Además, tener coronavirus es una enfermedad de «declaración obligatoria urgente» a las autoridades sanitarias.

Desde la declaración del estado de alarma en nuestro país, han sido múltiples las cuestiones que se han planteado en relación con el tratamiento de datos de positivos por COVID-19, quedando todavía pendientes algunas cuestiones que deberían ser resueltas, para evitar futuras situaciones de incertidumbre.

Trazabilidad de contactos por coronavirus

El Real Decreto-ley 21/2020 prevé que:

“establecimientos, medios de transporte o cualquier otro lugar, centro o entidad pública o privada” están obligados a proporcionar la “información de la que dispongan o que les sea solicitada relativa a la identificación y datos de contacto de las personas potencialmente afectadas”.

Es importante tener en cuenta que se trata de una obligación exigible cuando “las autoridades sanitarias identifiquen la necesidad de realizar trazabilidad de contactos”, lo que implica que los datos mínimos necesarios sean comunicados a las autoridades sanitarias, para la finalidad indicada.

Sobre el tratamiento de datos personales por establecimientos, podrían darse las siguientes situaciones:

• Cumplimiento de las obligaciones de la empresa para garantizar la seguridad y salud de los trabajadores, o en virtud de una ley que establezca esta obligación de obtención y/o comunicación de datos a las autoridades sanitarias.
• Hacer un seguimiento adecuado de la evolución de los contagios, y de la obligación de tomar datos y cederlos a las autoridades sanitarias.

Por lo que se refiere a justificar la legitimidad de la medida, consistente en la identificación de clientes “deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse”.

Para mayor información sobre la base del tratamiento, te aconsejo que leas este artículo:

Recogida de datos personales por establecimiento

En la recogida de datos personales de clientes que acuden a establecimientos, y con la finalidad de poder notificar posibles contactos con positivos en coronavirus, la AEPD ha dicho que:

• Respecto a la naturaleza de los datos personales tratados para crear el registro de clientes: debe exponerse claramente la base de legitimación del tratamiento, y la licitud del tratamiento, atendiendo a los principios esenciales que legitiman el tratamiento de los datos personales.
• Los datos personales que se obtienen de los clientes para crear el registro no son datos relativos a la salud, ya que de lo que se trata es de tener datos de contacto para, si fuera necesario, poder notificarles que han podido estar expuestos a un caso positivo.
• Los datos que se recogen “no son catalogados en el RGPD como «categorías especiales de datos»”. Es decir, no son datos relativos a si se está o no contagiado, sino que se recogen para poder comunicar posibles contactos, con personas que sí han dado positivo en coronavirus
• La licitud del tratamiento parte de la necesidad de crear el registro de clientes, ciñéndose en este caso a los locales de ocio, dado que son en los que se centraban las iniciativas públicas.
• Es necesario cumplir con la legitimidad del tratamiento.

Las apps de “rastreo”

Las denominadas apps de “rastreo de contactos”, que consisten en notificar sobre la posible exposición a positivos por COVID-19, son un claro ejemplo de cómo la tecnología puede ayudar en situaciones como esta.

Cabe prestar atención al dictamen de la Information Commissioner´s Office (ICO) sobre la iniciativa conjunta de Apple y Google que consiste en crear apps de rastreo de contactos, y que intercambian información entre dispositivos, a través de Bluetooth de baja energía.

Actualmente se trata de dar soporte al desarrollo de apps que protegen la identidad de los usuarios.

En cualquier caso, tanto el presente como el futuro, debe ser el de una innovación y cooperación responsables en materia de protección de datos, guiadas por la protección de datos desde el diseño y por defecto, y que se desarrollen en un marco flexible, es decir, capaz de dar respuesta a los retos y necesidades que se plantean.

Curriculum vitae y coronavirus

AVISO a EMPRESAS:

«Cuidado con los C.V. donde el candidato informe de que ha pasado el coronavirus o tiene test de anticuerpos, porque habría que cambiar el protocolo de seguridad de la protección».

AVISO A SOLICITANTES DE EMPLEO:

«No incluyáis ese dato porque os podéis descalificar de entrada».

Conclusiones

La pandemia por coronavirus ha demostrado que:

• “el derecho a la protección de los datos personales no es un derecho absoluto” (considerando 4 del RGPD).
• que el tratamiento de los datos personales puede ser necesario por motivos importantes de interés público “para fines humanitarios, incluido el control de epidemias y su propagación” (considerando 46 del RGPD)
• y que la clave está en “mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad” (considerando 4).

Es decir, ni el derecho fundamental a la protección es un derecho absoluto o ilimitado, ni toda medida que pueda adoptarse para contener la pandemia está justificada, si infringe derechos fundamentales, y en particular, el derecho a la protección de datos personales.

La entrada CORONAVIRUS Y PROTECCION DE DATOS se publicó primero en Gestiona Abogados.

¿Qué datos se consideran personales?

El nombre y apellidos, el domicilio, la dirección de correo electrónico, el número de identificación nacional de identidad, los datos de localización extraídos de un teléfono móvil, los datos recopilados en un historial médico, el identificador de una cookie…

¿Qué datos quedan excluidos de ser datos personales?

Todos los datos que hayan sido anonimizados (como los datos de encuestas de opinión), la dirección de correo de empresa o el número de registro mercantil, entre otros.

La investigación de delitos menores podrá justificar el acceso a datos personales. De esta forma, las autoridades se servirán de estos datos si la injerencia no resulta de especial gravedad.

Las autoridades públicas ¿pueden acceder a mis datos personales?

Hasta ahora lo más habitual había sido que las autoridades públicas manejaran datos personales en la investigación de delitos graves.

Sin embargo, ante la información clave que aportan los dispositivos móviles, el acceso a datos personales estará validado en el avance de investigaciones de robo.

Sentencia donde se aplica

A la Audiencia Provincial de Tarragona llegó el caso de un robo con violencia de una cartera y un teléfono móvil.

En el proceso de acopio de pruebas, la Policía Judicial solicitó al Juzgado de Instrucción el acceso a datos personales de los usuarios de teléfono activados desde el teléfono robado.

La petición de acceso solo se restringía a los doce días posteriores al delito.

La Audiencia Provincial de Tarragona consultó al TJUE si el nivel de gravedad del delito autorizaba la conservación y cesión de datos personales.

La respuesta del tribunal europeo fue clara: el acceso a los datos personales no resultaba tan grave como para restringirlo a delitos de mayor pena.

El Tribunal de Justicia de la Unión Europea (TJUE) recuerda la validez de la Directiva sobre la privacidad y las comunicaciones electrónicas. En ella, las autoridades públicas podrán acceder a datos personales almacenados por los proveedores de servicios de comunicaciones electrónicas incluso cuando un delito no revista gravedad.

Conclusiones

Aunque los derechos fundamentales de los titulares de las tarjetas SIM activadas desde el teléfono sustraído se vulneren, la injerencia resulta oportuna para el curso de la investigación.

La Directiva no solo se cierne sobre el objetivo de prevención, investigación, descubrimiento y persecución de delitos graves, se puede extender a delitos en general, pero con la aplicación del principio de proporcionalidad siempre presente.

No obstante, en la mayoría de delitos menores, el acceso a los datos personales es bastante acotado.

El acceso limitado no permite extraer conclusiones precisas sobre la vida privada.

La investigación de delitos menores podrá justificar el acceso a datos personales.

De esta forma, las autoridades se servirán de estos datos si la injerencia no resulta de especial gravedad.

La entrada Acceso a datos personales del teléfono móvil se publicó primero en Gestiona Abogados.

El sistema de reconocimiento facial es una aplicación dirigida por ordenador que identifica automáticamente a una persona en una imagen digital.

Esto es posible mediante un análisis de las características faciales del sujeto extraídas de la imagen o de un fotograma clave de una fuente de vídeo, y comparándolas con una base de datos.

Pérdida de privacidad

Lo cierto es que la privacidad en el siglo XXI es un mito​.

Pese a que la idea de utilizar el sistema de reconocimiento facial, para reforzar los sistemas legales y hacer los países más seguros, está aceptada por la gran mayoría, el problema se encuentra en lo que se puede conseguir a partir de esto.

Peligros

La información de la que uno puede disponer a través del sistema de reconocimiento facial (localización o datos personales, entre otras cosas​) permite la utilización de la misma para fines tanto positivos como negativos.

En las manos de la persona incorrecta, el reconocimiento facial puede ser utilizado como arma de acoso y extorsión, entre otras cosas, al disponer de información exacta sobre localización y datos personales.

La protección de datos

La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza varias cuestiones que se le han planteado relacionadas con la seguridad privada, entre las que se encuentra la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas seguridad privada. 

El empleo de tecnologías de reconocimiento facial en los sistemas de videovigilancia implica el tratamiento de datos biométricos, a los que se aplica el Reglamento General de Protección de Datos (RGPD), que los cataloga como categorías especiales al tratarse de datos “dirigidos a identificar de manera unívoca a una persona física”.

Esta tecnología supone un tratamiento que, en principio, se encuentra prohibido por el RGPD.

Para poder tratar esos datos, el informe analiza si es posible aplicar a dicha prohibición alguna de las excepciones recogidas en la normativa.

Excepciones

La instalación de los sistemas de videovigilancia con fines de seguridad, que captan y graban imágenes y sonidos, podría ampararse en el interés público, tal y como se plantea en la consulta realizada a la Agencia.

No obstante, si se tratan categorías especiales de datos, como en el caso de la utilización de tecnologías de reconocimiento facial, la normativa requiere que exista un “interés público esencial” para que pueda ser legítimo, profundizando así en la importancia y necesidad de mayor protección de los datos tratados. 

Interés público esencial

La aplicación del interés público esencial como base de legitimación requiere de una norma con rango de ley que justifique en qué medida y en qué supuestos el empleo de la biometría respondería al mismo.

La norma con rango de Ley que ampararía ese tratamiento de categorías especiales de datos no existe en el actual ordenamiento jurídico y, en el caso de tramitarse, tendría que justificar específicamente en qué medida y en qué supuestos la utilización de dichos sistemas respondería a un interés público esencial, así como incorporar garantías específicas como exige el Tribunal Constitucional.

Asimismo, debería cumplir con el principio de proporcionalidad y superar el juicio de necesidad, en el sentido de que no exista otra medida más moderada con la que se consiguiera el mismo propósito con igual eficacia.

La existencia de otras medidas que permiten la protección de las personas, bienes e instalaciones con una menor intrusión en el derecho de los afectados, exigiría una especial justificación de la necesidad de optar por el reconocimiento facial respecto de dichas otras medidas, estableciendo asimismo garantías reforzadas.

No se puede utilizar el reconocimiento facial

La Agencia rechaza, tal y como se planteaba en la consulta, que la legitimación reconocida para los sistemas de videovigilancia, que sólo captan y graban imágenes y sonidos, pueda abarcar otras tecnologías mucho más intrusivas para la privacidad, como el reconocimiento facial u otras medidas biométricas (como el reconocimiento de la forma de andar o el reconocimiento de voz).

La regulación actual es insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, al no cumplir los requisitos anteriormente señalados. 

Supuestos excepcionales

Por último, la Agencia considera que existen supuestos excepcionales en los que podría quedar justificado el empleo de sistemas de reconocimiento facial, siempre que la legislación lo prevea, como en el caso de infraestructuras críticas.

Sin embargo, la autorización con carácter general, del empleo de sistemas de reconocimiento facial en los sistemas de videovigilancia empleados por la seguridad privada carece de base jurídica y sería desproporcionada, dada la intrusión y los riesgos que supone para los derechos fundamentales de los ciudadanos.

Reconocimiento facial y covid

Lo cierto es que Gobiernos y empresas lo emplean para identificarnos en todo tipo de entornos, desde un puesto de trabajo hasta en aeropuertos y colegios.

Sin embargo, su capacidad merma cuando una cara se oscurece, bien sea por el tono de piel, el ángulo de la cámara o, como sucede con esta pandemia, por una mascarilla.

Conclusión 

Puedes cambiarte el nombre o usar un seudónimo.

También puedes modificar o borrar tus cuentas en redes sociales.

Pero lo que no puedes hacer tan fácilmente es cambiar tu rostro.

En resumen, todos recopilan fotos: los gobiernos, las corporaciones, las compañías e, incluso, las personas normales y corrientes.

Hoy en día, todos pueden hacer uso, sea bueno o malo, de los sistemas de reconocimiento facial y lo único que podemos hacer es intentar escondernos de ellos.

Y cuidado, porque el sistema de reconocimiento facial de Facebook es uno de los más precisos del mundo.

.

La entrada Sistemas de Reconocimiento Facial se publicó primero en Gestiona Abogados.

Algunas tiendas pretenden tomar la temperatura de sus clientes en la puerta y denegar el acceso a los que superen los 37 grados. Pero…

¿pueden hacerlo? 

¿Qué pasa con la privacidad?

Sobre todo cuando los datos médicos gozan de una protección especial en nuestro ordenamiento jurídico.

En el otro lado de la balanza, la ley permite limitar ese derecho por razones de salud pública y las empresas deben tomar las medidas de protección necesarias ante una amenaza como el Covid-19.

La respuesta está en alcanzar un equilibrio.

La reciente aprobación del “Plan para la Transición hacia una Nueva Normalidad” -también denominado “plan de desescalada”- por el Consejo de Ministros, junto con la publicación de Directrices de Buenas Prácticas para prevenir el riesgo de exposición laboral al coronavirus por actividades/sectores por parte del INSS ha acelerado la implementación de medidas para asegurar una reanudación de la actividad en un contexto de máxima seguridad, evitando nuevos contagios y, en definitiva, la propagación del COVID-19.

Entre estas medidas, cabe destacar por su relevancia y afectación a la privacidad la toma de temperatura corporal de las personas para que puedan acceder a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos o equipamientos.

CRITERIOS BASICOS

En el comunicado, accesible aquí, se establecen unos criterios básicos que habrán de regir las decisiones tomadas al respecto en todo caso, partiendo de la premisa de que la temperatura es un dato de carácter personal especialmente protegido:

La toma de temperatura a empleados

Podría estar justificada por la obligación de cumplimiento de la Ley de Prevención de Riesgos Laborales.

De todas formas, esta actuación deberá estar sometida a determinados requisitos, como la necesaria participación de personal sanitario, medidas de seguridad, limitación del tratamiento, etc.

La toma de temperatura a clientes o visitantes en comercios

NO podrá estar basada, en ningún caso, en el consentimiento del interesado.

Esto podría producir situaciones de discriminación o vulneradoras de la intimidad de las personas, por lo que no es posible llevarlo a cabo.

Únicamente podría realizarse este tipo de pruebas si se publica una norma de carácter obligatorio por parte de las autoridades de salud que establezca la forma, los requisitos y las medidas de seguridad que se deberán aplicar.

En algún caso, que será necesario analizar de forma individualizada, podría justificarse la toma de temperatura a clientes o visitantes en el cumplimiento de la legislación de prevención de riesgos laborales.

Esto no ocurrirá en todos los casos, sino solo cuando el contacto entre cliente y empleados sea más estrecho y en atención a las demás circunstancias existentes.

Además, será necesario valorar si existen otras medidas menos invasivas de la intimidad.

LO QUE DICE LA AEPD

La Agencia Española de Protección de Datos (“AEPD”) hizo público un comunicado en el que establece determinadas pautas:

Es un dato sensible

La toma de temperatura es un tratamiento de datos sensibles porque afecta a datos relativos a la salud.

No sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos, la infección por coronavirus.

Determinación previa por Sanidad

La toma de temperatura requeriría la determinación previa por parte de las autoridades sanitarias, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados.

No es un dato determinante

Al respecto, se destaca que la toma de temperatura puede que no sea la medida más adecuada, en tanto que hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre y que, además, puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus.

Especialmente relevante es la afirmación de que, la temperatura a partir de la cual se consideraría que una persona puede estar contagiada por la COVID-19 debería establecerse atendiendo a la evidencia científica, y no ser una decisión que asuma cada entidad que implante estas prácticas, ya que ello supondría una aplicación heterogénea que disminuiría en cualquier caso su eficacia y podría dar lugar a discriminaciones injustificadas.

Principio de legalidad

La AEPD aclara que la base jurídica no podrá ser, con carácter general, el consentimiento de los interesados, pues éste no sería libre.

En el entorno laboral, la base jurídica sería la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo.

Es relevante que, para la AEPD esta base jurídica “podría ser tenida en cuenta con un alcance amplio, atendiendo a que, aunque un centro o local estén destinados a unas finalidades específicas que impliquen que en ellos se concentren un elevado número de clientes o usuarios ajenos a la empresa que los gestiona, siempre estarán presentes en ellos personas trabajadoras sobre las que el empleador mantiene sus obligaciones”. 

En todo caso, es necesario una adecuada ponderación entre el impacto sobre los derechos de los clientes o usuarios de estas medidas y el impacto en el nivel de protección de las personas empleadas.

Limitación de la finalidad y exactitud de los datos

En este contexto, cobran especial relevancia los principios:

• – de limitación de la finalidad (la temperatura solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas).
• -exactitud (los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes).

Derechos y garantías

Como ha venido recordando la AEPD en sus criterios recientes, en el marco del COVID-19 los afectados siguen manteniendo sus derechos de acuerdo con el Reglamento General de Protección de Datos (“RGPD”) y siguen siendo de aplicación las demás garantías que el RGPD establece.

CAMARAS TERMOGRAFICAS

Por último, la AEPD se refiere a las cámaras termográficas, señalando la relevancia de los principios de limitación de finalidad y minimización de datos, en la medida en que el uso de nuevas tecnologías para la toma de temperatura plantea el riesgo de utilizar los datos obtenidos para finalidades adicionales no vinculadas a la toma de temperatura.

CONCLUSIONES

Limitarse a tomar la temperatura a la entrada de un local de forma automática, sin recoger y tratar esos datos de ninguna forma, sería una práctica a priori legítima, ya que no es invasiva y responde a la necesidad de la empresa de evitar que entren personas que puedan estar contagiadas.

En todo caso, los expertos consideran que sería recomendable que se establezcan pautas o guías desde las autoridades que aclaren cómo deben ser estas medidas de control.

Los controles como el de la temperatura corporal a los clientes deberán eliminarse una vez que no exista amenaza de contagio, ya sea porque no existen casos en el país o porque se descubre y distribuye una vacuna entre la población.

La entrada ¿Te pueden tomar la temperatura? se publicó primero en Gestiona Abogados.

La geolocalización es un dato personal, pero además es un dato de especial sensibilidad y que afecta de manera íntima a la privacidad.

Conocer dónde estamos en todo momento, permite perfilar nuestros usos y costumbres, lo cual dice mucho de nosotros y de nuestra conducta.

No tiene ningún sentido el seguimiento general de la cuarentena ocasionada por el covid, mediante los móviles, cuando se desconoce si estamos, o no, infectados. 

Por tanto, lo que se está haciendo entonces, no es vigilar al virus, sino a los ciudadanos.

¿Qué ha aprobado el gobierno sobre la geolocalización respecto al covid?

En primer lugar hay que partir de las amplias competencias que en situaciones excepcionales, como sin duda lo es la presente epidemia del covid, tienen las autoridades sanitarias.

Además, hay que tener en cuenta que una de las medidas excepcionales para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 es la de limitar la libertad de circulación de las personas.

Si se me permite, la solución no es tratarnos como a un rebaño sino mejorar los sistemas de salud, aumentar las partidas en investigación y asegurar la transparencia en la gestión epidemiológica de todos los países.

En concreto, vengo a referirme a la reciente Orden de Sanidad, por la que se encomienda el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19.

Accede a la orden de Sanidad pinchando aquí

Dos actividades:

Aplicación informática de geolocalización del covid

El desarrollo urgente y operación de una aplicación informática para el apoyo en la gestión de la crisis sanitaria ocasionada por el COVID-19.

Dicha aplicación permitirá, entre otras cosas, realizar una autoevaluación, en base a los síntomas médicos que comunique el usuario:

• acerca de la probabilidad de que esté infectado por el COVID-19
• ofrecerle información sobre el COVID-19
• y proporcionar al usuario consejos prácticos y recomendaciones de acciones a seguir según la evaluación.

Como elemento más destacado a los efectos de la protección de datos personales, se advierte que la aplicación permitirá la geolocalización del usuario, aunque se aclara que “a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar”.

Estudio de movilidad durante el confinamiento por el covid

-Análisis de la movilidad de las personas en los días previos y durante el confinamiento siguiendo el modelo emprendido por el Instituto Nacional de Estadística en su estudio de movilidad y a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada.

Dos actuaciones diferentes

Está claro que se trata de dos actuaciones muy diferentes:

En la primera, el usuario se descargará voluntariamente una aplicación, seguramente en el formato de una app para su teléfono móvil.

La aplicación le solicitará, con toda probabilidad, acceso al sistema de localización de su terminal, con lo que se podrá seguir de forma fiel todos sus movimientos.

En el segundo caso, se trata de un estudio con los datos que ya poseen los operadores sobre nuestra localización cuando usamos nuestros móviles.

Esta información se trataría sin nuestro consentimiento para dicha finalidad, aunque se aclara que se utilizará:

*de forma agregada (por grupos de usuarios de un tamaño indeterminado, que debería ser el suficiente para que no se pueda individualizar a ninguno en concreto);

*y anonimizada (es decir, información que ha sido transformada de manera que no se pueda reconstruir los datos identificativos del usuario del que procede, con un grado razonable de probabilidad, puesto que la anonimización absoluta no existe).

Aclaraciones en la geolocalización por el covid

En primer lugar habría que aclarar que nuestro móvil puede facilitar nuestra posición a un tercero (el operador de telecomunicaciones, las empresas que elaboran y operan las apps, y los terceros a los que cedan los datos) de dos modos:

GPS DEL MOVIL

Utilizando el sistema de localización incorporado en el terminal.

Se trata del GPS, como normalmente lo conocemos. 

Puede ser activado y desactivado a voluntad y que es de una gran precisión, pudiendo situarnos con un error de pocos metros en cualquier lugar de la Tierra, en cualquier momento. Así, como suena.

ANTENAS DE TELEFONÍA

Utilizando la información que tiene el operador respecto de a qué estación base concreta (antena) se va conectando el móvil cuando nos movemos.

En este segundo caso se trata de información no muy precisa, pero que sí permite localizarnos dentro de un barrio de una ciudad determinada.

Y, normalmente, siempre estará disponible para el operador a menos que apaguemos el terminal o lo pongamos en modo avión.

¿Se respeta la Ley de Protección de Datos?

Desde el aspecto estricto de la protección de datos personales, la finalidad del tratamiento de los datos de geolocalización de los usuarios, tanto si media su consentimiento (en la app instable en el móvil) o no (en el estudio a partir de los datos de los operadores), parece ajustarse a la ley, respetando lo dispuesto en la normativa (el RGPD y nueva LOPD), según avala aparentemente la AEPD.

Ahora nos corresponde a nosotros como ciudadanos informados decidir cómo obrar respecto a nuestros datos, y a las Autoridades les corresponde respetar de forma escrupulosa los fines declarados para el uso de esta información.

La GDPR permite al Ejecutivo manejar esa información de manera excepcional siempre que se haga de manera segura y proporcional, que la conservación de esos datos esté limitada por el objetivo a cumplir y que los datos analizados sean anónimos.

Con ello se pretende evitar que cualquier organismo público utilice una situación de crisis y de emergencia para ampliar su poder e instalar “un estado de vigilancia tecnológica permanente”.

¿Qué pasará en el futuro?

¿Una herramienta de hoy contra la pandemia puede emplearse mañana contra las manifestaciones?

El debate es crucial y afecta al mundo entero:

El riesgo es que se pongan en práctica sistemas no regulados e impenetrables al escrutinio público —no solo durante el tiempo necesario para hacer frente a la covid-19— sino como base para sistemas de vigilancia masiva y de explotación de datos a largo plazo.

Y entretanto, hasta que el horizonte se aclare, algo habremos aprendido sobre la importancia de la protección de nuestros datos. O al menos, eso esperamos…

La entrada COVID Y GEOLOCALIZACION se publicó primero en Gestiona Abogados.

La Agencia Española de Protección de Datos (AEPD) publicó el jueves pasado un informe en el que analiza el tratamiento de datos personales en relación con la situación provocada por la propagación del COVID-19.

A este respecto destaca que el Reglamento General de Protección de Datos (RGPD) contiene las reglas necesarias para permitir, legítimamente, tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general.

Datos de salud

Los datos de salud están catalogados en el Reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa.

El informe precisa las excepciones recogidas en el art. 9.2. RGPD:

1.El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b).

El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo.

Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.

2. El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g).

3. Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h).

4. Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c).

En consecuencia, según se recoge en el informe, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.

Base del tratamiento

A este respecto el RGPD marca el considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como:

• el control de epidemias y su propagación
• la misión realizada en interés público (art. 6.1.e)
• o los intereses vitales del interesado u otras personas físicas (art. 6.1.d).

Junto con ellas podría existir otras bases como, por ejemplo, el cumplimiento de una obligación legal para el empleador en la prevención de riesgos laborales de su personal.

Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.

El derecho a la vida como valor supremo

La protección de datos personales sigue siendo un derecho fundamental, pero no podemos olvidar que en estas circunstancias de epidemia, también entran en juego otros derechos fundamentales como el de la vida y a la integridad física y moral.

El hecho de que exista una habilitación para tratar esos datos sin consentimiento y el levantamiento de una prohibición específica, no supone una especie de barra libre de tratamiento de datos de salud.

El Informe de la AEPD recuerda que cualquier uso de estos datos debe ser realizado conforme a los fines del RGPD, especialmente transparencia y minimización, así como que se les ha de aplicar las medidas de seguridad y responsabilidad proactiva oportunas y sin que pueda ser usados con otros fines que los de la lucha contra la enfermedad y la protección de la salud pública.

Guía para actuar frente a crisis sanitaria

Los empleadores tenían dudas sobre si podían tratar datos de salud de contagiados por Covid-19 a los efectos de proveer las medidas de protección oportunas del resto del personal, clientes y proveedores que recientemente hubieran estado en contacto directo con el empleado que ha resultado positivo.

El informe de la AEPD ayuda a los responsables del tratamiento a saber cómo actuar en este momento de crisis sanitaria como consecuencia de la pandemia ante la que nos encontramos.

Es un informe jurídico que ayuda a recordar que este derecho sigue siendo aplicable en situaciones como esta, de manera que el responsable del tratamiento tiene que adoptar y aplicar las medidas necesarias para evitar infracciones que podrían ser sancionadas con multas administrativas.

• El trabajador está obligado a notificar a su empleador la circunstancia del positivo,  no solo para garantizar su seguridad y salud, sino también la de sus compañeros.
• Es de vital importancia que los empleadores emitan comunicados a sus trabajadores en los que se les recuerde que la comunicación de los positivos por coronavirus viene derivado del cumplimiento de una obligación legal.
• Es importante tener en cuenta que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad.

RESPUESTAS DE LA AEPD A LAS PREGUNTAS MAS FRECUENTES

 ¿La empresa puede obligar al trabajador a acudir al servicio de prevención o al médico?

Puede y debe. Y estos deben informar a las autoridades sanitarias que gestionan esa información para decidir las medidas de prevención adecuadas.

Los profesionales sanitarios evaluarán la situación y generarán la documentación preceptiva (el justificante de baja) para trabajador y empleador, con los consejos y medidas oportunas, que en ningún caso deben incluir dato alguno sobre la concreta enfermedad o dolencia padecida por el trabajador.

Las empresas de prevención disponen de planes de actuación y medidas adecuados, que se están ya aplicando con normalidad.

 ¿La empresa puede revelar la identidad del trabajador infectado, si la conoce?

En ningún caso, ni internamente dentro de la empresa, ni al resto de trabajadores. De hacerlo, incurriría en una infracción grave en materia de protección de datos, por no hablar de otro tipo de responsabilidades.

 ¿Qué se nos puede exigir a todos, trabajadores y empleadores?

Que actúen responsablemente cada uno en su parcela.

El trabajador y el empresario deben ser capaces de obtener y gestionar la información necesaria para decidir, si la situación lo amerita, medidas contundentes como dejar a la gente en casa. Y siempre hay formas de hacerlo sin desvelar más datos de los estrictamente necesarios.

Todos tenemos la responsabilidad de:

Cumplir las medidas de higiene y limitación de movimientos que se recomienden o impongan en su caso: cualquiera puede ser transmisor del virus sin manifestar síntomas.

Por eso hay que apelar a la responsabilidad de todos los implicados:

La del trabajador, acudiendo rápido al centro sanitario para que le evalúen y aconsejen como es debido,

La del profesional sanitario, que sin duda evaluará la situación y generará la documentación preceptiva para trabajador y empleador, con los consejos oportunos, que en ningún caso deberían incluir dato alguno sobre la concreta enfermedad o dolencia padecida por el trabajador.

La del empresario, que debe tomar, ante esta o cualquier otra amenaza o riesgo para la salud de sus empleados, las medidas adecuadas, en estricto cumplimiento de la normativa que incluye la prevención de riesgos. Y el estricto cumplimiento de la normativa obliga a tomar las medidas preventivas que sean necesarias, para proteger al colectivo en la empresa y en la población, pero sin comprometer la privacidad y demás derechos del trabajador .

La entrada Coronavirus y protección de datos se publicó primero en Gestiona Abogados.

En estos establecimientos vamos a manejar una serie de datos bastante voluminosa y por ello debemos distinguir a que datos es necesario aplicar la normativa y a cuáles no. Siendo de aplicación solamente para los datos de personas físicas.

Los datos que se recogen en establecimientos hoteleros son por ejemplo: nombre y apellidos, teléfono, correo electrónico, fecha de nacimiento, tarjeta de crédito o débito a través del TPV, duración de la estancia, DNI o pasaporte…

También es importante tener en cuenta que cuando contratas con los profesionales y empresas externos servicios de lavandería o transporte, o cedes los datos de tus trabajadores para confeccionar las nóminas, estás tratando datos personales de terceros.

Además suele ser frecuente que por motivos de seguridad hayamos decidido instalar cámaras de videovigilancia. Las imágenes captadas por estas cámaras también son consideradas como datos personales. La ley establece que se debe informar de la existencia de estas cámaras mediante carteles colocados en zonas visibles informando que se está grabando.

Por tanto, el primer paso es entender todos los datos personales que tu establecimiento obtiene, porqué se recopilan, cómo se almacena y gestiona esta información, qué miembros de su personal tienen acceso a estos datos y saber si hay servicios o colaboradores externos con quienes se comparten los datos, así como sus políticas y sistemas de seguridad.

Identifique también quién es el máximo responsable de la seguridad de datos y la privacidad en su estructura organizativa.

Todo esto conforma una buena manera de conocer si hay aspectos que tiene que cambiar para cumplir con el RGPD, aunque también le puede servir para mejorar la seguridad y procesos en general y minimizar la recopilación de datos.

PRIMEROS PASOS

Lleve a cabo una evaluación de la infraestructura informática y de la seguridad

¿Están a salvo los datos que posee en su establecimiento hotelero?

¿Cuenta con los sistemas de seguridad que le ayudarán a minimizar el riesgo de un ataque externo y también a evitar el acceso a datos confidenciales por parte de sus empleados?

Aunque no es posible eliminar por completo los riesgos de seguridad, hay muchas medidas prácticas que le ayudarán a proteger el almacenamiento de los datos de los huéspedes.

Garantice la transparencia de los datos y el control de los usuarios

En los establecimientos hoteleros, se puede certificar la transparencia con políticas de privacidad claras, informando de las mismas a los huéspedes y asegurándose de que su personal se las tome en serio.

Minimice la recopilación y el almacenamiento de datos innecesarios y compruebe que los procedimientos para que los huéspedes acepten la recopilación de datos o soliciten copias de sus datos o su eliminación sean correctos.

Cumplimiento y seguimiento

Es necesario formar al personal y poner en práctica las políticas y los procesos definidos por la legislación.

Muy importante es que se desarrolle una cultura que respete la privacidad de los huéspedes y tenga en cuenta todas las fases de la seguridad de datos.

Será necesario supervisar continuamente esta información para asegurarse de que los procesos y la infraestructura informática, en constante cambio, están actualizados.

Momento en que se recaban  datos: reserva y check-in

La forma más habitual de recogida de datos por los establecimientos hoteleros es a través de las reservas realizadas.

¿Quién realiza las reservas?

Las reservas en los hoteles pueden ser realizadas por varios sujetos:

Agencias de viajes.

En estos casos el cliente no tiene la obligación de dar sus datos al hotel hasta que se persone en el mismo para disfrutar de su estancia. Los datos de las agencias de viajes no se encuentran bajo el paraguas de la normativa europea, ya que son personas jurídicas.

Organismo oficial o empresa

En ocasiones, se reserva una habitación que va a ser ocupada por una persona diferente a la que la reserva. En estos casos se recogen los datos de quien la solicita y de quien se va a hospedar.

Cliente directamente.

¿A través de qué medios se realizan las reservas?

Las reservas pueden realizarse a través de varios medios:

• página web del establecimiento hotelero, completando los datos en los formularios incluidos para ello
• teléfono, hablando directamente con la persona encargada para ello en el hotel
• envío de correo electrónico y
• formularios de reserva que se obtienen en la propia recepción del establecimiento.

Por norma general los establecimientos hoteleros recogen los datos en dos momentos: en la reserva y en la llegada del cliente a la recepción.

Estos datos se van a registrar en el libro de registro de pasajeros.

Mientras dure la estancia del cliente, además el hotel puede recoger información de servicios como lo es el teléfono, visionado de películas de pago, restaurante…

ACTUACIONES A SEGUIR

Las principales actuaciones que debes realizar en tu hotel para adaptarte al RGPD son:

• 1. Realizar un Registro de actividades de tratamiento
• 2. Firmar los contratos con terceros
• 3. Incluir los textos legales en la página web
• 4. Solicitar el consentimiento a los clientes
• 5. Firmar los contratos con los empleados
• 6. Realizar un Análisis de riesgos
• 7. Nombrar un DPD

1. Crear un registro de actividades de tratamiento

Esta es una de las imposiciones del Reglamento Europeo de Protección de Datos y es necesario que todos los establecimientos hoteleros lo tengan. 

Se debe especificar cuál es el motivo que justifica que el establecimiento hotelero realice el tratamiento de esos datos personales, como los ha obtenido, bien por contrato o bien por un consentimiento.

Para los casos en que el establecimiento hotelero quiera o necesite utilizar los datos de sus clientes para fines distintos a los que fueron recabados, necesitará recabar el consentimiento expreso.

También se requiere consentimiento por parte del cliente para los casos en que los datos personales sean comunicados a un tercero.

Dicho registro sería como el documento oficial en el que se explica qué se va a hacer con los datos y por qué. La información que debe aparecer en este documento es la siguiente:

• – Qué datos se recopilan.
• – Por qué es necesaria su recogida.
• – Para qué se quieren.
• – Qué política de almacenamiento se va a cumplir con estos datos.
• – Si esta información se va a ceder o transferir fuera del país.
• – Qué medios se utilizan para realizar el tratamiento.

Todo esto debe constar en el registro de actividades de tratamiento.

Pero además, es necesario que este documento esté actualizado debidamente y que, si se modifica cualquiera de las acciones, se exponga en este registro.

Principalmente, la función de este documento es la de constatar ante la Agencia Española de Protección de Datos (AEPD) que todo se lleva a cabo adecuadamente.

Lo puedes tener por escrito y también en formato electrónico.

2. Contratos con terceros

Los establecimientos hoteleros se relacionan constantemente con terceros.

Por ello, aparte del registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurarte de que también cumplan la normativa de Protección de Datos.

Por ejemplo:

• Agencias de viajes
• Asesorías
• Empresas informáticas
• Empresas de transporte, etc.

Para ello es necesario que firmes un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Página web y consentimiento

Además de actualizar la política de privacidad en la página web, en tu establecimiento hotelero, debes tener el consentimiento expreso de todos sus clientes para poder tratar sus datos.

Si el cliente introduce sus datos personales en la página web, debes incluir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En caso de que el cliente facilite sus datos personalmente en la recepción, debe firmar un documento en el que le informes sobre:

• responsable del tratamiento,
• propósito para el que vas a usar los datos,
• si los cederás a terceros y
• la manera en la que puede ejercer sus derechos.

Uno de los objetivos del RGPD es que los ciudadanos sean mucho más conscientes de qué información tienen las empresas sobre ellos y para qué la utiliza.

Por ello, es fundamental que se les notifique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los huéspedes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

4. Contratos con empleados

Los empleados tienen acceso a toda la información que manejas en el establecimiento hotelero y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas.

Los empleados tienen que cumplir las medidas de seguridad que la empresa establezca para asegurar la protección de los datos personales.

En casi todos los establecimientos hoteleros, hay varios departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores.

Por ello son objetivo de los hackers. Técnicas como el phishing es uno de los métodos de ataque más usados por el éxito que tiene para los ciberdelincuentes.

5. Análisis de riesgos

Realizar un análisis de riesgos en los establecimientos hoteleros es imprescindible para poder establecer cuáles son las contingencias que podrían darse y que comprometerían la seguridad de los datos.

Para hacerlo, hay que tener en cuenta el tipo de tratamiento, la naturaleza de los datos y el número de personas que serían afectadas. 

Por otro lado, también hay que realizar una evaluación del impacto que tendría la filtración de los datos para minimizar riesgos mediante las medidas correspondientes.

Notificación de brechas de seguridad

Esta es una obligación que tienen todas las empresas. En caso de que ocurra cualquier filtración, deberás avisar a la AEPD y a los afectados en un plazo máximo de 72 horas.

6. Nombrar un Delegado de Protección de Datos

Es decir, contratar o nombrar a un profesional que se encargue de salvaguardar los procesos y políticas internas del tratamiento de datos. 

Normalmente, todos los establecimientos hoteleros están obligados a tener un Delegado de Protección de Datos, y cuando se nombra, hay que hacer públicos sus datos de contacto y comunicárselos a las autoridades de supervisión.

OTRAS CUESTIONES

¿Dónde almacenan la información los establecimientos hoteleros?

Podemos encontrar datos de los visitantes en el entorno físico: en una libreta detrás de recepción, en carpetas o archivadores.

El personal tiene que saber dónde se encuentran los datos de los clientes.

Si se toman datos en soportes físicos, debe decidirse y avisar sobre cómo se efectuará la eliminación de los datos.

Por el contrario, si se obtiene información por medio de un sitio online, entonces debe elegirse una solución o servicio informático que cifre los datos y los almacene de forma segura. Posiblemente, esto último sea lo más difícil de todo el proceso, ya que hoy en día hay miles de herramientas que proveen servicios, pero que no siguen unos estándares de protección.

En el caso de que los datos se almacenen en un servicio en la nube, se ha enseñar a los empleados a crear contraseñas fuertes. Por eso, es importante que las firmas hoteleras formen a su personal sobre los potenciales riesgos informáticos y de qué manera afrontar un posible ciberataque.

¿Los trabajadores en prácticas deben firmar el contrato de confidencialidad?

Sí, en caso de que los establecimientos hoteleros tengan trabajadores en prácticas, estos deben firmar también el acuerdo de confidencialidad. Estos empleados también acceden a datos personales que maneja la empresa y, por tanto, deben guardar secreto sobre los mismos y cumplir las medidas de seguridad en su tratamiento.

En el RGPD se establece que los acuerdos de confidencialidad deben ser firmados por todas las personas que tengan acceso a la información, independientemente del tipo de relación profesional que mantengan con la empresa.

¿Qué debo hacer con los currículos que me dejan en recepción?

En el caso de que una persona nos entregue su currículo debemos:

Informarle de que lo vamos a guardar

Facilitarle el ejercicio de sus derechos, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia.

¿Maneja un establecimiento hotelero datos sensibles?

Normalmente no, pero puede darse el caso en el que un cliente nos informe de una alergia o intolerancia a determinados alimentos que deberá anotarse de cara a las comidas facilitadas en el establecimiento hotelero. En este caso sí se manejan datos sensibles y, como tales, deben ser objeto de una especial protección.

¿Cómo tratar las tarjetas magnéticas de acceso a las habitaciones?

Normalmente esta tarjeta magnética de acceso a las habitaciones no contiene datos de carácter personal, se activan de modo automático al registrar al cliente. La información que recoge es el número de habitación y los días de uso habilitados, y se desactivan al marchar el cliente.

Sólo el personal de administración del establecimiento puede conocer quién se aloja revisando el registro del cliente y habitación asignada.

Por supuesto, el personal del establecimiento hotelero con acceso a datos está sujeto a la obligación de guardar secreto y confidencialidad sobre los datos obtenidos.

Los establecimientos hoteleros que personalicen las tarjetas magnéticas de acceso a las habitaciones, almacenando en ellas datos de carácter personal (nombre y apellidos del cliente) deben solicitar al cliente su consentimiento expreso para su cesión a terceras personas (al personal de limpieza, mantenimiento,..)

Cámaras de videovigilancia que graban la vía pública

Si instalas cámaras de Videovigilancia en tu establecimiento hotelero, debes informar correctamente mediante los correspondientes carteles. Además debes tener en cuenta que no puedes grabar la vía pública ni propiedades de terceros. También es conveniente informar a los empleados de la instalación de las videocámaras. Resolución AEPD R/03462/2017

Ejercicio de los derechos

Debes facilitar a todos tus clientes el ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación del tratamiento y portabilidad,  a través de un medio sencillo y gratuito.

En caso de que algún cliente ejerza alguno de estos derechos, debes responderle dentro del plazo establecido. Resolución AEPD R/02531/2017.

