Si necesita ayuda, tenemos una lista de preguntas frecuentes y respuestas. Haga clic en una pregunta para ver su respuesta.

Preguntas Frecuentes

  • 1. ¿Son válidos los contratos con encargados de tratamiento anteriores al RGPD?

    Los contratos con encargados de tratamiento concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

  • 3. ¿Qué es una violación de seguridad de los datos ("quiebra de seguridad")?

    El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como «quiebras de seguridad», de una forma muy amplia, e incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

    Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como la norma establece.

    En este sentido, los daños producidos por una quiebra de seguridad pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada hasta usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

    La mera sospecha de que ha existido una quiebra o la constatación de que ha sucedido algún tipo de incidente sin que se conozcan mínimamente sus circunstancias no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.

  • 5. La instalación de videocámaras. ¿Supone un tratamiento de datos de carácter personal?

    SI, pues la imagen es un dato de carácter personal ya que identifica o hace identificable a una persona. En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría la normativa de protección de datos.

  • 7. ¿Se pueden recabar y tratar datos personales de menores?

    Sí, siempre que se observe lo dispuesto en el Reglamento General de Protección de Datos.

    Cuando la recogida y tratamiento de datos de menores responda al consentimiento, hay que tener en cuenta que deberá ser expreso y que cuando se trate de menores de 14 años lo han de prestar sus padres o tutores.

    Los mayores de esa edad pueden prestar ellos mismos el consentimiento para que se recojan sus datos, salvo en aquellos casos en los que la Ley exigiera que estén asistidos por su padres o tutores.

    El Código Civil estipula que la patria potestad se ejercerá por ambos progenitores o por uno de ellos con el consentimiento expreso o tácito del otro, siendo válidos los actos que realice uno de ellos conforme al uso social y a las circunstancias o las situaciones de urgente necesidad. En caso de desacuerdo, cualquiera de los dos podrá acudir al Juez, quién decidirá al respecto.

    En el supuesto de padres separados en el que la guarda y custodia del hijo menor ha sido atribuida a uno de los progenitores, pero ambos conservan la patria potestad, de no alcanzarse un acuerdo habrá de someterse la cuestión al Juez correspondiente.

  • 2. ¿Qué actuaciones hay que realizar para adecuarse al RPGD?

    La AEPD ha publicado dos documentos, uno dirigido al sector privado y otro a las Administraciones públicas.

    En el sector privado, debe realizarse por aquella entidad:

    • Revisar las medidas de seguridad en función del análisis de riesgos realizado.
    • Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.
    • Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.
    • Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
    • Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
    • Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
    • Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
    • Confeccionar e implantar políticas de protección de datos.
  • 4. ¿Qué derechos reconoce el RPGD a los afectados?

    Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión («derecho al olvido»), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles).

    Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.

  • 6. ¿Se aplica la normativa de protección de datos a las comunidades de propietarios?

    Sí, en la medida que realicen un tratamiento de datos de carácter personal de personas físicas.

    Así, en las comunidades de propietarios existe un tratamiento derivado de la gestión de la propia comunidad, que puede denominarse «gestión de la comunidad de propietarios» o «propietarios”, en el que se incluyen los datos personales de los citados propietarios como pueden ser nombre, apellidos, dirección o correo electrónico.

    Pueden existir además otro tipo de tratamientos como el de «videovigilancia» o «cámaras de seguridad».

    Por tanto, y como indicamos al principio, al existir estos tratamientos debe cumplirse lo dispuesto en la normativa de protección de datos personales.

     

Sobre el Coronavirus y la Protección de Datos

  • 1. ¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?

    En aplicación de lo establecido en la normativa sanitaria, laboral y, en particular, de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.

    La empresa podrá conocer si la persona trabajadora está infectada o no, para diseñar a través de su servicio de prevención los planes de contingencia que sean necesarios, o que hayan sido previstos por las autoridades sanitarias.

    Esa información también puede ser obtenida mediante preguntas al personal. Sin embargo, las preguntas deberían limitarse exclusivamente a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena. Resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

  • 3. ¿Se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan visitado anteriormente, o si presentan sintomatología relacionada con el coronavirus?

    Con independencia de que las autoridades competentes, en particular las sanitarias, establezcan estas medidas por una cuestión de Salud Pública y que así lo comuniquen a los centros de trabajo, los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales).

    La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

  • 5. En caso de cuarentena preventiva o estar afectado por el coronavirus, ¿el trabajador tiene obligación de informar a su empleador de esta circunstancia?

