CATÁLAGO DE MEDIDAS DE SEGURIDAD DE GRAN AYUDA DPA DANESA

/en ,

LA AUTORIDAD DE PROTECCIÓN DE DATOS DANESA PUBLICA UN CATALOGO DE MEDIDAS DE SEGURIDAD 

✅ Este catálogo puede ser de ayuda a las empresas como herramienta para garantizar la adopción de medidas técnicas y apropiadas y hacer frente a los riesgos.

✅Las medidas contienen ejemplos concretos en base a la experiencia de la autoridad de protección de datos, las violaciones de seguridad, las directrices CEPD y las normas ISO 27001 y 27002. Una medida puede ser preventiva, de detección, correctiva o una combinación de ambas.

✅Las medidas se han elaborado por un equipo multidisciplar de abogados y consultores de seguridad informática.

Entre otras medidas se proponen las siguientes:

  • derechos de acceso según necesidad.
  • cierre automático de acceso inactivos cuando no se usen por un determinado tiempo.
  • sensibilización y concienciación del personal en aspectos de seguridad.
  • realización de copias de seguridad.
  • gestión de derechos centralizada.
  • acceso a datos según necesidad.
  • documentación de autorizaciones.
  • autenticación multifactor.
  • separación de funciones.
  • gestión de cuentas de usuarios temporales.
  • control periódico derechos de acceso.
  • seudoanonimización y anonimización.
  • derechos de acceso basados en roles.
  • correlación competencias usuario y derecho de acceso.
  • control de acceso físico.
  • adaptación de los derechos de acceso al cambiar la relación laboral.

✍️

https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed/katalog-over-foranstaltninger?page=1

CONCLUSIONES DE LA LEY PROTECCIÓN DEL INFORMANTE Y EL TRATAMIENTO DE DATOS PERSONALES

/en ,

La implementación del sistema interno de información o canal de denuncias en las empresas comporta el tratamiento de datos de carácter personal de los informantes con las siguientes repercusiones en materia de protección de datos:

Licitud del tratamiento y bases de legitimación

✅ Se presume lícito el tratamiento de datos de carácter personal cuando resulta obligatorio por ley la implementación de un sistema interno de información. Aquí, la base de legitimación es el cumplimiento de una obligación legal.

✅ Se presume un tratamiento lícito cuando no es obligatorio, pero voluntariamente se decide crear uno. Aquí, la base de legitimación es el cumplimiento de una misión en interés público.

Identidad del informante

La comunicación de los hechos puede realizarse de forma anónima o con identificación de la persona informante

En ningún caso, se informará de la identidad del informante a la persona a la que se refieren los hechos relatados.

El informante tiene derecho a que su identidad no sea revelada a terceras personas.  La identidad del informante nunca será objeto del derecho de acceso a datos personales y se limita su comunicación sólo a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente exigiendo que en todo caso se impida el acceso por terceros a la misma.

Derecho de información

✅ Cuando se obtienen los datos del informante es necesario cumplir con el deber de información relativo al tratamiento de los datos personales recogida en el RGPD.

Los empleados y terceros han de ser informados acerca del tratamiento de sus datos personales en el marco de los sistemas internos de información.

✅ Cuando la comunicación sea verbal por reunión presencial, vía telefónica o a través de sistemas de mensajería de voz se informará de que la comunicación va a ser grabada y del tratamiento de los datos.  

Las comunicaciones verbales deberán documentarse previo consentimiento del informante ya sea mediante grabación de la conversación en formato seguro, duradero y accesible o bien a través de transcripción completa y exacta de la conversación. Además, se ofrecerá la posibilidad de comprobar, rectificar, y aceptar mediante firma la transcripción de la conversación

 Tipología de datos personales

✅ Sólo se recogerán los datos pertinentes para la finalidad que se persigue, no cabe el registro y tratamiento de categorías especiales de datos y, que en caso de ser facilitados se suprimirán de forma inmediata.

Con carácter excepcional se podrán tratar categorías especiales de datos personales por razón de un interés público esencial siempre que sea proporcional al objetivo perseguido, respete el derecho a la protección de datos y se establezcan medidas adecuadas y específicas para proteger derecho y libertades de los interesados

Plazo de conservación

✅Por el tiempo imprescindible para decidir si se inicia una investigación sobre los hechos informados y supresión en el plazo de 3 meses desde la recepción de la comunicación sin que se hayan iniciado las actuaciones de investigación salvo que la finalidad para su conservación sea dejar evidencia del funcionamiento del sistema.

✅ En principio, no se pueden conservar por un plazo superior a diez años

 Roles de protección de datos personales

✅El órgano de administración u órgano de gobierno de la organización tiene la condición de responsable del tratamiento y en caso de gestión por un tercero externo este tendrá la consideración de encargado del tratamiento.

Tratamiento de los datos personales

Se limita el acceso al tratamiento de los datos de carácter personal a determinados sujetos, como el responsable del sistema, el responsable de RRHH u órgano competente designado, el responsable de los servicios jurídicos bajo determinados supuestos, encargados del tratamiento, delegado de protección de datos.

Cabe la posibilidad de comunicar los datos personales a terceros cuando sea necesario para adoptar medidas correctoras o tramitación de procedimientos sancionadores o penales

Ejercicio de derechos

El informante puede ejercitar los derechos en materia de protección de datos recogidos en el RGPD.

✅La persona afectada por la información puede ver limitado el derecho de oposición por existir motivos legítimos imperiosos que legitiman el tratamiento por parte del responsable.

Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

NO SE PUEDE PEDIR EL DNI PARA TODO

/en ,

LA AEPD MULTA CON 30.000 EUROS A CLINICA DENTAL POR PEDIR LA COPIA DNI PARA EL REINTEGRO DE TRATAMIENTOS DENTALES EFECTUADOS Y POR NO ATENDER LA RECLAMACIÓN DIRIGIDA EL DELEGADO DE PROTECCIÓN DE DATOS  

Seguimos con las limitaciones a la hora de pedir copia del DNI para todo. En particular se constata que:

🛑 Se establecen requisitos excesivos para el derecho al reintegro de las cantidades como es la obtención de la copia del DNI, máxime cuando se tienen datos del paciente incluido su número de cuenta bancaria por otros tratamientos recibidos. La clínica puso impedimentos para el reintegro rechazando las otras alternativas propuestas para el reintegro como trasnferencia cuenta bancaria, talón nominativo o en metálico o firma del recibo.

🛑No se ven afectadas categorías especiales de datos según el RGPD, no obstante, la imagen de la documentación de identidad de los clientes tiene una naturaleza especialmente sensible y aumenta los riesgos sobre su privacidad.

🛑La recogida de la fotocopia del documento de identidad del cliente, con toda la información contenida en ese documento, se entiende como un tratamiento de datos personales inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento, contrario al principio de “minimización de datos”.

🛑El no trasladar la reclamación al Delegado de Protección de Datos equivale a no darle curso y a no tramitarla por un mal funcionamiento de los canales internos, lo que constituye una falta de diligencia.

La resolución en ✍️:

 https://www.aepd.es/documento/ps-00253-2023.pdf

LA MATRICULA DEL COCHE ES UN DATO PERSONAL

/en ,

SEGÚN INFORME JURÍDICO DE LA ADPCAT SE CONSTATA QUE LA MATRÍCULA DE UN VEHÍCULO ES UN DATO DE CARÁCTER PERSONAL

El origen del informe es la solicitud de una persona que solicita en ejercicio del derecho de acceso el listado de los vehículos que han salido del depósito de vehículos del Ayuntamiento en unos determinados recintos y fechas y su denegación.

Las conclusiones del informe son:

La información solicitada (listado de vehículo que han salido de las instalaciones del depósito municipal y su destino desde enero 2020) es una información de carácter público de acuerdo con la normativa específica (Ley 19/2014 de transparencia, acceso a la información pública y buen gobierno).