En muchos establecimientos hoteleros, si un cliente comenta que quiere que “eliminen todos sus datos” no sabría exactamente cómo ha de proceder.

Ello implicar un desconocimiento de la normativa de protección de datos por parte de los empleados y no tener un régimen de actuación que explique cómo proceder en estos casos.

Envío de publicidad sin consentimiento expreso del cliente

Muchos establecimientos hoteleros realizan publicidad sin obtener previamente el consentimiento del cliente para ello. Esto es un grave error, pues el consentimiento es una exigencia para realizar promociones a través de los diversos medios.

Cualquier email o teléfono, indistintamente incorporado a una base de datos, se puede utilizar como válido para el envío de publicidad, si el interesado ha prestado previamente su consentimiento.

En definitiva,  tienes que asegurarte de que tus protocolos se ajustan a la ley actual para proteger tu información. Y, si tienes alguna duda, no tengas reparos en contactar con expertos. 

La entrada ESTABLECIMIENTOS HOTELEROS Y RGPD se publicó primero en Gestiona Abogados.

El principal riesgo de protección de datos en las Residencias de Mayores deriva del tratamiento de categorías especiales de datos personales como son los datos de salud (enfermedades, patologías, etc.), respecto de los cuales se debe tener especial diligencia y un mayor nivel de protección.

Otra de las especialidades con la que nos encontramos en las residencias de ancianos es que muchos de ellos no tienen plena capacidad de obrar o tienen su capacidad modificada judicialmente.

En estos casos, sería el representante legal del residente el encargado de obrar en nombre de este y a quien deberán dirigirse las debidas informaciones.

OBLIGACIONES A CUMPLIR EN LAS RESIDENCIAS DE MAYORES

Seguidamente te contamos que debes implementar en la Residencia para cumplir con la protección de datos:

1. Registro de actividades de tratamiento

Lo primero que debes tenerse en cuenta es qué tipo de datos manejas y qué cantidad.

Debes responder a preguntas como:

• Tipo de datos que recopilas
• Finalidad del tratamiento
• Política de almacenamiento de esos datos
• Si cedes esos datos o los transfieres fuera de nuestro país
• Medios de tratamiento

Es decir, que las residencias de mayores deben llevar a cabo un registro de actividades del tratamiento en el que debe constar los fines del tratamiento de los datos, qué categorías de interesados se verán afectados, qué categorías de datos personales van a tratarse (en este caso deberían incluirse también los tratamientos de datos sensibles relativos a la salud), y posibles destinatarios, entre otros aspectos.

2. Análisis de riesgos

El tratamiento de datos personales relativos a nuestros mayores por parte de las residencias entraña un alto riesgo para sus derechos y libertades de personas que pueden ser consideradas en situación de vulnerabilidad. 

Es por ello que la residencia debe realizar un análisis de riesgos para identificar los tipos de riesgos y amenazas a los que están expuestos los datos personales, y establecer controles y medidas de seguridad adecuadas que minimicen esos riesgos y garanticen la confidencialidad.

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales.

3. Evaluación de impacto

Además, al ser el riesgo especialmente alto por tratar datos sensibles, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.

Las residencias geriátricas realizan un tratamiento de categorías especiales de datos ya que manejan datos de salud de sus residentes. Por tanto, estás obligado a realizar esa Evaluación de impacto.

4. Contratos con terceros

Las residencias de la tercera edad se relacionan también con terceros que disponen de algunos de los datos de los usuarios.

Es por ello que debes identificar adecuadamente a las empresas externas que te prestan servicios con tratamiento de datos personales por cuenta del responsable (que en este caso, es la residencia), como por ejemplo las farmacias, las gestorías, la empresa de mantenimiento informático, las empresas de videovigilancia, entre otras.

Con ellas deberá firmar los correspondientes contratos de encargado del tratamiento donde deberá recogerse, entre otros aspectos, el objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales, categorías de interesados, obligaciones y derechos.

De igual forma, deberán instar a estas empresas externas a que acrediten un adecuado nivel de cumplimiento de la normativa de protección de datos.

Respecto a las farmacias, en los casos en que las residencias gestionen la medicación de sus residentes, implica necesariamente un traspaso de información sensible de la Residencia a la Farmacia, con motivo de la entrega de recetas o informes médicos indispensables para la dispensación.

Las residencias deberán informar sobre estas comunicaciones de datos y contar con el consentimiento de los pacientes o de sus representantes legales para estas cesiones, o acreditar que cuentan con poder suficiente para la gestión de los medicamentos de residentes y de la facturación de los mismos.

5. Consentimiento de residentes

La residencia deberá recabar el consentimiento expreso de sus residentes (o de sus representantes legales), siendo estos previamente informados de manera adecuada sobre el tratamiento de sus datos, así como de los derechos que les asisten en materia de protección de datos de carácter personal y las vías por las cuales pueden ejercerlos.

Se recomienda aprovechar el momento de ingreso del residente en la institución para que este o el representante legal, en su caso, otorgue poder suficiente para, entre otros aspectos, la gestión de su medicación, y para autorizar el tratamiento de sus datos personales necesarios para la adecuada prestación de los servicios.

Cuando el residente no cuente con plena capacidad de obrar, las debidas informaciones deberán dirigirse a su representante legal, que será quien autorice y consienta el tratamiento de los datos personales en nombre y representación de aquel.

Este consentimiento puede solicitarse de dos formas:

• Si el cliente/residente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
• En caso de que el paciente facilite sus datos personalmente en el centro, debe firmar un documento en el que se le informe sobre:
  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

6. Derechos de los usuarios

Estos son los derechos que pueden ejercer los interesados:

• acceso a los propios datos personales;
• rectificación si los datos son inexactos;
• supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
• limitación del tratamiento;
• portabilidad de los datos;
• oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
• a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En la residencia de ancianos debes proveer mecanismos para que los interesados puedan ejercer sus derechos.

Estos medios deben indicarse en el documento de consentimiento a firmar por los residentes y en la política de privacidad de la página web.

7. Contratos con empleados

Los empleados de la residencia que traten datos personales para el desempeño de sus funciones deben ser debidamente formados e informados sobre sus obligaciones y derechos en materia de protección de datos.

La residencia deberá firmar con ellos compromisos de confidencialidad y cumplimiento del deber de secreto.

También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En un centro geriátrico, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con familiares de los residentes y proveedores.

Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

8. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la residencia de ancianos, lo ideal es que estés prevenido con un plan de respuesta ante incidentes.

Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

9. Nombrar un DPD

Puede ser necesario designar un Delegado de Protección de Datos (DPD) en la residencia, en atención al volumen de datos tratados, en el caso de que se realice un tratamiento a gran escala de categorías especiales de datos personales, como son los datos de salud.

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

OTROS TEMAS A TENER EN CUENTA

Información a los familiares acerca de los residentes

Si la persona afectada tiene capacidad plena de obrar sería dueña de sus propios datos y la cesión de los mismos debe realizarse mediante consentimiento expreso y escrito.

De no ser así, serán sus representantes legales quienes accedan a dicha información, ya que actúan en nombre y representación del afectado.

¿Cuánto tiempo puedo guardar los expedientes de los residentes?

El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento. Pero cada Comunidad autónoma, al tener atribuidas las competencias en materia de sanidad, puede establecer plazos distintos.

¿Puedo publicar fotografías de los residentes realizadas en actividades en el centro?

No, no puedes publicarlas. 

Salvo que tengas el consentimiento expreso de los residentes o de sus representantes legales.

La publicación en una página web de las fotos constituye una cesión o comunicación de datos de carácter personal. La cesión es definida como “Toda revelación de datos realizada a una persona distinta del interesado”. Y requiere el consentimiento del afectado.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Si en tu residencia de mayores instalas un sistema de Vídeo Vigilancia también debes cumplir los siguientes requisitos:

• Instalar carteles informativos en todas las entradas al centro,
• incluir esas grabaciones en el Registro de actividades de tratamiento,
• no guardar grabaciones después de 30 días,
• las cámaras deberán respetar la intimidad de las personas y no podrán grabar en espacios públicos, solo el interior del local,
• si tenemos una pantalla donde vemos las grabaciones, ésta solo debe estar visible por personal autorizado y
• debemos tener un Impreso donde informe de:
  • existencia de las grabaciones,
  • fin para el que se recogen dichas grabaciones,
  • posibilidad de que un cliente pueda ejercer sus derechos y
  • identidad del responsable de esta información.

¿Puedo contratar una empresa externa para destruir los historiales clínicos?

