos diferentes.
La normativa principal es el Reglamento General de Protección de Datos (RGPD). A nivel europeo, el European Data Protection Board (EDPB) emite directrices y opiniones complementarias que ayudan a interpretar y aplicar la normativa en casos específicos.
Si forma parte de la UE
Las transferencias entre países miembros de la UE no presentan dificultades, ya que todos ellos cumplen con los mismos estándares de protección de datos personales establecidos por el RGPD.
Si no forma parte de la UE
Las transferencias de datos a países fuera de la UE solo están permitidas si el país receptor garantiza un nivel adecuado de protección de datos personales. Para llevar a cabo una transferencia de datos personales a un país que no forma parte de la UE y al que, por lo tanto, no le resulta aplicable el RGPD, es necesario buscar instrumentos legales que avalen dicha transferencia.
Las principales herramientas que pueden vehicular las transferencias internacionales de datos personales son, entre otras:
Ahora ya tienes un conocimiento más claro sobre los diferentes contextos en los que tu empresa puede estar utilizando datos y qué normas y mecanismos tienes a tu disposición para protegerlos.
Si necesitas ayuda para implementar adecuadamente la normativa de protección de datos en tu empresa, disponer de un abogado especializado en derecho digital que te apoye puede marcar la diferencia.
En Beta Legal, contamos con expertos en protección de datos personales que pueden auditar tu empresa, diseñar políticas de privacidad y procedimientos personalizados, y asesorarte en la gestión de incidentes de seguridad. De este modo, podrás reducir el impacto de posibles brechas de seguridad que afecten a datos personales.
¿Buscas una solución que simplifique la gestión del Plan de Igualdad para ofrecer un servicio óptimo a tus clientes?
Nuestra metodología y herramienta te ofrecen:
