DATACOVID-19 (ORDEN SND/297/2020) O LA GEOLOCALIZACIÓN DE CIUDADANOS

DATACOVID-19 (ORDEN SND/297/2020)  O LA GEOLOCALIZACIÓN DE  LOS CIUDADANOS 

El Gobierno ha aprobado una medida que permite el desarrollo de soluciones tecnológicas y aplicaciones móviles para la recopilación de datos con el fin de mejorar la eficiencia operativa de los servicios sanitarios, así como la mejor atención y accesibilidad por parte de los ciudadanos.

Dicha medida está recogida en la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.

Esta medida cumpliría con unos de los principios recogidos en el Reglamento General de Protección de Protección de Datos  (UE) 2016/679, en su artículo 6.e) concretamente el principio de licitud.

“El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

…

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.…”

Debemos tener en cuenta que al tratarse de actuaciones asociadas al COVID-19 nos podríamos encontrar con un tratamiento de datos de carácter especial y sin consentimiento del interesado y, tal y como establece el propio RGPD en sus considerandos ese tratamiento, debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas física. Enningún caso debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.

A priori, la aplicación sólo permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar y NO constituirá, en ningún caso, un servicio de diagnóstico médico, de atención de urgencias o de prescripción de tratamientos farmacológicos. El Gobiernos destaca que la utilización de la aplicación no sustituirá en ningún caso la consulta con un profesional médico debidamente cualificado.

El responsable del tratamiento será el Ministerio de Sanidad y el encargado del tratamiento y titular de la aplicación será la Secretaría General de Administración Digital. El Ministerio de Sanidad, como responsable del tratamiento, autoriza a la Secretaría General de Administración Digital a recurrir a otros encargados en la ejecución de lo previsto en este apartado. El resto de encargados de tratamiento no se han especificado, al igual que tampoco se ha matizado la ubicación territorial de los servidores que alojen los datos de los españoles que decidan utilizar la aplicación.

No obstante, desde Leggroup, aconsejamos encarecidamente que cada usuario lea detenidamente la política de privacidad de estos servicios y nos remitan cualquier cuestión que les pudiera surgir durante su lectura.

No obstante, como el Gobierno, presuntamente, asegura el pleno cumplimiento de la normativa de protección de datos, recordamos a cualquier usuario que en cualquier momento podrá ejercitar sus derechos de acceso, supresión, limitación del tratamiento, oposición portabilidad. Y lo más importante, el Gobierno no podrá realizar análisis de perfiles de los ciudadanos sin su consentimiento expreso.

Enlace:

Orden SND/297/2020

RGPD: ¿Esta tu empresa adaptada al teletrabajo?

RGPD: TELETRABAJO Y LA PROTECCION DE DATOS

¿Esta tu empresa adaptada al teletrabajo?

¿Está el teletrabajo de tu empresa adaptado al RGPD?

Las nuevas tecnologías permiten trabajar de forma remota desde cualquier parte del mundo, incluidos los hogares, como si estuviéramos en la oficina.

Muchas empresas para paliar y reducir los contagios por el coronavirus están adoptando esta medida. No obstante, no es una solución baladí y exenta de riesgos para el tratamiento de la información, por ejemplo:

1.- La empresa debe tener un sistema informático robusto que permita la conexión segura desde ubicaciones fuera del centro de trabajo como por ejemplo conexiones VPN. O contar con sistemas de trabajo colaborativo que reúnan las garantías de seguridad exigidas por el Reglamento Europeo de Protección de Datos, como puede ser el paquete Office 365 de Microsoft. Para garantizar un sistema informático robusto se debe realizar un análisis de riesgos para evaluar las situaciones y contingencias a las que la información se puede exponer, como por ejemplo conectarse a redes no seguras.

2.- Se deben controlar los recursos informáticos con los que se realizarán tratamiento de datos para ver si éstos cumplen con la política de seguridad redactada por la empresa. Y en el caso de que sea el propio trabajador quien ponga su ordenador, tablet, etc. Se deberá establecer una política específica que permita a la empresa acceder a estos dispositivos ante sucesos que supongan una violación de seguridad a la información corporativa.

Pero ¿cómo saber si la empresa puede abordar el teletrabajo de forma segura y acorde al Reglamento Europeo de Protección de Datos?  Fácil, respondiendo afirmativamente a las siguientes preguntas:

-       ¿Has realizado un análisis de riesgo para securizar el trabajo desde fuera de las dependencias de 
         la empresa?

-       ¿Se ha establecido un plan de seguridad informático?

-       ¿Se ha redactado e implementado un código de uso de los recursos informáticos de la empresa?
      ¿Es conocido por todo el personal afectado?
-    
     En el caso de que se faculte a los trabajadores a utilizar sus propios recursos informáticos, ¿se ha establecido acuerdos Byod (Bring Your Own Device) para que la empresa proteja la información que se puede quedar en los dispositivos de los trabajadores?

-           

Si alguna de las respuestas a las preguntas anteriores, ha sido negativa. El teletrabajo puede conllevar una infracción de la normativa de protección de datos. No obstante, podemos realizar las actuaciones pertinentes para solucionarlo