Un cliente nos pregunta si arrendador de una vivienda está obligado a recoger y comunicar a las autoridades los datos de los inquilinos, según el RD 933/2021
Vamos a diferenciar el alquiler de vivienda de temporada del alquiler de vivienda de uso turístico.
Veamos las diferencias entre ambos:
1. Alquiler de temporada (no turístico)
Definición:
Regulado por la Ley 29/1994, de 24 de noviembre, de Arrendamientos Urbanos (LAU), artículo 3.2.
Es el alquiler de una vivienda por un periodo determinado para un uso distinto al de vivienda habitual (por ejemplo, por motivos laborales, estudios o vacaciones).
Características:
Duración: Temporal, sin que el inquilino establezca su residencia habitual en el inmueble.
Finalidad: Puede ser para ocio, trabajo, estudios, o cualquier uso temporal no vinculado exclusivamente a actividades turísticas.
Exclusión del ámbito turístico: No se promociona a través de canales turísticos (como Airbnb, Booking, etc.), ni se ofrecen servicios adicionales como limpieza diaria, recepción o atención al cliente.
Normativa aplicable:
Ley de Arrendamientos Urbanos (LAU): Este tipo de alquiler se rige por lo pactado entre las partes, y subsidiariamente por la normativa general de la LAU.
No requiere el cumplimiento de normativas específicas de viviendas de uso turístico ni el alta en registros turísticos autonómicos.
2. Viviendas de uso turístico
Definición:
Reguladas por las normativas de cada Comunidad Autónoma (no por la LAU).
Son viviendas que se alquilan de forma habitual o reiterada con fines turísticos y que se promocionan en canales turísticos.
Características:
Duración: Estancias de corta duración (normalmente días o semanas).
Finalidad: Exclusivamente turística, orientada a personas que buscan alojamiento por ocio o turismo.
Promoción: Se alquilan a través de canales turísticos (plataformas como Airbnb, Booking, etc.).
Servicios adicionales: Pueden incluir servicios propios del sector hotelero (limpieza, recepción, etc.).
Normativa aplicable:
Cada Comunidad Autónoma regula las viviendas de uso turístico, estableciendo requisitos específicos como la obligatoriedad de registro, placas identificativas, y comunicación de datos a las fuerzas de seguridad (Real Decreto 933/2021).
¿Cuándo se considera un alquiler de temporada como uso turístico?
Un alquiler de temporada puede considerarse uso turístico si cumple con las siguientes condiciones:
Se promociona en canales turísticos.
Se ofrece de forma habitual o reiterada.
Incluye servicios propios del alojamiento turístico.
Si no cumple estas condiciones, seguirá estando bajo el régimen de la LAU y no se considerará uso turístico.
Conclusión:
El alquiler de temporada no se considera automáticamente uso turístico, pero puede clasificarse como tal si se promociona para fines turísticos y cumple con los requisitos establecidos por las normativas autonómicas. Por lo tanto, es importante analizar cada caso en función de la finalidad del alquiler y los canales a través de los cuales se ofrece la vivienda.
En caso de que se considere de uso turístico, el gestor del mismo deberá tener en cuenta la obligación de recabar datos personales establecida en el Real Decreto 933/2021.
En ese caso, la regulación del inmueble no será la Ley de Arrendamientos Urbanos sino la legislación autonómica aplicable dependiendo de la ubicación del inmueble. En España, la legislación autonómica aplicable A continuación, detallamos algunas de las principales regulaciones autonómicas:
Andalucía: Decreto 28/2016, de 2 de febrero, de las viviendas con fines turísticos.
Aragón: Decreto 80/2015, de 5 de mayo, por el que se aprueba el Reglamento de las viviendas de uso turístico en Aragón.
Asturias: Decreto 48/2016, de 10 de agosto, de viviendas vacacionales y viviendas de uso turístico.
Baleares: Ley 6/2017, de 31 de julio, del alquiler turístico de viviendas.
Canarias: Decreto 113/2015, de 22 de mayo, por el que se aprueba el Reglamento de las viviendas vacacionales de la Comunidad Autónoma de Canarias.
Cantabria: Decreto 225/2019, de 28 de noviembre, por el que se regulan las viviendas de uso turístico en la Comunidad Autónoma de Cantabria.
Castilla y León: Decreto 3/2017, de 16 de febrero, por el que se regulan las viviendas de uso turístico en Castilla y León.
Castilla-La Mancha: Decreto 36/2018, de 29 de mayo, por el que se regulan las viviendas de uso turístico en Castilla-La Mancha.
Cataluña: Decreto 75/2020, de 4 de agosto, de turismo de Cataluña.
Comunidad Valenciana: Decreto 10/2021, de 22 de enero, del Consell, de regulación de las viviendas de uso turístico de la Comunitat Valenciana.
Extremadura: Ley 2/2011, de 31 de enero, de desarrollo y modernización del turismo de Extremadura.
Galicia: Decreto 12/2017, de 26 de enero, por el que se regulan los establecimientos de alojamiento turístico y las viviendas de uso turístico en la Comunidad Autónoma de Galicia.
Madrid: Decreto 79/2014, de 10 de julio, por el que se regulan los apartamentos turísticos y las viviendas de uso turístico de la Comunidad de Madrid.
Murcia: Decreto n.º 256/2019, de 10 de octubre, por el que se regulan las viviendas de uso turístico en la Región de Murcia.
Navarra: Decreto Foral 230/2011, de 26 de octubre, por el que se regulan los apartamentos turísticos y las viviendas turísticas en la Comunidad Foral de Navarra.
País Vasco: Decreto 101/2018, de 3 de julio, de viviendas y habitaciones de uso turístico en la Comunidad Autónoma del País Vasco.
La Rioja: Decreto 10/2017, de 17 de marzo, por el que se regulan las viviendas de uso turístico en la Comunidad Autónoma de La Rioja.
Además de estas regulaciones autonómicas, muchos ayuntamientos han establecido ordenanzas municipales que afectan al alquiler vacacional, especialmente en zonas con alta afluencia turística. Por ejemplo, el Ayuntamiento de Barcelona ha implementado el Plan Especial Urbanístico de Alojamientos Turísticos (PEUAT), que regula la implantación de alojamientos turísticos en la ciudad.
Es fundamental que los propietarios interesados en ofrecer alquileres vacacionales consulten tanto la normativa autonómica como las ordenanzas municipales correspondientes a su localidad para asegurar el cumplimiento de todos los requisitos legales.
Hoy un cliente nos ha remitido un documento de «Consentimiento para recibir emails» que le ha enviado su proveedor, y nos ha consultado:
¿Realmente hace falta tener el consentimiento firmado por el cliente para que el proveedor le pueda enviar información publicitaria por email?
La respuesta corta es: NO.
El envío de correos publicitarios ha de estar legitimado por una de las bases contempladas en el artículo 6 del Reglamento General de Protección de Datos. En este caso concreto, serían aplicables dos opciones:
El consentimiento expreso del cliente.
El interés legítimo del proveedor.
El interés legítimo tiene sus límites, pero en este caso concreto, es posible hacerlo si cumple estos dos requisitos:
1 Si informa a los clientes claramente de la posibilidad de oponerse, gratuita y fácilmente, cuando se recopilan sus datos de contacto y cada vez que se envía un mensaje, en caso de que el cliente no se opusiera inicialmente.
2 Si la publicidad la hace de productos / servicios similares a los que ha contratado o adquirido el cliente
Un cliente nos pregunta: Por favor me gustaría consultarte si la funcionalidad de la web para permitir cambiar las preferencias de tipos de cookies aceptadas una vez que ya han sido previamente aceptadas es obligatoria o recomendada.
En la última versión (2024) de la Guía de Cookies publicada por la AEPD, en su punto 3.2.9 establece lo siguiente:
3.2.9. Retirada del consentimiento para el uso de cookies
Los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies. El usuario debe poder revocar el consentimiento de forma fácil. El sistema que se ofrezca para retirar el consentimiento debe ser tan fácil como el utilizado cuando se prestó. Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las cookies.
Interpretando el texto de la guía, vemos dos posibles soluciones operativas:
La opción impecable y aparentemente recomendada por la AEPD es mantener en el pie de página de todas las páginas del sitio un elemento permanentemente visible del tipo «Gestionar Cookies» que permita el acceso al panel de gestión para que el usuario pueda modificar o revocar su consentimiento.
Otra opción que también nos parece aceptable es enlazar a ese panel desde la política de cookies. Recomendamos que esté enlazado dentro del apartado «Retirada del consentimiento» dentro de dicha política de cookies.
A nuestro entender bastaría con aplicar cualquiera de las dos posibles soluciones, y si queremos bordarlo, aplicar ambas.
Un administrador de fincas cliente nuestro, nos traslada una solicitud de acceso a documentación de la comunidad, efectuada por un propietario, que solicita lo siguiente:
1.- Libro de actas de la Junta de Propietarios correspondiente a los ejercicios 2023 y 2024 (en curso). 2.- Libros contables de la comunidad correspondientes a los ejercicios 2023 y 2024 (en curso). 3.- Facturas pagadas por la Comunidad de Propietarios correspondientes a los ejercicios 2023 y 2024 (en curso). 4.- Contratos de Servicios efectuados por la Comunidad en los ejercicios 2023 y 2024 (en curso). 5.- Estatutos de la Comunidad de Propietarios. 6.- Reglamento de Régimen Interior (si lo hubiere).
La solicitud se efectúa al amparo del Art. 20.1 e) de la Ley de Propiedad Horizontal que dispone que corresponde al Administrador custodiar a disposición de los titulares la documentación de la Comunidad.
La Agencia de Protección de Datos, en base a lo dispuesto en el referenciado Art. 20.1 e) de la LPH, atendiendo a los principios de proporcionalidad y finalidad considera lícita la comunicación de ciertos datos, a los efectos de comprobación de una correcta gestión y buen gobierno de la Comunidad de Propietarios. Pero ello no exime al administrador de adoptar ciertas cautelas respecto a la documentación solicitada, para asegurar que la atención de la solicitud de documentación es compatible con la legislación de protección de datos.
En este caso las precauciones y medidas que recomendamos son las siguientes:
1. Libro de actas de la Junta de Propietarios Precauciones: Las actas de las juntas suelen contener información personal de los propietarios, como nombres, direcciones y, en algunos casos, datos económicos. Medidas: Revisar y censurar cualquier dato personal que no sea estrictamente necesario para el ejercicio del derecho de acceso. Se debe evitar compartir datos personales de otros propietarios que no sean pertinentes para la solicitud.
2. Libros contables de la comunidad Precauciones: Los libros contables pueden incluir información detallada sobre pagos realizados por los propietarios y sus datos personales. Medidas: Censurar o anonimizar los datos personales de los propietarios en los movimientos contables. Solo se debe proporcionar la información que sea relevante para la transparencia y la rendición de cuentas de la comunidad, evitando exponer datos personales innecesarios. En el caso de devoluciones de recibos bancarios o de transferencias recibidas de propietarios, recomendamos censurar el nombre del propietario. El administrador debe informar de los saldos pendientes de pago antes de la junta general, pero está obligado a guardar la privacidad respecto de los propietarios que impagaron alguna cuota y lo regularizaron antes de la junta general.
3. Facturas pagadas por la Comunidad de Propietarios Precauciones: Las facturas pueden contener datos personales de los proveedores, así como detalles sobre los servicios prestados. Medidas: Revisar las facturas para asegurar que no se incluyan datos personales no necesarios. En el caso de proveedores autónomos, se debe tener especial cuidado en no exponer información como números de identificación fiscal, direcciones personales, etc.
4. Contratos de Servicios efectuados por la Comunidad Precauciones: Los contratos pueden contener datos personales de los proveedores o trabajadores autónomos. Medidas: Anonimizar o censurar los datos personales de los contratistas o empleados autónomos en los contratos. Proporcionar solo la información relevante para entender los términos del servicio contratado.
5. Estatutos de la Comunidad de Propietarios Precauciones: Los estatutos suelen ser documentos públicos de la comunidad que no contienen datos personales. Medidas: No suelen requerir censura, pero es recomendable revisar el documento para asegurarse de que no contenga información personal no necesaria.
6. Reglamento de Régimen Interior (si lo hubiere) Precauciones: Al igual que los estatutos, este documento normalmente no incluye datos personales. Medidas: Revisar y asegurarse de que no contenga datos personales antes de proporcionarlo.
Consideraciones Adicionales Principio de Minimización de Datos: Proporcionar únicamente la información mínima necesaria para cumplir con la solicitud de acceso. Confidencialidad: Asegurar que toda la documentación se maneje con la máxima confidencialidad y se entregue de manera segura para evitar accesos no autorizados.
El administrador de fincas debe actuar con diligencia y asegurar que el cumplimiento de la solicitud de acceso respete los principios de protección de datos establecidos en la LOPDGDD, garantizando así la privacidad y seguridad de los datos personales de todos los propietarios y terceros involucrados.
Un cliente nos indica que los representantes de los trabajadores le han pedido que publique en el tablón de anuncios para los trabajadores la Relación Nominal de Trabajadores (RNT), el antiguo TC2 y la Relación de Liquidación de Cotizaciones (RLC), el antiguo TC1 y nos pregunta si está obligado a hacerlo o no.
La Agencia Española de Protección de Datos, en su Guía para las Relaciones Laborales, tiene publicada información relevante a este respecto.
Los representantes de los trabajadores tienen derecho a recabar de la empresa la documentación necesaria para desempeñar la función de control que tienen asignada, y por ello, la empresa está obligada a cederles esta información.
Los representantes de los trabajadores tienen derecho a recibir la RNT, la RLC y la copia básica de cada contrato de trabajo, con objeto de conocer la retribución y ciertos datos que aparecen en el contrato, sin que esto vulnere el derecho a la intimidad del trabajador. En dicha copia básica no deben aparecer los datos ajenos a la situación de trabajo, como es el caso de la situación familiar. Tampoco tienen derecho a solicitar las nóminas de todos los trabajadores.
El convenio colectivo podría contener previsiones específicas, pues al ser fuente reguladora de la relación laboral, podría ampliar el ámbito de la cesión de datos.
Los representantes no pueden publicar estos documentos en un tablón de anuncios de la empresa.
Respecto a la ubicación del tablón de anuncios para uso de los representantes de los trabajadores, cabe tener en cuenta que dicho tablón no puede ubicarse en una zona de acceso libre para clientes o proveedores. Ha de estar en una zona restringida para los trabajadores. Puede ser una zona física o también es válida la publicación en la intranet de la empresa (nunca abierto a todo el mundo y accesible desde internet).
La AEPD acaba de actualizar la guía sobre el uso de cookies en la que clarifica y actualiza los criterios que deben seguir las webs españolas para cumplir con las obligaciones de privacidad establecidas en la Ley de Protección de Datos.
Os resumimos las obligaciones más importantes:
El botón “Rechazar cookies” ha de estar al mismo nivel que “Aceptar”
Las páginas web y aplicaciones móviles deben ofrecer a los usuarios un botón de “Rechazar” las cookies, claramente visible y accesible. No valen trucos como ponerlo más pequeño, o con un color que cueste de identificar sobre el fondo.
Aceptas cookies o pagas
Siguen resultando ilegales los “muros de cookies” donde el usuario o acepta o no puede seguir navegando, pero una novedad importante es la posibilidad de poner una alternativa de pago, de forma que si no aceptas las cookies de publicidad que permiten mejorar los ingresos de la web, tengas que pagar una cuota por seguir navegando en el sitio.
Esta posibilidad vendrá muy bien para los sitios web que viven de la publicidad, pero no resulta interesante para las webs corporativas, o para los sitios de comercio electrónico.
Botón o enlace de configurar cookies.
Si le damos al usuario una tercera opción, además de “Aceptar” y “Rechazar”, esta tercera opción abrirá un panel con más información, donde muestre los tipos de cookies que utiliza el sitio. No es correcto poner un listado de todas las cookies para que el usuario tenga que activar o desactivar una por una. Debemos agrupar las cookies entre las exentas (en que no es necesario pedir permiso) y las no exentas, que deberemos agrupar por funcionalidad: Analíticas o de medición, o de publicidad comportamental, diferenciando las propias y de terceros.
Cookies opcionales desactivadas
Puesto que estamos solicitando el consentimiento, las casillas premarcadas o activadas por defecto no son válidas. Así que, en el configurador, las cookies opcionales deberán tener la casilla desmarcada o el selector en posición de “desactivado”
Mantener acceso al configurador aunque el usuario acepte las cookies.
Al aceptar las cookies, podemos ocultar el banner informativo, durante 24 meses, pero hemos de mantener un botón o enlace que permita volver al configurador, por si el usuario cambia de opinión y decide rechazar algunas cookies.
Información detallada en la segunda capa de información
En la política de cookies es conveniente detallar las cookies utilizadas dentro de cada funcionalidad, indicando su nombre, el tercero que las instala, la finalidad de la cookie y el tiempo de duración de la misma, si hay transferencias internacionales.
La AEPD puede imponer sanciones cuantiosas por no cumplir la obligación de gestionar correctamente las cookies. Por ello, si tienes contratado nuestro servicio, revisaremos tu web para asegurarnos que lo tienes todo bien configurado.
Nota: Si tienes gusto de leerte la guía completa de cookies la última versión es la publicada en enero de 2024, la puedes descargar desde aquí: Guía cookies 2024 AEPD.
Tu empresa verse envuelta en un problema de hackeo con dos situaciones distintas:
Que le pagues a un hacker en vez de a tu proveedor.
Que algún cliente tuyo le pague a un hacker en vez de pagarte a ti.
Hay algunas medidas técnicas imprescindibles para que no hackeen tu correo electrónico:
Que las contraseñas de las cuentas de correo electrónico sean suficientemente seguras y si es posible que el acceso al correo utilice un segundo factor de autenticación.
Que los equipos informáticos que utilices tengan un sistema operativo actualizado y que tengan activado el antivirus.
QUE NO TE ENGAÑEN: No pagues al hacker: Paga a tu proveedor.
El eslabón más débil en la cadena de la ciberseguridad solemos ser las personas. Si un hacker envía un correo desde facturacion@provedor.com en vez de facturacion@proveedor.com es posible que muchas personas caigan en la trampa (la primera dirección tiene proveedor sin una “e”).
Por eso, además de recomendar la máxima atención a todos los empleados, es conveniente aplicar también algunas medidas organizativas.
Por ejemplo: Sólo pagaremos facturas a la cuenta registrada del proveedor. Si un proveedor nos pide que cambiemos la cuenta, confirmaremos la nueva cuenta:
Para ello le podemos pedir un pdf donde indique el cambio de cuenta y que tenga la firma digital de representante. (O bien del banco, o bien del representante legal de nuestro proveedor). OJO: Si se trata de un hacker espabilado, puede que aporte un certificado en pdf. Lo importantes es que comprobemos que se trata CON LA FIRMA DIGITAL VÁLIDA. Ejemplo:
Otra comprobación factible es llamar por teléfono al proveedor. OJO: Busca en internet su teléfono, pero desconfía del teléfono en la factura o en el correo, un hacker espabilado pondrá su teléfono en la factura y te confirmará encantado la cuenta para que le pagues a él.
QUE NO ENGAÑEN A TUS CLIENTES POR TU CULPA:
Si tu empresa tiene un dominio propio (ejemplo: miempresa.com) es importante que configures las DNS del dominio activando la política DMARC que indique a todos los servidores de correo electrónico del mundo, que sólo deben aceptar correos de los orígenes autorizados por tu empresa.
Esto es especialmente importante si emites facturas de más de 1000 euros a tus clientes.
Durante la próxima revisión anual tu consultor lo revisará y te informará de si tu dominio está correctamente protegido frente a ataques de phishing.
El uso de datos biométricos que realizan las empresas para control de accesos y para registro de la jornada laboral queda prohibido a partir de ahora para el 99.97% de las empresas.
La AEPD tiene una Guía sobre relaciones laborales, publicada el 18 de mayo de 2021, en la que explica que se pueden utilizar datos biométricos de los trabajadores, siempre y cuando la empresa cumpla diez obligaciones (información a trabajadores, protección de datos desde el diseño, criterios de almacenamiento de datos biométricos, etc).
Ahora bien, el 23 de noviembre de 2023 la AEPD ha publicado nueva una guía concreta y específica titulada “Guía sobre tratamientos de control de presencia mediante sistemas biométricos” en la que reconsidera su interpretación.
Puedes leerte las 31 páginas que tiene la guía, o puedes leerte este resumen que he preparado, en que te lo explico con mis propias palabras, sacrificando precisión jurídica a cambio de claridad para nos que no sean abogados.
La antigua guía diferenciaba entre identificación y autenticación.