✅El derecho de acceso a la información pedida no es absoluto y puede ser denegado o restringido por las causas previstas en las leyes, y en particular cuando se vean afectados datos personales.

✅El derecho de acceso debe ser concedido porque en la solicitud no se ven afectados datos personales. En particular, no se solicita el detalle de todos los vehículos mediante un identificador, como por ejemplo la matrícula u otro identificador.

La matrícula será considerada dato personal si permite conocer la identidad de la persona titular del vehículo sin necesidad de realizar esfuerzos desproporcionados. De acuerdo con el reglamento general de vehículos para la identificación del titular de un vehículo, sólo requiere conocer previamente la matrícula e invocar un interés legítimo y directo, por lo que existe una probabilidad razonable de identificación de la persona física.

✅En caso de querer acceder a un listado que contenga datos personales, en la medida que sea excesiva para la finalidad pretendida, se tendrá que limitar el acceso a esta información mediante la anonimización.

Resolución ✍️ en:

https://apdcat.gencat.cat/web/.content/Resolucio/Resolucions_Cercador/Dictamens/2023/Documents/ca_iai_2023_045.pdf

 

MODIFICACIÓN DEL CÓDIGO AUTOCONTROL Y TRATAMIENTOS DE DATOS EN ACTIVIDADES PUBLICITARIAS

/en ,

La Agencia Española de Protección de Datos,  ha aprobado la modificación del  Código de Conducta  de AUTOCONTROL en relación con los tratamientos de datos en la actividad publicitaria que realizan las entidades adheridas y, en particular  para adaptarlo a la Circular 1/2023 en  relación con las llamadas  publicitarias. Asimismo, se incluye la posibilidad que la AEPD envíe las reclamaciones  recibidas a la Unidad de Mediación de AUTOCONTROL  y la creación de un sello que identifique a los adheridos al código. 

La Circular 1/2023 fue objeto de informe jurídico emitido  2023-0052 emitido por la AEPD que contempla a modo de resumen las siguientes modificaciones:https://www.aepd.es/es/documento/2023-0052.pdf

  • Reconocimiento del derecho del usuario a no recibir llamadas comerciales.
  • Posibilidad de realizar llamadas comerciales con consentimiento previo o interés legítimo con carácter excepcional e interpretación restrictiva.
  • Presunción iuris tantum del interés legítimo para poder realizar llamadas comerciales basada en la existencia de una relación contractual previa y sobre productos o servicios similares de la empresa a los inicialmente contratados por el cliente siguiendo la línea del artículo 21 de la LSSI.
  •  No hay expectativa razonable cuando no exista relación contractual vigente, solicitud o interacción previa y realizada durante el último año por parte del interesado con el responsable que pretenda realizar la acción comercial.
  • La presunción del interés legítimo no opera para la realización de llamadas telefónicas sobre productos y servicios de otras empresas del grupo como tampoco para la comunicación de los datos personales a otras empresas del grupo para que ellas puedan realizar las llamadas comerciales ofreciendo sus propios productos o servicios similares.
  • Se precisa el consentimiento específico para ceder sus datos personales, en concreto el número de teléfono, entre diferentes empresas del grupo con fines comerciales para garantizar el control de sus datos personales por el interesado.
  • Se requiere consentimiento expreso y específico del usuario para que los datos de las guías de abonados puedan ser tratados con fines comerciales.
  • Se admite el tratamiento de los datos personales que figuran en las guías con datos de contacto de personas físicas que presten servicios en empresas o de empresarios individuales y de profesionales liberales, amparados por la presunción de interés legítimo recogida en el artículo 19 de la LOPD-GDD, siempre que se refiera a la oferta de productos y servicios relacionados con la actividad profesional o empresarial y no se trate de entablar relación en cuanto tales personas físicas.
  • Se rechaza la relación contractual como base de legitimación para la realización de llamadas comerciales no deseadas por cuanto no se trata de un tratamiento necesario para cumplir con el contrato.
  • Se requieren modificaciones al Código de Conducta de Autocontrol para su adecuación al nuevo régimen legal.
  • Los términos de ampliación y mejora del servicio no habilitan el tratamiento de datos con fines de publicidad o prospección comercial.

