Acerca de xribas

– Socio fundador de Ribas y Asociados. – Abogado dedicado al Derecho de las Tecnologías de la Información desde 1987 – Experto en Compliance. – Director del Curso de Compliance Officer de Thomson Reuters Aranzadi. – Director del Curso de DPO – RGPD de Thomson Reuters Aranzadi. – Director del Practicum de Compliance de Thomson Reuters Aranzadi. – Profesor de Compliance Tecnológico de ESADE. – Designado por Expansión como uno de los 25 abogados referentes de España (2013) – Designado por Best Lawyers como el mejor abogado de los años 2013 y 2015 en materia de protección de datos – Designado por Best Lawyers como el mejor abogado del año 2014 en materia de IT Law – Premio 2012 al mejor abogado en Derecho Digital (ICAB – Digital Law World Congress) – Seleccionado por Chambers y Best Lawyers como uno de los mejores abogados en: – Privacy & Data Protection – Information Technology – Intellectual Property – Media – Communications – Director del Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual (IT+IP) de ESADE – Socio de PwC (1998-2012) – Responsable de la red internacional de Derecho de las TIC de PwC (2000 – 2004) – Auditor informático CISA (ISACA) – Certified in Risk and Information Systems Control CRISC (ISACA) – Vicepresidente 1º de ENATIC (2012 – 2015) – Autor del libro Aspectos juridicos del comercio electronico en internet – (Editorial Aranzadi 1999). – Asesor Jurídico de BSA (Business Software Alliance) (1988 – 2011) – Miembro de la Comisión de Regulación de la AECE (Asociación Española de Comercio Electrónico) – Miembro de la Junta Directiva de la AUI (1996 – 2003) – Presidente de ARBITEC Asociación Española de Arbitraje Tecnológico (1989 – 2015) – Miembro del Legal Working Group de UNECE – CEFACT en materia de comercio electrónico (ONU) – Autor del Manual Práctico de Contratación Informática CONTRACT-SOFT (1987-2003) 11ª Edición. – Participante en el proyecto LATHE GAMBIT del Mando Aliado de la OTAN, relativo al análisis del entorno legal y la seguridad de Internet en materia de ciberdelitos. – Autor de los paneles de control LOPD – RMS – LSSI – Contratos tecnológicos y Activos inmateriales – Miembro de ISACA – Information Services Audit and Control Association – Colegiado 12.968 del Colegio de Abogados de Barcelona

El daño que la relación laboral ha hecho en el sector de la abogacía (Episodio 2)

Los efectos negativos que estoy atribuyendo a la relación laboral pueden provenir también de la suma de otros factores, como los que he comentado en la entrega anterior: la educación, la pertenencia a una determinada generación o la escala de valores, pero en mi opinión, la relación laboral ha contribuido a acentuar estos efectos.

No digo que la relación laboral sea un tipo de relación inidónea para los despachos de abogados, sino que puede haber sido la base de un cambio cultural que ha afectado al carácter, a la motivación, a la creatividad y al sistema de asunción de riesgos de los profesionales que han desarrollado su carrera en ese marco contractual.

Por eso, cuando hablo de abogado asalariado me refiero al abogado que asume el corsé de salariado y que se comporta como un asalariado autolimitado, a pesar de haber escogido lo que antes llamábamos el ejercicio “libre” de la profesión.

Ajenidad de riesgos: la teoría y la realidad

Una de la características que definen la relación laboral es la ajenidad de riesgos. Da la impresión de que muchos abogados asalariados se lo han creído.

Muchos abogados trabajan con la falsa percepción de que todos sus errores los asume el despacho. Y es cierto en parte. Pero existen algunas diferencias entre la responsabilidad de un profesional que lleva el asunto de un cliente de forma inadecuada y la de un trabajador asalariado que comete un error en el ensamblaje de un producto.