La autenticación se da si el trabajador pone su código de trabajador (ejemplo el 33, es el código de Pepe) y a continuación el sistema examinaba el rostro (o la huella) de la persona que tenía delante, y decidía si era Pepe o no era Pepe.
La identificación se da si el trabajador se pone delante del dispositivo, y el sistema examina su rostro (o su huella) y la compara con todos los rostros (o huellas) de los usuarios registrados en el sistema y dice, “OK, te acabo de encontrar en mi base de datos, eres Pepe”.
La identificación se consideraba un tratamiento de NIVEL ALTO. La autenticación, NO. Y por aquí, nos podíamos escapar de las obligaciones impuestas a los tratamientos de nivel alto.
La nueva guía expone los criterios por los que, a partir de ahora ambos tratamientos se consideran de nivel alto: el desarrollo tecnológico permite extraer más detalles de los rasgos biométricos de una persona. Ahora un buen sistema biométrico, además de identificar el rostro de Pepe, puede llegar a decirte la probabilidad de que Pepe esté enfermo o de que tenga un problema psicológico. Y un sistema de huella dactilar, además de identificar que se trata de Pepe, puede registrar datos de salud, como la temperatura corporal de Pepe, y su presión sanguínea.
Y dada la muy alta sensibilidad de estos datos, la AEPD no quiere que una empresa se plantee el utilizarlos, aunque Pepe haya dado su consentimiento. Más adelante te explico porqué.
El RGPD (Reglamento General de Protección de Datos) prohíbe el uso de datos de nivel alto, salvo que concurra alguna de estas circunstancias:
Existencia de una norma de rango de ley:
Hay una ley que obliga a las empresas a registrar la jornada laboral, pero en esa ley no obliga a que la empresa tenga que utilizar dispositivos de control biométrico para ello.
Por tanto, la ley no te sirve como excusa para poner un dispositivo de control biométrico.
Juicio de proporcionalidad:
El uso de datos biométricos supone una medida restrictiva de los derechos y libertades de los individuos.
El Tribunal Constitucional, en su sentencia 14/2003 nos dice que cualquier medida restrictiva de derechos fundamentales ha de superar el juicio de proporcionalidad cumpliendo estas tres condiciones: Que sea idónea, necesaria y que su adopción genere más beneficios que inconvenientes.
En la propia guía la AEPD nos dice que el sistema de control de presencia y control de accesos en las empresas se ha utilizado varios siglos sin necesidad de utilizar datos biométricos. En 1980, el principal fabricante de automóviles en España tenía 30.000 empleados y controlaba sus entradas y salidas sin sistemas biométricos. Así que, si tu empresa tiene menos de 30.000 empleados, bien puedes hacer como ellos y no usar biométricos.
Y puesto que no puedes demostrar que es necesario, no supera el juicio de proporcionalidad.
Consentimiento del interesado
En una relación empresa / trabajador, se presupone que la empresa es más poderosa que el trabajador y por tanto, ha de demostrar que el consentimiento es lícito.
Para que el consentimiento sea lícito, la empresa ha de proporcionar al interesado una alternativa.
Si existe una alternativa, ya la propia empresa está demostrando que no es necesario el uso de biométricos.
Conclusión de la AEPD: En un tratamiento de registro de jornada implementado con técnicas biométricas el consentimiento del interesado no levanta la prohibición del tratamiento.
¿Y si ya tengo instalado un sistema de control de accesos / registro de la jornada laboral que usa huella dactilar o reconocimiento facial?
Intenta ver si el fabricante te permite utilizarlo anulando el sistema biométrico y sustituyéndolo por uno de estos mecanismos:
PIN o contraseña para cada trabajador.
Tarjeta RFID para cada trabajador.
Sistema NFC utilizando el teléfono móvil de cada trabajador.
¿Cómo puedo hacer que en mi empresa sí sea legal utilizar sistemas biométricos?
No lo tienes fácil. De entrada, biométrico = nivel alto, y por tanto, necesitas una EIPD (Evaluación de Impacto sobre la protección de datos), que es un análisis laborioso (y caro).
Y aunque estés dispuesto a gastar dinero, a ver si se te ocurre cómo superarás el juicio de proporcionalidad y demostrarás la absoluta necesidad de utilizar esos biométricos para control de acceso. Si tu empresa maneja secretos militares y tiene contratos con la OTAN, podemos ayudarte. En caso contrario, lo veo difícil.