PROCEDIMIENTOS SANCIONADORES RECIENTES AEPD EN EL ÁMBITO INMOBILIARIO

/en

PROCEDIMIENTOS SANCIONADORES ENTORNOS INMOBILIARIOS SEPTIEMBRE 2023

Multa de 2000 euros a una inmobiliaria por facilitar información desactualizada sobre el tratamiento de los datos desactualizada en los documentos firmados , por página web con política de privacidad en blanco y por cesión de datos inconsentida a empresa de limpieza

La reclamante afirma que se facilitó información de acuerdo con la normativa anterior en el documento de reserva del inmueble y en la resolución del contrato de arrendamiento y que además cuando quiso obtener más información acudió a la página web y la política de privacidad estaba en blanco. Más tarde, la inmobiliaria redactó una política de privacidad incompleta a juicio de la AEPD y redactó un anexo con información en materia de protección de datos que se adjuntaba a los contratos de arrendamiento y de resolución. El tratamiento de datos personales sin informar al interesado de la información que recoge el artículo 13 del RGPD supone una infracción de la normativa y de los principios del tratamiento leal y transparente. El responsable debe informar al interesado de la existencia de la operación de tratamiento y sus fines y le facilite cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales y de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. En este caso, la AEPD constata que: “GAVANOVA es el responsable de tratamiento de los datos personales de sus clientes, razón por la cual le corresponde la obligación de proporcionarles la referida información a este respecto. Si bien es cierto que ha adecuado la cláusula informativa en materia de protección de datos que consta en los contratos que suscribe con sus clientes e incorporado un anexo con la información restante; en el momento de iniciarse el presente procedimiento sancionador solo les informaba de las determinadas cuestiones (..) En relación con la Política de Privacidad de su web modificada (…) es evidente que no informa a los usuarios sobre todos los extremos enumerados en el artículo 13 del RGPD. No se menciona la finalidad y legitimación del tratamiento o el plazo de conservación de los datos personales recabados a través de sus formularios, entre otras cuestiones”. https://www.aepd.es/es/documento/ps-00563-2022.pdf

Multa de 4.000 euros a propietario que alquiló una habitación con derecho a cocina e instaló una cámara en la cocina.

El reclamante pone una reclamación porque se ha alquilado una habitación con derecho a cocina en una vivienda y el propietario ha instalado una cámara de videovigilancia en la cocina sin que en ningún momento el inquilino haya consentido el tratamiento de sus datos o haya firmado documento alguno. Se constata por la AEPD que el propietario ha procedido a instalar por aparentes motivos de seguridad una cámara que afecta a zona de libre intimidad de su arrendatario, afectando con ello a sus datos de carácter personal. Además, afirma que, en la cesión total o parcial del inmueble, se excluye la noción de “ámbito personal y doméstico” por lo que no se trata de un supuesto de exclusión del ámbito de aplicación del RGPD. En consecuencia, hay una infracción del artículo 6 del RGPD.https://www.aepd.es/documento/ps-00466-2022.pdf

Admisión de reclamación a una comercializadora de inmuebles de Servicer Solvia por no atender el derecho de supresión y posible comisión de infracción muy grave

La reclamante solicitó que se suprimieran sus datos personales sin que su solicitud haya sido atendida en los plazos legalmente establecidos. Los datos personales objeto de supresión tienen su origen en una compraventa que no se llegó a formalizar. La AEPD, constata que la formulación de alegaciones una vez se ha iniciado el procedimiento sancionador no suponen la contestación al interesado y que debe dar respuesta en todo caso.  https://www.aepd.es/documento/pd-00066-2023.pdf

PROCEDIMIENTOS SANCIONADORES ENTORNOS INMOBILIARIOS AGOSTO 2023

Multa de 10.000 euros a una inmobiliaria por la publicación de imágenes en su portal web sin consentimiento