Sí puedes.

Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este.

El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

Derecho de acceso a historia clínica del residente

El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. 

El derecho de acceso del paciente a la historia clínica puede ejercerse también por representación debidamente acreditada.

Los centros sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho. 

También podrán dirigirse con estos fines las personas o instituciones a las que el fallecido hubiese designado expresamente para ello.

Todas estas personas no podrán solicitar acceso, rectificación o supresión de los datos del residente fallecido, cuando este lo hubiese prohibido expresamente, o así lo establezca una ley. Resolución AEPD R/02421/2017.

CONCLUSION

• El tratamiento sistemático de categorías especiales de datos personales como son los datos de salud conlleva, ya de por sí, un alto riesgo para la privacidad.
• En las Residencias, los datos de salud se refieren a un colectivo especialmente vulnerable, como es el caso de los mayores.
• Estos dos factores, datos sensibles de salud y personas que a menudo no pueden comprender el alcance de su privacidad, hacen que los tratamientos de datos en estas entidades presenten un alto riesgo de vulnerar los derechos y libertades fundamentales de sus residentes.
• Por ello,  deben establecerse todas las garantías necesarias y las oportunas medidas técnicas y organizativas que permitan reducir el riesgo de vulneración del derecho a la protección de datos.

La entrada Protección de datos en Residencias de mayores se publicó primero en Gestiona Abogados.

• Conviven adultos con menores.
• Se trata un gran volumen de información personal relativa a los estudiantes, sus padres, el personal del centro, etc.

Es por ello que los centros educativos deben adoptar una serie de medidas de seguridad en relación a los sistemas de información, a través de los que se tratan los datos personales.

Por ejemplo, es algo habitual que los colegios tengan perfiles en las redes sociales en los que publiquen fotos de sus alumnos en excursiones, competiciones o actos de todo tipo.

También hay profesores que descargan una determinada aplicación educativa, con proveedor extranjero la mayoría de las veces, y la utilizan. Y todo ello aunque deba aportarse información de carácter personal de los alumnos.

Y el colegio, a pesar de tener conocimiento de estos hechos en muchos casos, no controla los dispositivos utilizados, el software, las medidas de seguridad que deben aplicarse y los correspondientes consentimientos que deben solicitarse.

Tipos de datos personales que tratan los centros educativos

Los tratamientos más comunes en un centro educativo según el tratamiento habitual de datos son:

• Expediente académico: ficheros sobre calificaciones, absentismo, etc. de los alumnos.
• Personal docente: ficheros de profesores para la gestión interna del centro escolar.
• Personal no docente: personal de mantenimiento, limpieza, etc.
• Servicios adicionales: servicios adicionales del centro como pueden ser, comedor, transporte ó guardería.
• Proveedores: sobre los servicios de los proveedores.
• Admisión de alumnos: sobre los datos que se incluyen en procesos de matriculaciones, solicitudes, etc.
• Asesoramiento psicopedagógico: con datos sobre dificultades de aprendizaje de los alumnos.
• Otros ficheros: según los servicios y características del centro, como pueden ser los de videovigilancia o control de accesos mediante huella dactilar.

Requisitos de los centros educativos

Según el RGPD, los centros educativos se convierten en Responsables del tratamiento de los datos y deben adoptar una serie de medidas de seguridad en relación a los sistemas de información a través de los que se tratan los datos personales relativos al alumnado, a sus representantes legales, al profesorado, etc.

Es decir, se debe elaborar un Registro de Actividades de tratamiento de todos los ficheros que contengan datos personales.

También deben elaborar un Documento de Seguridad, que contemple los ficheros mediante los cuales se tramita la información, los sistemas utilizados (informatizados o en soporte papel) y las medidas de seguridad implantadas que impone la legislación vigente (claves individuales de acceso, control de acceso, copias de seguridad, etc.).

Por otro lado, es imprescindible informar y formar al personal del centro escolar acerca de cuáles son sus competencias sobre a la información que deben gestionar para el ejercicio de sus funciones y cuáles son las medidas que el centro impone para garantizar la protección de la privacidad, especialmente de los menores.

Obligaciones de los centros educativos

1. Llevar un Registro de actividades de tratamiento
2. Realizar un análisis de riesgos
3. Realizar una Evaluación de Impacto en Protección de Datos
4. Nombrar un Delegado de Protección de Datos
5. Obtener los consentimientos
6. Notificar las violaciones de seguridad

1. Registro de actividades de tratamiento

Debe contener la siguiente información:

• nombre y datos de contacto del responsable y del delegado de protección de datos;
• los fines del tratamiento;
• una descripción de las categorías de interesados y de las categorías de datos personales;
• las categorías de destinatarios a quienes se comuniquen los datos personales;
• las transferencias de datos personales a un tercer país o una organización internacional;
• los plazos previstos para la supresión de las diferentes categorías de datos;
• una descripción general de las medidas técnicas y organizativas de seguridad.

2. Análisis de riesgos

Los centros educativos deberán realizar una valoración del riesgo que suponga el tratamiento de datos que realicen o vayan a realizar (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado), con la finalidad de implantar las medidas de seguridad técnicas y organizativas necesarias.

Deben  adoptar las medidas que, por defecto, garanticen que sólo se tratarán los datos necesarios para la finalidad para la que se recogieron y que no estén accesibles a un número indeterminado de personas.

3. Evaluación de Impacto

Según el RGPD, será obligatorio realizar una Evaluación de impacto en Protección de Datos en los siguientes casos:

• Tratamiento a gran escala de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud y los relativos a la vida u orientación sexual).
• Observación sistemática a gran escala de una zona de acceso público (videovigilancia).
• Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados.

4. Delegado de Protección de Datos

Los centros educativos tienen la obligación de nombrar un Delegado de Protección de Datos que supervise el cumplimiento de la normativa y sirva de enlace con la Autoridad de Protección de Datos.

5. Consentimiento

El  consentimiento de los alumnos o de sus padres o tutores no se podrá obtener de forma tácita. Es necesaria una clara acción afirmativa del interesado.

Cuando se refiera al tratamiento de datos sensibles o para transferencias internacionales de datos, el consentimiento además deberá ser expreso.

6. Notificación de brechas de seguridad

Si se produce destrucción, pérdida, alteración accidental o ilícita, comunicación o acceso no autorizado, lo que se denomina una  violación de seguridad, se habrá de notificar a la Agencia Española de Protección de Datos o a la Autoridad autonómica correspondiente y, en su caso, comunicar a los interesados.

OTROS TEMAS A TENER EN CUENTA

Proceso de matriculación

Desde el momento de la matrícula, en el impreso ha de informarse, con lenguaje claro y sencillo de:

1. La existencia de un fichero o tratamiento de datos personales.
2. Finalidad para la que se recaban los datos y su licitud.
3. La obligatoriedad o no de facilitar los datos y las consecuencias de la negativa a facilitarlos.
4. Destinatarios de los datos.
5. Derechos de los interesados (acceso, rectificación, cancelación u oposición) y dónde ejercitarlos.
6. Identidad del responsable del tratamiento, es decir, la Administración educativa (si es público) el centro (si es privado).

La lista de alumnos admitidos solo se publicará en el tablón interno del centro o en una página en el sitio web del centro, a la que únicamente podrán tener acceso las personas que hayan solicitado la plaza.

Ésta es una medida de protección imprescindible teniendo en cuenta que buscando en internet el nombre completo de un estudiante puede averiguarse en qué centro cursa estudios y de qué estudios se trata.

También como medida de protección, en casos de violencia de género, la admisión le será comunicada directamente a la madre, de forma privada.

Publicación de fotografías

A la hora de publicar fotografías en las redes sociales o captar imágenes de los menores en determinadas actividades del centro, es necesario solicitar el consentimiento de los representantes legales de los menores, y el centro debe aprobar determinadas medidas de seguridad.

No es conveniente tener más fotografías de los alumnos que aquellas destinadas a los listados de clase.

En caso de fotografiar salidas escolares, actuaciones u actividades especiales que organice el centro, podrán subirse a su sitio web solo si, al igual que en las listas de admitidos, la página en la que se visualicen sea de acceso restringido a los padres y en ella se recuerde que las imágenes no pueden ser descargadas o capturadas.

Reparto de notas

Repartir entre los miembros del Consejo Escolar las notas de todos los alumnos con sus nombres para ver las dificultades que puedan tener y buscar las mejoras necesarias, podría ser contrario al artículo 4 de la LOPD dado que se trataría de un acceso excesivo de información que no estaría justificado.