— Editado y añadido el 6/2/2024 Manifestaciones de un fabricante de dispositivos de control biométrico ——-
Uno de nuestros clientes, tras contactar con el fabricante de los equipos de dispositivos de control biométrico, recibe la siguiente respuesta:
Hemos detectado algunas noticias en que los periodistas, sin analizar a fondo la guía de la AEPD concluyen de forma tajante que usar sistemas biométricos es ilegal y los que lo hagan serán sancionados.
Nuestra empresa ha analizado todo el documento y lo que contiene la Guía son recomendaciones en caso de implementación del sistema. Si te dice cómo has de hacerlo, no puede ser ilegal ni estar prohibido.
Os destaco algunos de los puntos para que los podáis valorar:
La legislación vigente sigue siendo la misma desde 2018: El mismo Reglamento General de Protección de Datos (RGPD) y la misma Ley Orgánica de Protección de Datos (LOPD).
La nueva exigencia de la AEPD es que será necesario realizar una declaración de impacto y justificar su uso.
Sí entendemos que, para el control de acceso “con fines no laborales” debemos utilizar necesariamente como base de legitimación el consentimiento del interesado siempre que se ofrezca una alternativa libre (tarjeta, QR, PIN…). Este es el caso de la asistencia a locales de pública concurrencia con acceso controlado: estadios de fútbol, conciertos o entrada a instalaciones deportivas.
Pero ciñéndonos al ámbito laboral, consideramos que la AEDP, al publicar esta guía se está atribuyendo una función legislativa que no posee: Está prohibiendo el consentimiento explícito y libre como base de legitimación del registro de jornada. Esta es una interpretación muy discutible por lo que consideramos que se han extralimitado en sus funciones.
Pero, incluso admitiendo la prohibición del consentimiento de los trabajadores como base de legitimación, dado que el registro de jornada es una obligación impuesta por ley a las empresas con la finalidad de garantizar el cumplimiento de los horarios de los trabajadores dentro de la jornada laboral, definiendo un entorno de seguridad jurídica tanto para empresas como para los trabajadores, toda vez que posibilita el control por parte de la Inspección de Trabajo y Seguridad Social, entendemos que todavía es posible legitimar el tratamiento para el registro de jornada basándonos en la excepción prevista en el punto 9.2.g del RGPD:
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
Un requisito fundamental para el registro de la jornada laboral es que sea fiable y objetivo, y que permita poner los datos a disposición de los trabajadores, de sus Representación Legal de los Trabajadores y de la Inspección de Trabajo y Seguridad Social.La limitación de uso de las medidas técnicas más efectivas (biometría) iría en contra del interés público establecido en el apartado 9.2.g).
Por ello consideramos totalmente válido utilizar el apartado 9.2.g) como base de legitimación del tratamiento de «Registro de la Jornada Laboral» y dado que en la guía se consideran equivalentes el control de acceso con fines laborales y el registro de jornada laboral, a nuestro buen saber y entender, también sería de aplicación el apartado 9.2.g para legitimar el uso de biométricos para el «Control de acceso de trabajadores».
— Respuesta a nuestro cliente——-
Hola [Cliente],
Estoy muy de acuerdo con los argumentos de tu proveedor, pero yo sí me he leído la guía publicada por la AEPD y su tesis es esta:
1) Para utilizar datos biométricos es imprescindible realizar una evaluación de impacto sobre la protección de datos (EIPD) y justificar la necesidad del uso de biométricos.
2) La relación empresa-trabajador no se considera equilibrada, sino que la empresa tiene poder sobre el trabajador, por lo que cualquier tratamiento basado en el consentimiento se mirará con lupa y se dudará de ese consentimiento.
3) Para que el consentimiento sea válido, la empresa tendrá que demostrar que tiene otras alternativas igualmente válidas si el trabajador declina dar su consentimiento. Estas alternativas pueden ser, por ejemplo, las tarjetas NFC.
4) Si es posible sustituir el tratamiento biométrico por otro menos intrusivo, como la tarjeta NFC, ya no hay manera de justificar la necesidad planteada en el punto 1 y por tanto la empresa debe utilizar el tratamiento menos intrusivo y renunciar a uso de biométricos.