La reclamación tiene su origen en la publicación de la imagen de las hijas menores de edad del arrendatario reclamante perfectamente identificables en el portal inmobiliario después de la visita de la vivienda alquilada con la finalidad de comprobar el estado del inmueble. La AEPD constata una vulneración del principio de minimización, en la medida que la inmobiliaria cuando tormó las fotografías del inmueble con la finalidad de informar al propietario sobre el estado o en su caso para su venta trató datos no necesarios para la finalidad perseguida (imagen de las  menores) y no adoptó medidas organizativas que evitaran en la fotografía de las estancias que se captara la imagen de las menores o en su caso, suprimir o pixelarlas antes de su publicación y comunicación a terceros, incluido el propietario. https://www.aepd.es/es/documento/ps-00526-2022.pdf

Multa de 70.000 euros a HolaLuz por dar de alta suministros de energía eléctrica en cuatro inmuebles haciendo uso de los datos personales sin el consentimiento

En este caso HolaLuz a través de un colaborador dió de alta contratos de suministro habiendo tramitado la baja en la comercializadora saliente sin contar para ello con una base de legitimación para el tratamiento de los datos personales. Además, tampoco ha podido acreditar que se haya contratado legítimamente y el consentimiento para la recogida y el tratamiento posterior de los datos personales. La AEPD, constata: “que los datos personales de la reclamante fueron registrados en los ficheros de la reclamada y fueron tratados para la emisión de facturas por servicios asociados a la reclamante. En consecuencia, ha efectuado un tratamiento de los datos personales sin que haya acreditado que cuente la habilitación legal para ello”. Holaluz no ha podido acreditar que se haya contratado legítimamente por cuanto el colaborador falseó los datos y tampoco que la persona que dio de baja el servicio en la comercializadora saliente y el alta en holaluz era efectivamente su titular. https://www.aepd.es/es/documento/ps-00139-2023.pdf

PROCEDIMIENTOS SANCIONADORES ENTORNOS INMOBILIARIOS JULIO 2023

Multa de 2.000 euros a una concesionaria de la explotación de un aparcamiento por tratar datos bancarios del arrendatario una vez ejercido el derecho de supresión.

El reclamante tenía alquilada una plaza de garaje en un aparcamiento que primero gestionaba una concesionaria y más tarde, una segunda concesionaria se hace cargo de la gestión. En su momento, el reclamante facilitó de modo expreso y voluntario sus datos personales y bancarios para el pago a la primera concesionaria. No obstante, el reclamante ejercitó su derecho de supresión de sus datos personales ante la segunda concesionaria (KUGELCHEN PROPIERTIES, S.L.) y les solicitó que dejaran de tratar sus datos bancarios para el pago, esto es, ser pidió ser dado de baja de la domiciliación bancaria para el pago del alquiler, ya que como el mismo indicó lo realizaría a partir de ese momento a través de transferencia bancaria. Por un error humano o informático KUGELCHEN PROPIERTIES, S.L. vuelve a tratar los datos bancarios del reclamante sin que se haya atendido el derecho de supresión. De acuerdo con las consideraciones de la AEPD se dispone que la parte reclamada estaría vulnerando el artículo 6.1 del RGPD, porque la reclamada siguió tratando los datos bancarios de la parte reclamante, pese a haberse requerido por este, el cese en el tratamiento de los mismos, por parte del reclamado. https://www.aepd.es/es/documento/ps-00073-2023.pdf.

Multa de 5.000 euros al arrendador por el tratamiento del número de cuenta bancaria para la domiciliación del contrato de arrendamiento sin el consentimiento

En el presente caso, el arrendador usa el número de cuenta bancaria para el pago del alquiler que conoce del arrendatario con motivo del contrato de trabajo suscrito con este. En particular, usa el número de cuenta bancaria facilitado cuando se formalizó el contrato de trabajo para domiciliar el cobro del contrato de arrendamiento con una finalidad distinta para la que se recogió, que no es otra, que el cobro del salario. Además, se hace uso del número de cuenta bancaria cedido (…) para crear una domiciliación bancaria sin que exista causa legitima para ello. La AEPD señala “(…) la parte reclamada no ha justificado la compatibilidad de los fines ni que cuente con el consentimiento de la reclamante para tratar los datos con esa nueva finalidad”. https://www.aepd.es/es/documento/ps-00694-2022.pdf