Prueba de ello es que todos los abogados colegiados tienen un seguro de responsabilidad civil individual, y que en el Código Penal existen delitos relacionados con la negligencia y el secreto profesional, cuya comisión se atribuye al abogado y no al despacho.

El esquema basado en categorías profesionales tiene como objetivo asegurar la calidad del trabajo a través de la supervisión en cascada  e impide que un profesional inexperto tenga un contacto directo con el cliente. Pero, ¿cuántas veces ha sucedido que, con las prisas o con esa falsa percepción de ajenidad de riesgos, el documento elaborado por un junior se ha leído en diagonal en el nivel superior, e incluso en el nivel superior al superior, y al final ha sido entregado al cliente sin una revisión profunda? ¿Y los documentos que incluyen datos de otro cliente?

Un atributo esencial del abogado asalariado es la dificultad para crear un documento desde cero, sin partir de un modelo. Es habitual que cuando un abogado recibe el encargo de un documento, lo primero que pregunte es dónde está el modelo, perpetuando la convicción de que forma parte de una cadena de producción en la que la creatividad no es un elemento esencial, y en la que cualquier defecto en el documento entregado al cliente tiene su origen en el modelo original o en una supervisión incompleta. 

Es evidente que hay excepciones, pero es difícil encontrar hoy en día un abogado joven que desde el principio se considere el máximo responsable de su trabajo, que disfrute creando un texto brillante a partir de una hoja en blanco y que piense que está trabajando para el cliente, y no para su superior. Es decir, que no redacte pensando que es un borrador sujeto a revisión, y que por lo tanto puede contener errores de planteamiento, faltas de ortografía o una redacción nefasta. Esto es exactamente lo que pasa cuando piensas que tu superior es un corrector en vez de un supervisor y que trabajas con una red de seguridad que te protege de cualquier riesgo.

El sentimiento de ajenidad

Pero lo que más desanima es que, sea cual sea el modelo de gestión: autoritario o participativo, distante o próximo, los abogados que han asumido el rol de asalariado no sienten que forman parte de un proyecto de futuro en el que tienen un papel decisivo. Las frases más valiosas y esperadas son las que empiezan por: “He pensado que podríamos…”. Sin embargo es muy raro que se produzcan. La persona que las formula es, para mi, un socio en potencia.

Ello se une al ideal, inherente a las nuevas generaciones, de no estar más de dos o tres años en el mismo sitio. Es un ideal que parece importado directamente del Silicon Valley, y es verdad que es la mejor forma de salir de la zona de confort que genera un trabajo estable, pero siempre se ha valorado negativamente un CV con muchos empleos de corta duración. Y un profesional que no piensa estar mucho tiempo en tu despacho será difícil que asuma un nivel de compromiso suficiente para alejarlo del sentimiento de que el proyecto no es ni será nunca suyo. Tengo pocas esperanzas de que, en la etapa post-covid, los profesionales jóvenes abandonen ese rol de “visitante” o de nómada, que tanto ha contribuido a incrementar los índices de rotación de los despachos, y de que asuma un mayor nivel de compromiso con el proyecto del que forma parte. 

Me abstengo de dar mi opinión sobre el abogado mercenario, porque es sabido que un profesional que entra por dinero, por dinero se va, y que si el único vínculo que tiene con el despacho es el salario, nunca alcanzará el nivel de compromiso esperado. Es mejor no contratarlos, siempre que consigas identificarlos en el proceso de selección.

Cuanto mayor es el sentimiento de ajenidad, mayor es la falta de aportaciones y de asunción de responsabilidades. En el análisis de la crisis financiera de 2008 se debatió mucho sobre el sentimiento de ajenidad del riesgo (riesgo moral o moral hazard) del sistema financiero, que estaba seguro de que, fuese cual fuese su comportamiento, el Estado acudiría siempre a su rescate.

Ayer ponía el ejemplo del paquete de Amazon porque me imaginaba la cara que pondría un cliente, o nosotros mismos, si un abogado asalariado tratase un encargo de la misma manera: te informase de que ha recibido el mensaje, que empieza a trabajar en él, que estima poder entregarlo en cinco días, que te alerta de cualquier incidencia en el trabajo o en la previsión de entrega y que te sorprende gratamente entregándotelo un día antes a la fecha acordada. 

Ayer me comentaba una abogada joven que algunas de sus amigas están afectadas por un ERTE. Lo que le sorprendía era que, en vez de estar preparándose para la vuelta, afilando el hacha como te explican en las escuelas de negocios, le estaban enviando vídeos y payasadas de TikTok a todas horas. Después dicen que de esta crisis saldremos mejores y más fortalecidos. Si estos atributos se adquieren en TikTok, seguro que sí.

Los mecanismos que gestionan la atribución de responsabilidad sobre los éxitos y los fracasos parecen estar configurados en modo de externalización total cuando confundes un correctivo a tu carrera profesional con unas vacaciones. Y le llamo correctivo porque tu capacidad de seleccionar lo mejor para tu futuro tal vez no estaba activada en el momento en que decidiste la carrera a estudiar, la especialidad, el despacho, y lo más importante: tu contribución al despacho. Si en esos momentos cruciales de tu vida actuabas por inercia y tenías puesto el piloto automático o el salvapantallas, este es el resultado.

Pero tienes razón, estamos ante un cisne negro. Era difícil predecir una situación como ésta. Sólo te pido que nos preguntemos si podíamos haberlo hecho mejor.

Hay una carrera universitaria en la que los padres sólo pagan el primer año. Los restantes años los paga el alumno con la facturación de la start-up que tiene que crear durante el primer curso. No sé si ese es el camino, pero no estaría nada mal que los profesionales llegasen al mercado con un talante más emprendedor.

En el IMD te preguntan constantemente si vas a asumir un rol de creador o de consumidor. Activo o pasivo. Explorador o prisionero. Proactivo o reactivo. Para que nos entendamos: influencer o follower.

¿Qué eres tú?

Fotografía de Cristofer Jeschke obtenida en Unsplash

El daño que la relación laboral ha hecho en el sector de la abogacía (Episodio 1)

Bajo un título pesimista, un mensaje optimista para todos los abogados que con esta crisis van a descubrir que los clientes no caen del cielo ni se mantienen tratando sus proyectos peor que un paquete de Amazon.

Esta serie de artículos es una autocrítica sobre la forma en la que los despachos hemos seleccionado, formado y promocionado a los abogados durante los últimos 20 años.

Hace unos días un headhunter, que estaba aprovechando la caída del trabajo para mantener el contacto con sus clientes, me comentaba que había hablado con varios socios de despachos de distintos tamaños y que algunos de ellos estaban bloqueados, que no sabían cómo gestionar la situación actual. Llegamos a la conclusión de que, al margen del carácter inesperado de la actual crisis, el proceso de selección y promoción en los despachos no había tenido en cuenta algunos aspectos fundamentales del perfil de socio.

Me vino a la mente el caso de la presa de Tous, y la estrategia de defensa de los ingenieros imputados, que nunca pensaron que iba a llover tanto y habían basado el diseño de la presa en los índices pluviométricos de las décadas anteriores. O el caso de Fernando Alonso, que perdió un mundial por haber configurado una aerodinámica defensiva en una carrera que al final exigió una aerodinámica ofensiva.

Efectivamente, la configuración de los despachos actuales está basada en parámetros que han cambiado y es difícil adaptarse si estás acostumbrado a los automatismos: a abrir el grifo y que salga agua, a tocar un interruptor y que se ilumine la sala, a iniciar tu carrera en un despacho que tiene una cartera de clientes consolidada, o con un flujo de proyectos constante que proviene de tu red internacional.

¿Cómo hemos llegado a la situación actual? Vamos a analizar en diferentes entregas algunos de los factores que han contribuido a tener los despachos que nos merecemos.