¿Es factible utilizar como base de legitimación el apartado 9.2 g)? Es discutible si el tratamiento de biométricos es «proporcional al objetivo perseguido», cuando queda claro que técnicamente existen alternativas menos intrusivas para la privacidad de los trabajadores.
¿Cuándo tendremos claridad jurídica sobre este tema? Cuando la AEPD sancione a alguna empresa por utilizar biométricos, la empresa lo recurra y llegue hasta el Tribunal Supremo, y éste dicte una sentencia que siente jurisprudencia. (Calculo que eso no ocurrirá antes de 2028)
¿Quieres arriesgarte a que tu empresa reciba la sanción y tenga que pelear con la AEPD hasta que el Tribunal Supremo dicte sentencia? Yo no te lo aconsejo. Es caro, largo y durante el camino tendrás que pagar o avalar el importe económico de la sanción.
Pero si quisieras arriesgarte, mi consejo es que le pidas a esta empresa que te hagan ellos la Evaluación de Impacto sobre la protección de datos que cita el punto 1), que suscribas un contrato con ellos en el que asuman los costes derivados de cualquier sanción que te imponga la AEPD por el uso de biométricos, y que te demuestren que tienen un buen seguro para cubrir esa obligación.
Una empresa que necesita enviar mercancía a sus clientes o a sus colaboradores, utiliza habitualmente servicios de empresas de transporte.
Ahora bien, en el marco de la Ley de Protección de Datos, dicho transportista ¿debe considerarse responsable del tratamiento o encargado del tratamiento?
El criterio es el siguiente:
las empresas de mensajería registran los datos de remitente y destinatario en su base de datos, deciden sobre la manera de llevar a cabo el servicio y usan los datos para sus fines, por tanto, pasan a ser Responsables de tratamiento.
El criterio de la AEPD es que en las empresas de mensajería “no se produce una actuación del consultante como encargado del tratamiento, sino que incorpora los datos personales recabados para sus propios fines, y es él quien decide la forma de llevar a cabo el servicio de transporte encomendado. En definitiva, emplea la información obtenida para sus propios fines, integrándola finalmente en sus propias bases de datos, para la prestación del Servicio”
En cambio, si el servicio consiste en que el transportista recoge una mercancía y la lleva directamente al destino indicado sin que la mercancía baje del camión, debería considerarse encargado del tratamiento. Es caso es todavía más claro si el transportista es dueño de la cabeza tractora y se limita a enganchar la carga y llevarla al destino.
Una pregunta recurrente es si una empresa puede utilizar grupos de Whatsapp o Telegram para coordinar la actividad, obligando o solicitando el consentimiento de sus empleados para ello. Veamos los casos posibles:
CASO 1: Dispositivo y número de teléfono proporcionados por la empresa.
En este caso no hay ningún inconveniente. La empresa tiene la facultad de decidir qué herramientas organizativas utiliza, y puede establecer que los teléfonos de empresa deben tener instalado la aplicación Whatsapp y/o Telegram, y dar de alta los grupos que considere, para organizarse como quiera.
CASO 2: Dispositivo y/o número de teléfono proporcionados por el trabajador
Este caso es mucho más delicado.
La empresa no puede obligar al trabajador a utilizar ni su dispositivo ni su número de teléfono personal para actividades relacionadas con el trabajo.
El Estatuto de los Trabajadores establece que “la ajenidad propia del contrato de trabajo implica, entre otras cosas, la ajenidad en los medios, lo que implica que es el empleador el que tiene que proporcionar al trabajador los medios necesarios para el desenvolvimiento de su relación laboral”
El Comité Europeo de Protección de Datos en sus “Directrices 5/2020 sobre el consentimiento en el sentido del RGPD”, afirma que “con el artículo 7, apartado 4, en vigor, será más difícil que el responsable del tratamiento demuestre que el interesado ha dado su consentimiento libremente”.
En este caso, la única manera segura para la empresa es llegar a un pacto con el trabajador y financiar parte del coste que este soporta, en la línea de teléfono o en el dispositivo. Ejemplos:
El trabajador paga el coste de la línea de teléfono y la empresa proporciona el dispositivo.
La empresa paga una cantidad de entre 50 y 150 euros anuales al trabajador a cambio de que este utilice su número de teléfono y su dispositivo.