TRIBUNAL DE JUSTICIA UNIÓN EUROPEA Y DERECHO DESISTIMIENTO

/en

EL TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA ESTABLECE UN DOBLE DERECHO DE DESISTIMEINTO EN CASO DE SUSCRIPCIÓN DE ABONO GRATUITO E INFORMACIÓN CONFUSA

El Tribunal de Justicia responde que, en principio, el derecho del consumidor a desistir de un contrato a distancia se garantiza una sola vez en el supuesto de la suscripción de un abono que establece un período inicial gratuito que, a falta de resolución, se prorroga automáticamente.  No obstante, si al suscribir el abono el consumidor no ha sido informado de manera clara, comprensible y expresa de que dicho abono pasará a ser de pago tras el período inicial gratuito, deberá disponer de un nuevo derecho de desistimiento después de dicho período.

 

 

 

 

 

 

 

https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-10/cp230154es.pdf

EL TRIBUNAL SUPREMO EN CASO DE INSPECCIÓN TRIBUTARIA LIMITA EL ACCESO A LOS DISPOSITIVOS ELECTRÓNICOS

/en

No todo vale cuando estamos siendo objeto de una inspección por parte de la Administración Tributaria.

En una reciente sentencia, el Tribunal Supremo limita el acceso a los dispositivos electrónicos tales como ordenadores, teléfonos móviles, Tablet si se vulneran derechos fundamentales.  

Esta Sentencia anula una sentencia de la Sala de lo contencioso-administrativo de Murcia y el auto de autorización de entrada dictado por el Juzgado de la misma provincia, donde se permitía el acceso al ordenador del contribuyente sobre la base del régimen previsto para la autorización de entrada en domicilio, suponiendo que un ordenador es un lugar equiparable al domicilio.

La Sentencia fija la siguiente doctrina jurisprudencial:

  1. Las reglas de competencia y procedimiento establecidas en la ley procesal para la autorización judicial de entrada en domicilio con la finalidad de realizar actuaciones de comprobación tributarias, son en principio inidóneas para autorizar el copiado, precinto, captación, posesión o utilización de los datos contenidos en un ordenador, cuando esa actividad se produce fuera del domicilio del inspeccionado y puede afectar al contenido esencial de otros derechos fundamentales.

 

  1. Los principios de necesidad, adecuación, y proporcionalidad establecidos por el Tribunal Supremo deben ser respetados en relación aquellas actuaciones administrativas que, sin entrañar acceso a domicilio constitucionalmente protegido, tengan por objeto el conocimiento, control y tratamiento de la información almacenada en dispositivos electrónicos (ordenadores, teléfonos móviles, tabletas, memorias, etc.) que pueda resultar protegida por los derechos fundamentales a la intimidad personal y familiar; al secreto de las comunicaciones y a la protección de datos.

 

  1. La protección de los derechos fundamentales prima sobre el ejercicio de potestades administrativas, especialmente ante la falta de una regulación legal completa, directa y detallada

 

  1. La falta de colaboración por parte del inspeccionado debe se real y no constituir un mero reproche genérico.

 

  1. Se deben buscar medios menos invasivos para el acceso a los datos tales como el requerimiento al interesado.

https://www.poderjudicial.es/search/openDocument/b8c91882dca78a8ba0a8778d75e36f0d

DERECHOS CONSUMIDORES COMPRAVENTAS POR INTERNET

/en

 

 

Coincidiendo con el día internacional del consumidor, hemos elaborado un decálogo de precauciones y derechos que todos deberíamos conocer en nuestra condición de consumidores que nos permitirá comprar de forma segura y con garantías a través de Internet.

PRECAUCIONES

1.Comprar en sitios web seguros que usan protocolos seguros de transmisión de datos (https o similar).