De padres a socios

Es inevitable empezar reconociendo que las generaciones que hemos criado como padres son las que ahora están en edad laboral y las que en unos años controlarán un mercado en el que ya no estaremos. Las generaciones X, Y, Z, los nativos digitales, los millennials, son las generaciones que hemos educado en casa y que ahora están trabajando o van a trabajar en los despachos.

Su forma de trabajar y de ver a los clientes depende mucho de cómo los hemos educado, de las pocas miserias que han pasado y del nivel de esfuerzo que han tenido que invertir para conseguir cualquier cosa que ahora tengan.

Y parece que no hemos aprendido, porque seguro que en este momento hay miles de padres ayudando a sus hijos en las tareas escolares, gracias al tiempo extra de convivencia que ofrece el confinamiento.

Un proverbio indio dice que una persona se parece más a sus amigos que a sus padres, y es cierto, porque todos los intentos que cada generación ha realizado para educar a la que sigue han chocado siempre con el ADN y la personalidad colectiva de esa generación.

Tanta preocupación por entender a profesionales que anteponían los viajes y los amigos a su carrera profesional para que haya tenido que ser un virus el que los ha dejado dos meses en casa, sin viajes ni amigos y con mucho tiempo para reflexionar sobre su futuro profesional. Porque los que han sido víctimas de un ERTE muy probablemente se estarán formando para cambiar de especialidad, de despacho o de sector.

Los babyboomers, los de antes de la EGB y la ESO, siempre hemos pensado que llegaría un momento como éste para recuperar los viejos valores, pensando que eran mejores. La verdad es que ahora ya no sé si son mejores o no, pero si un socio se bloquea ante una situación inesperada, tiene que realizar una aportación extra de capital al despacho o pedir un préstamo para tener liquidez, es porque no hemos conseguido que desarrolle la habilidad de adaptarse al cambio, de gestionar la adversidad y de generar una reserva en los buenos tiempos, en vez de repartir todos los beneficios.

Hasta aquí esta primera entrega. En la próxima voy a hablar de los efectos de la relación laboral en los despachos, del sentimiento de ajenidad, y especialmente de la falsa percepción de la ajenidad del riesgo.

Foto de Billy Pasco obtenida en Unsplash

¿En qué casos el control de la temperatura es un tratamiento sujeto al RGPD?

El objetivo de esta hoja Excel es poder comparar los distintos tipos de tratamiento que se pueden realizar al aplicar el control de temperatura en una empresa.

Al cumplimentar o modificar los distintos factores que intervienen en la aplicación del control se puede advertir si estamos ante:

  1. Un tratamiento manual excluido del ámbito material del RGPD.
  2. Un tratamiento manual incluido en el ámbito material del RGPD.
  3. Un tratamiento automatizado incluido en el ámbito material del RGPD.

En el apartado GDPR Hacks de Campus Ribas podéis descargar la hoja Excel y manifestaros a favor o en contra de cualquiera de estas tres opciones, así como aportar argumentos que las refuercen o debiliten.

Sobre la estigmatización de los trabajadores con fiebre

Estos días se repite constantemente el mantra de la estigmatización, que se asocia al hecho de ver a alguien dando positivo en un control de temperatura.

En esta Excel destinada a comparar los efectos de los distintos controles Covid-19 en las empresas, intenté explicar que este argumento no ha tenido en cuenta todos los factores que deben ser valorados.