    Los trabajadores que, tras haber tenido contacto con un caso de coronavirus, pudieran estar afectados por dicha enfermedad y que, por aplicación de los protocolos establecidos por las Autoridades Sanitarias competentes, se ven sometidos al correspondiente aislamiento preventivo para evitar los riesgos de contagio derivados de dicha situación hasta tanto se disponga del correspondiente diagnóstico, deberán informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención (Ley de Prevención de Riesgos Laborales)

    La persona trabajadora en situación de baja por enfermedad no tiene obligación de informar sobre la razón de la baja a la empresa, sin embargo, este derecho individual puede ceder frente a la defensa de otros derechos como el derecho a la protección de la salud del colectivo de trabajadores en situaciones de pandemia y, más en general, la defensa de la salud de toda la población.

  • 7. ¿La declaración del estado de alarma suspende los plazos de atención a las solicitudes de ejercicio de los derechos previstos en el RGPD para el responsable del tratamiento?

    El estado de alarma no ha supuesto la suspensión del derecho fundamental a la protección de datos ni, en consecuencia, de los plazos para dar respuesta al ejercicio de los derechos que el Reglamento General de Protección de Datos (RGPD) atribuye a las personas, con independencia de la naturaleza privada o pública del responsable del tratamiento ante el que se ejerzan.

    No obstante, el artículo 12.3 del RGPD permite prorrogar el plazo de respuesta de un mes por otros dos más, siempre que dicha prórroga se motive, por ejemplo, describiendo cómo afecta a la actividad del responsable la crisis del COVID-19. En esos casos, si no resultase viable notificar al interesado la prórroga en el plazo de un mes debido a las condiciones derivadas de la crisis podría realizarse, mediante una respuesta automática a la recepción de una solicitud de ejercicio de derechos.

  • 9. Sobre la realización de actividades de monitorización remota en ensayos clínicos.

    Mientras dure la situación de pandemia derivada del COVID 19, se podrán realizar actividades de monitorización remota con verificación de datos fuente en los términos establecidos en el siguiente informe.

    Se pueden consultar los siguientes documentos base del informe:

    • Adenda al contrato entre el promotor y el centro investigador para la realización de ensayos clínicos.
    • Compromiso de confidencialidad para la realización de labores de monitorización en remoto que incluyan la verificación de datos fuente en el contexto de actividades de investigación clínica.
    • Protocolo de seguridad de la conexión remota para el entorno de monitorización de ensayos clínicos.
  • 11. ¿Qué cautelas se deben adoptar en las clases y exámenes online?

    Además de seguir los protocolos, directrices, guías u orientaciones que hayan adoptado los centros o las Administraciones educativas, y sin perjuicio de tomar las medidas adecuadas y proporcionadas para el control de las pruebas de evaluación y las clases online, éstas deberán realizarse de la manera menos intrusiva posible para la privacidad del alumnado, sus familias y del profesorado, evitando la captación de información personal que pusiera de manifiesto sus características sociales, económicas, religiosas o ideológicas.

    En la medida de lo posible deberían realizarse en el lugar viable más neutro de las viviendas del alumnado y profesorado, y no ser conservadas las imágenes o, en su caso, o no por más tiempo del establecido para la revisión de exámenes.

    La grabación y/o la difusión de imágenes y/o audios humillantes y vejatorios constituye una infracción a la normativa de protección de datos. A través del Canal Prioritario de la AEPD (https://www.aepd.es/canalprioritario/), se puede solicitar la supresión de la difusión de estas imágenes y/o audios.

  • 13. ¿Se puede incluir en el CV información de tener anticuerpos de la COVID-19?

    Por los motivos expuestos en la pregunta anterior, no se debe incluir la información de haber desarrollado anticuerpos de la COVID-19 en un CV. La empresa empleadora o la entidad destinataria del CV no puede utilizar esa información y deberá suprimirla, lo que puede llegar a implicar la destrucción del CV y la eliminación del candidato del proceso selectivo.

    Por otro lado, la difusión y el tratamiento de datos sensibles, como son los relativos a la salud, suponen un riesgo para la privacidad y los derechos y libertades de las personas de gravedad y probabilidad variables como reconoce el Reglamento general de protección de datos en su considerando 75. Más información en el comunicado de la Agencia Española de Protección de Datos.

  • 2. ¿Pueden transmitir esa información al personal de la empresa?

    Esta información debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad, si bien, podría transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias.