Sitio web seguro

2.Comprar en sitios web que disponen de unos correctos avisos legales con información identificativa suficiente sobre la empresa que vende los productos y/o presta los servicios y sus datos de contacto para poder contactar de forma rápida y eficaz.

Datos identificativos sociedad y datos de contacto

3. Comprar en páginas web que tienen redactadas de forma claramente visible las condiciones en base a las cuales se realizara la compraventa, de forma que se puedan conocer antes de contratar y que usen un lenguaje claro y sencillo. Nos referimos a las condiciones generales de la compraventa, la política de privacidad en el tratamiento de los datos de carácter personal, la política de devoluciones y el formulario de derecho de desistimiento.

Condiciones legales de forma claramente visible y conocimiento antes de contratar

DERECHOS DE LOS CONSUMIDORES

1. Derecho a la información del coste del producto con impuestos incluidos, así como, los procedimientos de pago y fecha de entrega. Por defecto sino se establece plazo específico de entrega, el plazo máximo se fija en 30 días naturales a partir de la celebración del contrato. El consumidor debe reconocer claramente que un pedido se encuentra sujeto a pago con fórmulas “pedido sujeto a pago”.

2. Derecho a conocer si hemos de pagar gastos de envío asociados a la entrega del producto.

3. Derecho a desistir de la compraventa realizada cuando proceda (hay supuestos que no cabe el derecho de desistimiento) sin penalización alguna, en el plazo de 14 días naturales a contar desde la recepción del producto y si dicha devolución conlleva algún coste para el consumidor.

4. Derecho a recibir la devolución de las cantidades entregadas usando el mismo medio de pago antes de 14 días naturales a contar desde la fecha de desistimiento, siempre la mercancía la recoja el vendedor o persona designada y asociado el derecho a no recibir la devolución mediante vale salvo que se hubiese adquirido mediante vale.

5. Derecho a obtener un número de referencia y/o clave identificativa cuando se formulen quejas o reclamaciones ámbito telecomunicaciones.

6. Derecho a no recibir llamadas automáticas sin intervención humana sino hay un consentimiento expreso y previo del consumidor y derecho a oponerse a recibir ofertas comerciales no deseadas por teléfono, fax u otros medios de comunicación equivalente facilitando el número de referencia de la oposición.

7.  Derecho a no recibir comunicaciones electrónicas y/o publicidad por correo electrónico y/o medio de comunicación equivalente sino ha sido previamente solicitada o expresamente autorizada.

8. Derecho a conocer el uso se van a dar a sus datos personales y a que no se le pidan más datos que los estrictamente necesarios para formalizar la compraventa “por si acaso”.

9. Derecho a que no se traten los datos personales con finalidades publicitarias y de marketing directo sino ha habido consentimiento. El consentimiento se asocia a una clara acción afirmativa y positiva del usuario y no embebido en otras finalidades. P.e. aceptación casilla de un sitio web, aceptación de iconos identificando cada uno de los tratamientos con imágenes fácilmente reconocibles para el usuario.

10. Derecho a oponerse al tratamiento de sus datos personales con finalidades de mercadotecnia directa.

11. Derecho a que no se elaboren perfiles comerciales y/o de consumidor en base a los datos facilitados sino se ha autorizado expresamente.

12. Derecho a que no se adopten decisiones individuales automatizadas con efectos sobre su persona basadas en el tratamiento automatizado de los datos personales.

13. Derecho a la reparación y/o sustitución de un producto que no funciona o está dañado cuando el producto no es conforme con el contrato.

14. Derecho a conocer el plazo de garantía legal de los productos adquiridos, asistencia y servicios postventa.

 

CONTROL EMPRESARIAL CORREO ELECTRONICO Y TRIBUNAL SUPREMO

/en

Sentencia del Tribunal Europeo de Derechos Humanos (TEDH) “Caso Barbulescu” con relación a la ilicitud del despido de un trabajador basado en el uso para fines personales de las herramientas informáticas de la empresa (las cuales habían sido objeto de control y monitorización por parte de aquella sin advertirlo) y donde se ponía en cuestión, la primacía del derecho de control empresarial del empleador sobre las herramientas informáticas puestas a su disposición para el desempeño de su trabajo sobre el respeto por la vida privada del trabajador.