Entre los factores organizativos y humanos que deben ser analizados para valorar si hay riesgo de estigmatización de un trabajador con resultado positivo, destacan los siguientes:

  1. En una empresa pequeña, o en cualquier departamento de una gran empresa, todos sabemos los compañeros que están pasando la enfermedad o la han pasado, y no los estigmatizamos. Todo lo contrario, reciben nuestro apoyo, solidaridad y muchas muestras de aprecio.
  2. Normalmente, es el propio interesado o su familia el que comunica espontáneamente el contagio.
  3. Cuando se realiza un test PCR a un grupo de trabajadores y la empresa recibe el resultado NO APTO para trabajar de alguno de ellos, los compañeros del afectado no tenemos ninguna duda del motivo de la baja y no lo estigmatizamos. Todo lo contrario.
  4. La entrada gradual en las empresas y el sistema de turnos tienen el objetivo de que no se formen colas en la entrada, y que los controles de temperatura se puedan realizar de forma individual, o por grupos pequeños.
  5. Cuando hay un resultado positivo, nadie grita: “¡¡¡Otro compañero que viene a trabajar sin haberse tomado la temperatura en casa y poniéndonos en peligro a todos!!!”
  6. En los protocolos de actuación existe una obligación de secreto profesional que obliga a tratar los resultados positivos con la máxima discreción y confidencialidad.
  7. Los resultados positivos no son asociados automáticamente al Covid-19. 
  8. La fase siguiente del protocolo es verificar el origen de la fiebre por parte del servicio médico propio o externo.
  9. Ha habido información suficiente para saber que una persona con fiebre puede no tener el Covid-19. Todos sabemos que un trabajador con fiebre puede tener otras enfermedades. También sabemos que los compañeros que han dado positivo en un test podrían no tener el virus, porque los tests no son fiables al 100%. Ni al 80%.
  10. Ha habido información suficiente para saber que una persona con fiebre no puede entrar en un centro de trabajo. Todos sabemos que si tenemos fiebre no debemos ir a trabajar.

Ha habido información suficiente para saber que no estamos en la Edad Media, que ya no señalamos a los enfermos con una marca de apestado, y que un compañero que no viene a trabajar después de un control de temperatura, de un test Covid-19 o de una confirmación de la enfermedad, seguirá siendo nuestro compañero cuando pueda reincorporarse y que lo estaremos esperando para darle la más calurosa de las bienvenidas.

Imagen de Anton obtenida en Unsplash

Riesgos para los derechos y libertades en tiempos del Covid-19

En la sección GDPR Hacks de Campus Ribas encontrarás la hoja Excel que permite valorar el riesgo para los derechos y libertades de las medidas de prevención y contención del Covid-19.

Esta Excel sirve, además, para estas tres actuaciones:

  1. Análisis de riesgos previo a un tratamiento de datos.
  2. Evaluación de impacto.
  3. Valoración de los efectos de una brecha de seguridad

Puedes participar en el debate y realizar tus aportaciones para mejorar esta tabla.

Muchas gracias de antemano por tus aportaciones.

¿Por qué el control de la temperatura es el más utilizado por las empresas?

En este cuadro comparativo se analizan los distintos síntomas del Covid-19, indicando:

  1. Su visibilidad o posibilidad de medición.
  2. El sistema más adecuado para su medición.
  3. La viabilidad de verificar el síntoma de forma fácil y sistemática en el acceso a una empresa.

En este cuadro será actualizado con vuestras aportaciones y con el avance de los controles y las medidas de prevención de riesgos laborales.

Puedes participar en el debate y realizar tus aportaciones para modificar y actualizar el cuadro en la sección GDPR Hacks de Campus Ribas.

Actualmente, en Campus Ribas contamos con más de 600 profesionales que aportan su experiencia en el campo del derecho, la medicina y la prevención de riesgos laborales.

Muchas gracias a todos.

Datos de localización de las apps Covid-19

Me alegra poder comunicar la incorporación de Xavier Puig Soler al equipo de colaboradores y profesores de Campus Ribas.

Xavier Puig inicia su colaboración con este GDPR Hack 08 dedicado a los datos de geolocalización de las apps Covid-19.

El hack platea la pregunta: ¿Deben las AAPP solicitar consentimiento para el tratamiento de datos de localización?

Podéis encontrar este hack en la sección de GDPR Hacks de Campus Ribas.