Con el mismo propósito de proteger al alumnado de rechazo u hostilidad por parte de sus compañeros, los profesores tampoco podrán publicar calificaciones individuales de exámenes o trabajos.

De hecho, ni siquiera deberían comunicarlas oralmente durante la clase.

Auditorías

También es importante que el colegio lleve a cabo Auditorías de cumplimiento que pueden ser internas o externas, siempre que se desarrolle por un profesional experto en la materia, que diagnostique si se está cumpliendo con los requisitos mínimos establecidos por la normativa, o bien, indique los aspectos que necesiten de adaptación.

Datos de salud de los alumnos

Sí que se pueden recoger los datos de salud de los alumnos, y se pueden distinguir los siguientes momentos:

• En la matriculación: discapacidades, enfermedades crónicas, intolerancias alimentarias o alergias.
• Durante el curso escolar: tratamiento médico facilitado a un alumno a través del servicio médico o de enfermería del centro, o los informes de centros sanitarios a los que se le haya trasladado como consecuencia de accidentes o indisposiciones sufridas en el centro, o los informes de los equipos de orientación psicopedagógica.

Datos biométricos

El RGPD incluye a los datos biométricos dentro de las categorías especiales de datos.

La normativa de protección de datos exige que los datos que se recaben sean adecuados, pertinentes y no excesivos.

Han de responder al principio de proporcionalidad, es decir, deben ser idóneos para la finalidad que se pretende conseguir con su recogida, no deben existir otros medios menos intrusivos para ello, y de su tratamiento deben derivarse más beneficios para el interés general que perjuicios sobre otros bienes y valores.

La AEPD ha admitido el uso de la huella dactilar para fines como el control de acceso al servicio de comedor en centros escolares con un gran número de alumnos, siempre que se establezcan medidas que refuercen la confidencialidad de los datos como la conversión de la huella a un algoritmo, el cifrado de la información, la vinculación a un dato distinto de la identificación directa del alumno o la limitación de los protocolos de acceso a los datos.

Situación familiar

Los centros educativos pueden recabar la información sobre la situación familiar de los alumnos.

Entre los datos que se recogen en las escuelas está la situación familiar de los estudiantes.

Por tanto, se tratarán datos tanto de padres como de alumnos. Estos últimos datos son relevantes, por ejemplo, en caso de divorcios, pues el colegio debe saber quién ostenta la patria potestad.

Esta información debe estar actualizada y los progenitores han de informar a los centros sobre cualquier modificación.

En caso de que los padres estén separados, debe solicitarse información sobre quién tiene la patria potestad y sobre los autorizados para recoger al alumno.

Datos para fines distintos de la función educativa

Los centros educativos pueden recabar datos para otras finalidades legítimas, como puede ser la gestión de la relación jurídica derivada de la matriculación de los alumnos, o dar a conocer la oferta académica, participar con los alumnos en concursos educativos u ofrecer servicios deportivos, de ocio o culturales.

En estos casos, se podrán solicitar los datos necesarios, bien como consecuencia de la relación jurídica establecida con la matrícula, o si media el consentimiento previo de los alumnos o de sus padres o tutores.

Servicios escolares como enfermería, comedor, transporte o seguridad

El centro educativo tendrá que firmar un contrato con las empresas de los servicios prestados, en el que se defina que dichas empresas, aunque no son las responsables de los datos personales, ostentan la condición de encargadas de los datos y por consiguiente tienen el mismo deber de guardar secreto, deber que perdurará incluso más allá de finalizar la relación entre el colegio y la empresa.

Cámaras de vigilancia en patios de recreo y comedores

Se pueden instalar siempre y cuando la instalación responda a la protección del interés superior del menor, toda vez que, sin perjuicio de otras actuaciones como el control presencial por adultos, se trata de espacios en los que se pueden producir acciones que pongan en riesgo su integridad física, psicológica y emocional.

Las cámaras serán señalizadas y bajo ninguna circunstancia, ni aunque haya riesgo de conflictividad, podrán instalarse en las aulas, vestuarios y aseos de estudiantes o profesorado, puesto que sería una invasión de la intimidad.

Teléfono móvil

Los maestros habrán de respetar también la privacidad de los estudiantes de cara a sus dispositivos de telefonía móvil.

Si son requisados durante la clase, no podrán permanecer en poder del profesor una vez finalizada ésta, ni mucho menos accederse a la información que almacenan. 

A excepción, eso sí, de que haya fundadas sospechas de que peligra la integridad de un alumno (situaciones de ciberacoso, sexting, grooming o de violencia de género) en cuyo caso, previa ponderación y siguiendo el protocolo establecido por el centro, podrá accederse a dichos contenidos, así como a cualquier otra información que pudiera resultar esencial.

La entrada PROTECCIÓN DE DATOS EN CENTROS EDUCATIVOS se publicó primero en Gestiona Abogados.

Tu imagen es un dato personal, tanto si apareces en una foto como en un vídeo.

La difusión de imágenes o vídeos publicados en diferentes servicios de internet, sin que exista legitimación para tratar este dato tuyo, sobre todo en redes sociales, es un tema que se plantea con frecuencia.

El Reglamento General de Protección de Datos reconoce a las personas el ejercicio del derecho de supresión.

¿Qué debes hacer?

El ejercicio del derecho de supresión sólo puede solicitarlo el afectado o, en caso de tratarse de menores de 14 años, sus padres o tutores legales.

Siempre que las circunstancias lo permitan, es recomendable contactar con quien subió el contenido solicitándole su eliminación.

Si no consiguieras tu objetivo, deberías necesariamente solicitar el borrado a la plataforma que ha proporcionado los medios para la publicación.

Es decir, debes contactar con la red social o el portal de vídeo en que se han publicado esas imágenes, acreditando tu identidad e indicando qué enlaces son los que contienen los datos que quieres cancelar.

La empresa debe resolver sobre la solicitud de supresión en el plazo máximo de un mes a contar desde la recepción de la misma.

Transcurrido ese plazo,

• -Si no te han contestado,
• -O si la respuesta es insatisfactoria

Puedes interponer la correspondiente reclamación ante la AEPD,

Eso sí, no olvides acompañar la documentación acreditativa de haber solicitado la supresión ante la entidad de que se trate.

Este punto es muy importante, ya que si no puedes acreditar que has ejercido en primer lugar tu derecho de supresión ante dicha empresa no podrán ayudarte.

Las redes sociales más populares, por su parte, disponen de mecanismos establecidos para comunicarles vulneraciones de la privacidad o contenidos inapropiados mediante sus propios formularios.

A continuación, detallamos algunos de los métodos que ofrecen.

Facebook

La red social ofrece un servicio de ayuda para avisar de fotos o vídeos que puedan infringir el derecho fundamental a la protección de datos.

Facebook ofrece varias opciones en función de las circunstancias de cada caso concreto.

También permite denunciar una conducta abusiva mediante el enlace Denunciar, que aparece situado junto a la mayoría de los contenidos publicados en Facebook.

Google

La compañía dispone de una página desde la que se puede solicitar la retirada de contenido de sus diferentes servicios.

En el caso del servicio de vídeos YouTube, se te ofrecerán diferentes opciones en caso de abuso o acoso, vulneraciones de la privacidad, denuncia de contenidos sexuales, contenidos violentos u otros problemas.

Por otro lado, si consideras que un vídeo colgado en YouTube incluye un contenido inapropiado puedes utilizar el icono con forma de bandera (Denunciar) para avisar del contenido y que la empresa lo revise.

Twitter

La red aglutina en esta página diferentes formas de informar sobre diversos incumplimientos, entre los que se encuentran la publicación de información privada en Twitter, la usurpación de identidad, o el acoso.

Instagram

La red social Instagram cuenta con una página desde la que se puede reportar contenido publicado por terceros sin tu consentimiento que incluya información personal, así como informar de conductas abusivas o de casos de hostigamiento o acoso.

No figurar en resultados de buscadores

Por último, las personas tienen derecho a solicitar, bajo ciertas condiciones, que los enlaces a sus datos personales no figuren en los resultados de una búsqueda en internet realizada por su nombre.

La sentencia del Tribunal de Justicia de la UE confirmó que las personas tienen derecho a limitar la difusión universal e indiscriminada de sus datos personales en los buscadores generales cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima (en el caso de boletines oficiales o informaciones amparadas por las libertades de expresión o de información).

La entrada Eliminar fotos y vídeos en redes sociales. se publicó primero en Gestiona Abogados.