    La información debe proporcionarse respetando los principios de finalidad y proporcionalidad y siempre dentro de lo establecido en las recomendaciones o instrucciones emitidas por las autoridades competentes, en particular las sanitarias. Por ejemplo, si es posible alcanzar la finalidad de protección de la salud del personal divulgando la existencia de un contagio, pero sin especificar la identidad de la persona contagiada, debería procederse de ese modo. Si, por el contrario, ese objetivo no puede conseguirse con información parcial, o la práctica es desaconsejada por las autoridades competentes, en particular las sanitarias, podría proporcionarse la información identificativa.

  • 4. ¿Se pueden tratar los datos de salud de las personas trabajadoras relacionados con el coronavirus?

    Para cumplir las decisiones sobre la pandemia de coronavirus que adopten las autoridades competentes, en particular las sanitarias, la normativa de protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades en la lucha contra la pandemia.

    La normativa de protección de datos permite adoptar las medidas que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado.

    En todo caso, el tratamiento de estos datos debe observar los principios establecidos en el RGPD, en particular los de minimización, limitación de la finalidad y minimización de la conservación.

  • 6. ¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?

    Verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario.

    En todo caso, el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban.

  • 8. ¿La declaración del estado de alarma suspende los plazos para notificar las brechas de seguridad a la Agencia Española de Protección de Datos?

    Las obligaciones impuestas en el RGPD relativas a la notificación de brechas de seguridad de datos personales y a su comunicación a los afectados, en caso de que entrañen un alto riesgo para sus derechos y libertades, tienen por objeto crear una sociedad más resiliente ante los incidentes de seguridad que pueden socavar nuestros derechos fundamentales.

    La suspensión de plazos administrativos prevista en Real Decreto 463/2020, por el que se declara el estado de alarma, no afecta a la obligación de notificar las quiebras de seguridad que afecten a datos personales, por lo que los responsables están obligados a notificarlas ante la Agencia Española de Protección de Datos en el plazo de 72 horas. La presentación de esta notificación se realizará de forma telemática a través de la sede electrónica de la AEPD, pudiendo recurrir a la opción de realizar una notificación inicial en el dicho plazo en caso de no disponer de toda información necesaria sobre la brecha. Posteriormente, cuando se disponga de toda la información necesaria, se podrá ampliar la información mediante una notificación adicional.

  • 10. ¿Pueden los centros educativos impartir clases y realizar exámenes online sin el consentimiento de los interesados?

    Desde la perspectiva de protección de datos la respuesta es SÍ. El tratamiento de datos que puede suponer tanto la impartición de clases como la realización de exámenes online en la enseñanza reglada no necesita el consentimiento del alumnado, o de sus padres o tutores, pues está legitimado por la realización de una misión de interés público como es la función educativa, prevista en una norma de rango legal, la Ley Orgánica de Educación (D.A. 23ª); ni tampoco el del profesorado, que se debe al cumplimiento de su relación contractual o estatutaria para ejercer la función educativa.

    Los prestadores de los medios tecnológicos (plataformas, aplicaciones…), en la medida que tratan datos de carácter personal, son encargados del tratamiento que lo realizan precisamente por encargo del responsable: los centros y las Administraciones educativas, dependiendo de la titularidad del centro educativo. Éstos deben proceder a su elección y contratación con la diligencia que exige el Reglamento general de protección de datos (art. 28), para lo que cuenta con el asesoramiento del delegado de protección de datos de designación obligatoria por todos los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación (art. 34.1.b Ley Orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales, LOPDPGDD).

    El profesorado en el ejercicio online de la función educativa debería utilizar los medios puestos a su disposición por los centros o la Administración educativa responsables del tratamiento.

    En consecuencia, la normativa de protección de datos no constituye ningún obstáculo para realizar la función educativa.

  • 12. ¿Para solicitar y/o acceder a un puesto de trabajo le pueden pedir como requisito que tenga anticuerpos de la COVID-19?

    La información de haber pasado la enfermedad de la COVID-19 y desarrollado anticuerpos constituye un dato personal relativo a la salud, que el Reglamento general de protección de datos (RGPD), en su artículo 9, califica de categoría especial y, con carácter general, prohíbe su tratamiento, salvo las excepciones que ese mismo artículo recoge, por lo que resulta plenamente aplicable el citado RGPD y la Ley Orgánica de protección de datos personales y garantía de los derechos digitales (LOPDPGDD).

    Conforme se recoge en el comunicado de la Agencia Española de Protección de Datos, el dato de ser inmune a la COVID-19 no puede ser objeto de tratamiento por la empresa empleadora ni, en consecuencia, solicitado a las personas candidatas a un empleo, pues dicho tratamiento ni sería lícito, al carecer de base jurídica, ni respondería a finalidades legítimas.