Os invitamos a participar en el debate.

Excel de detalle para comparar los controles PRL Covid-19 (Relación riesgo / beneficio)

En la sección GDPR Hacks de Campus Ribas encontrarás la hoja Excel que permite comparar los principales controles que las empresas pueden aplicar para prevenir el contagio del Covid-19.

Esta hoja Excel de detalle fundamenta el cuadro comparativo que publicamos hace unos días.

En ella se puede ver la incoherencia de los argumentos utilizados contra algunos de los controles PRL destinados a prevenir el contagio del Covid-19 en el entorno laboral.

El objetivo es que las empresas puedan identificar visualmente los riesgos en rojo y los beneficios en verde de cada control con el fin de seleccionar las medidas que guarden mayor proporción entre la eficacia preventiva y la protección de la intimidad.

Muchas gracias de antemano por vuestras aportaciones.

La huella dactilar y el reconocimiento facial utilizados para el control de acceso no son una categoría especial de datos

INFORME DE LA AEPD

La AEPD acaba de publicar un informe en el que distingue dos tipos de usos de los datos biométricos:

Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).

Atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a- varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).

COMENTARIOS AL INFORME

Identificación biométrica

El proceso de búsqueda de correspondencias uno-a-varios es claramente más invasivo de la intimidad y tiene un mayor impacto en los derechos y libertades del interesado.

Esta búsqueda queda perfectamente escenificada en la secuencia que sigue al hallazgo de una huella dactilar en la escena de un crimen. Los datos biométricos de la huella hallada se compararán con millones de huellas de las bases de datos policiales y se identificará al sospechoso.

Esta es la típica búsqueda de correspondencias uno-a-varios, ya que se trata de buscar la correspondencia entre la huella de un interesado y las huellas de millones de interesados.

De esta correspondencia uno-a-varios puede surgir la identificación de un sospechoso, con la correspondiente afectación al derecho a la libertad, a la intimidad, a la presunción de inocencia, a la libertad deambulatoria, etc.

Verificación/autenticación biométrica

Por el contrario, cuando la búsqueda de correspondencias es uno-a-uno, el impacto es mínimo, ya que sólo se busca la correspondencia de los datos biométricos aportados por el interesado para acreditar que es él y los datos biométricos que aportó en su día en el momento del registro. Este dato está almacenado en el dispositivo y es consultado por el sistema de autenticación para verificar que hay una coincidencia.

Un ejemplo claro de esta búsqueda de correspondencias uno-a-uno es el control de acceso a un dispositivo mediante huella dactilar.

En este caso, en el dispositivo de control de acceso se procede a la lectura de la huella del interesado y se comparan con los datos biométricos que el propio interesado aportó en su día. Si hay coincidencia, el interesado puede acceder al dispositivo.

Esa coincidencia no es una identificación, puesto que el interesado ya estaba previamente identificado, sino una verificación de la identidad de la persona que desea acceder al dispositivo. Una autenticación similar a la realizada con una contraseña.

Conclusión de la AEPD

La AEPD concluye que, con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a- varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).

Recordemos que el artículo 9.1 del RGPD establece que los datos biométricos sólo se considerarán categorías especiales de datos cuando vayan dirigidos a identificar de una manera unívoca a una persona física.

Lo que dice la AEPD es que, si la finalidad no es la identificación, sino la verificación de la identidad, es decir la autenticación del interesado en un momento concreto, ese dato biométrico no será un dato sensible, es decir, no pertenecerá a una categoría especial de datos.

No obstante, la Agencia considera que se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto según los datos tratados, las técnicas empleadas para su tratamiento y la consiguiente injerencia en el derecho a la protección de datos, debiendo, en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados.