Las conclusiones fijadas por dicha sentencia son que para poder monitorizar las comunicaciones de los trabajadores es necesario un aviso previo al trabajador antes de su implantación  con el detalle de las medidas de monitorización que se van a adoptar, la naturaleza, la justificación de estas, y con las explicaciones necesarias para comprender que se accederá al contenido de las comunicaciones.

Ahora, el Tribunal Supremo ha dictado una sentencia, de 8 de febrero de 2018, “Caso Inditex” donde se ha recogido la doctrina del Tribunal de Estrasburgo antes citada y de la que extraemos los siguientes aspectos esenciales:

  1. Las facultades de control empresarial se encuentran recogidas tanto la Constitución como en el Estatuto de los trabajadores posibilitando al empresario la adopción de las medidas que estime oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones laborales.
  2. Las comunicaciones que se emiten desde el puesto de trabajo pueden constituir vida privada y de correspondencia cuando el trabajador puede “razonablemente suponer que su privacidad estaba protegida y era respetada”.
  3. Si se ha prohibido el uso de las herramientas informáticas puestas a disposición de la empresa a favor del trabajador para temas personales, no existe una expectativa razonable de privacidad o confidencialidad.
  4. Las medidas de vigilancia y control no pueden ser lesivas del derecho fundamental del trabajador del respeto a su intimidad y han de superar “el juicio de proporcionalidad” y ofrecer las suficientes garantías al trabajador.
  5. El juicio de proporcionalidad se traduce en que la medida sea idónea (susceptible de conseguir el objetivo propuesto); que la medida sea necesaria (no existe una medida más moderada para la consecución del propósito con igual eficacia); que la medida sea equilibrada (por derivarse más ventajas para el interés general que perjuicios sobre otros bienes en conflicto).

En caso de conflicto, se deberán verificar caso por caso los siguientes factores decisivos para realizar una adecuada ponderación de los intereses en juego: i) grado de intromisión del empresario; ii) legítima razón empresarial que justifica la monitorización; iii) la inexistencia de medios menos intrusivos para la consecución del mismo objetivo; iv) el destino dado por la empresa al resultado de control; v) previsión de garantías para el trabajador, que en definitiva supone superar el juicio de proporcionalidad antes citado .   En el caso analizado el Tribunal Supremo y según sus propias palabras se ha superado holgadamente el filtro de los requisitos que el TEDH exige para atribuir legitimidad a la actividad de control ya que la empresa:

  • Contaba con una normativa de uso de los sistemas de información y política de seguridad de la información, que el trabajador acepta cada que vez que abre su ordenador que limita el uso de los ordenadores de la empresa a usos laborales con prohibición de uso para fines personales y donde se ha advertido al trabajador de la posible monitorización para fiscalizar el cumplimiento de sus obligaciones laborales asociadas al correcto uso de las herramientas informáticas y para verificar que no se usa con fines personales.
  • Ha actuado tras un “hallazgo casual” por parte de otro trabajador de unos documentos que evidenciaban el incumplimiento laboral del actor en una fotocopiadora de la empresa.
  • Al realizar el examen se limitó a acceder al contenido de ciertos correos electrónicos a través del servidor y no del ordenador del trabajador, pero no de modo indiscriminado sino mediante el uso de palabras clave y proximidad temporal asociadas a la investigación    

En definitiva, es importante tener establecida una buena política de uso de las herramientas informáticas puestas a disposición del trabajador que cumpla con los requerimientos del TEDH, ahora unificados por el Tribunal Supremo, nos permitirá garantizar judicialmente la legitimidad de dichos accesos.  Para ello es imprescindible que la política de la empresa se encuentre actualizada en todo momento y se haya redactado de acuerdo con los últimos pronunciamientos de los tribunales.