Esta última apreciación, hace recomendable realizar una evaluación de impacto en el caso de del control de acceso a una empresa, con el fin de asegurar:

  1. Si los datos relativos a la huella son el único elemento identificador o si están asociados a otro elemento identificador.
  2. La finalidad orientada a la verificación o autentificación de la identidad del usuario y no a su identificación.
  3. La inexistencia de otras finalidades.
  4. El alcance del tratamiento.
  5. El impacto en los derechos y libertades de los interesados.

El tratamiento de la huella dactilar como dato biométrico perteneciente a una categoría especial de datos ha sido objeto de un intenso e interesante debate en la sección GDPR Hacks de Campus Ribas.

Gracias a Javier Sempere por divulgar la publicación de este informe

Acceso al informe de la AEPD publicado el 8 de mayo de 2020

8 consejos para la reincorporación a la actividad empresarial y profesional

Artículo de Cristina Redondo – Abogada

Desde la publicación el 28 de abril del Plan para la transición hacia una nueva normalidad tras la pandemia del COVID-19, las empresas han puesto en marcha sus planes de transición para la adopción de aquellas medidas preventivas que permitan garantizar la protección y seguridad tanto de sus trabajadores como de terceros para el beneficio de todos los ciudadanos.

En el entorno laboral, los empleadores tienen la obligación de garantizar la seguridad y salud de sus trabajadores en el desarrollo de sus actividades de conformidad con lo previsto en el Estatuto de los Trabajadores (art. 4 y 9) y la Ley de Prevención de Riesgos Laborales (art. 14). En este contexto, y con el fin de proteger la seguridad de sus empleados, las empresas también podrán adoptar medidas preventivas que afecten a clientes, usuarios o terceros relacionados con éstos.

La implantación de dichas medidas, se deberá de adoptar en colaboración con los servicios de prevención de riesgos laborales o de otras modalidades de prevención y de conformidad con la normativa y las recomendaciones de las autoridades sanitarias.

Alguna de estas medidas preventivas, podrían tener un impacto sobre los derechos y libertades tanto de los trabajadores como clientes o usuarios o terceros, y por tanto se deberán implantar de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La adopción de estas medidas se harán bajo la supervisión y asesoramiento del Delegado de Protección de Datos (DPD), en el supuesto de no disponer de dicha figura, con el asesor en materia de protección de datos de la empresa, siempre con la obligación de realizar el correspondiente análisis de riesgos previo a los tratamientos de datos personales que estas puedan implicar y, en su caso, una evaluación de impacto en protección de datos con el fin de que sean implantadas con las garantías adecuadas.

En el presente documento, se pretende resaltar aquellos aspectos que consideramos más relevantes a la hora de implantar dichas medidas preventivas, en relación a:

  1. Control de presencia de los trabajadores y control de accesos en las instalaciones.
    1. Substituir los sistemas basados en la huella dactilar por otros con el fin de evitar el contacto físico (tarjetas, apps, cloud, …)
    2. En el caso de optar por el reconocimiento facial, la imagen facial es un dato biométrico. El RGPD califica los datos biométricos como una categoría especial de datos que merecen una mayor protección y medidas de seguridad en su aplicación.
  2. Teletrabajo.
    1. Informar debidamente a los trabajadores de sus obligaciones y medidas técnicas y organizativas a adoptar durante el teletrabajo.
    2. En todo momento respetar el Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral (Art. 87 e la LOPDGDD) y el Derecho a la desconexión digital en el ámbito laboral (Art. 88 de la LOPDGDD).
  3. Toma de temperatura en los accesos.
    1. Afecta a datos relativos a la salud de las personas, considerados por el RPGD como categoría especial de datos personales, y como ya hemos indicado, merecen una mayor protección.
      Además, una posible denegación del acceso podría tener un impacto para la persona afectada.
    2. La Agencia Española de Protección de Datos (AEPD) ha publicado un Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos.
      En relación a este comunicado podeis consultar el artículo de opinión Control de temperatura del trabajador de nuestro compañero Xavier Ribas.
    3. Basándonos en el comunicado de la AEPD y de la efectividad de dicha medida preventiva según las autoridades sanitarias, se recomienda un análisis previo de proporcionalidad y necesidad que justifiquen debidamente su adopción.
    4. Toma de temperatura de forma anónima. Si se detectara una temperatura de riesgo, se informará a la persona que no puede acceder a las instalaciones.
    5. Derecho de información a los trabajadores y de los clientes sobre el tratamiento de sus datos personales y sus derechos.
  4. Realización de pruebas diagnósticas destinadas a la detección del COVID-19 a los trabajadores
    1. No necesitan el consentimiento de los trabajadores de conformidad con el art. 22 de la Ley de Prevención de Riesgos Laborales.
    2. Derecho de información a los trabajadores sobre el tratamiento de sus datos personales y sus derechos.
    3. En Catalunya se deberá de solicitar la debida autorización a la Direcció General d’Ordenació i Regulació Sanitaria y cumplir los requisitos previstos en la RESOLUCIÓ SLT/936/2020, de 4 de maig, per la qual s’ordena el procediment per a la realització de proves diagnòstiques destinades a la detecció de la COVID-19 mitjançant laboratoris clínics i tot tipus de centres o serveis privats posats a disposició del sistema públic de salut de Catalunya. En la web Canal Empresa de la Generalitat de Catalunya se puede encontrar la información referente al Procedimiento para realizar las pruebas diagnósticas para la detección de la COVID-19 así como el trámite para la Autorización sanitaria para la realización o la compra de pruebas diagnósticas destinadas a la detección de la COVID-19 del Departament de Salut de la Generalitat.
  5. Cuestionarios de salud a los trabajadores antes de su incorporación y a terceras personas.
    1. Estos cuestionarios deberán de recoger estrictamente las preguntas concretas sobre el estado de salud sobre el COVID-19 y en el marco temporal de los 14 días anteriores a la reincorporación a la actividad de conformidad con el principio de minimización de datos del RGPD.
    2. En caso de remitir por correo electrónico se adoptarán medidas de cifrado.
    3. Derecho de información a los trabajadores y de los clientes sobre el tratamiento de sus datos personales y sus derechos.
    4. También se podría solicitar que rellenen los cuestionarios de salud los terceros que vayan a personarse (clientes, proveedores, visitas) en la empresa siempre respetando el principio de confidencialidad y minimización de los datos y con su consentimiento otorgado de forma libre.
  6. Comunicación por parte de la empresa de un posible riesgo de contagio de sus trabajadores o de un contagio en el Sars-cov-2.
    1. La empresa debe comunicar al resto de la plantilla que existe una posibilidad de contagio o un contagio para preservar la salud del resto de los compañeros respetando la privacidad de la persona excepto en el caso que las autoridades sanitarias aconsejen lo contrario por la seguridad de los empleados se seguirán las indicaciones de éstas.
    2. Procedimiento de actuación para los Servicios de prevención de riesgos laborales frente a la exposición al Sars-cov-2.
    3. Los trabajadores, en caso de contagio, tienen la obligación de comunicarlo a sus superiores para preservar la salud del resto de los compañeros.
    4. Se deberá de informar al trabajador sobre el tratamiento que se va a realizar de sus datos personales de salud facilitados.
  7. Adopción de canales permanentes para la información a los trabajadores sobre las medidas preventivas adoptadas en cada momento.
  8. Consultar las novedades normativas, recomendaciones de las autoridades sanitarias así como de colegios profesionales u otras organizaciones empresariales para estar informado en todo momento dado la situación excepcional y cambiante.

El COVID-19 y el consecuente crecimiento en el uso de las TIC ha provocado un antes y un después en nuestra cultura y en nuestra forma de interactuar tanto a nivel personal como empresarial, abriendo nuevos escenarios en la protección de los derechos y libertades de los ciudadanos. Es nuestra responsabilidad que en breve podamos disfrutar de una nueva normalidad.