7 de maig de 2018, de 10 a 12 hores Auditori Palau Macaya · EL TRACTAMENT DE LES DADES HA DE COMPLIR ELS PRINCIPIS DE: LICITUT / lleialtat / transparència: en relació amb la font

7 de maig de 2018, de 10 a 12 horesAuditori Palau Macaya

Hi col·labora:

Joan Segarra, President de La Confederació

Abigail Blanco Cumplido

Advocada Laboralista de FJM Advocats

Alfredo Bayón Cama

Advocat Laboralista de FJM Advocats

Art. 18 Constitució

1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia

imagen.

Intimitat: integra - dades personals

- control informació (íntima o no) (“caja de secretos”)

Dada personal:

• Concepte ampli / indeterminat: qualsevol informació concernent a persones físiques

(no jurídiques – honor si) identificades o identificables.

• No és un numerus clausus (possibilitat ampliació...)

• Qualsevol informació / Qualsevol suport.

• Ho són: nom i cognoms / adreces / IP electrònic / Salut / ....

Exclusions

Reglament UE / LOPD: no s’aplica a: - Fitxers personals o domèstics.

- Investigació/prevenció delictes o seguretat.

- Fitxers terrorisme / delinqüència organitzada.

Àmbit d’aplicació

Confidencialitat i tractament de dades personalsConfidencialitat i tractament de dades personals

EL TRACTAMENT DE LES DADES HA DE COMPLIR ELS PRINCIPIS DE:

LICITUT / lleialtat / transparència: en relació amb la font.

Finalitat: Determinada, explícita i legítima.

Dades pertinents i limitades

Exactitud: certes i correcció d’errors.

Informació: obtenció dades, prèvia informació de:

existència fitxer / finalitat / destinataris

obligatori o no i efectes

identitat responsable

forma d’exercir drets

Consentiment: previ i exprés.

Seguretat: mesures tècniques i organitzatives ad hoc

Principis Rectors LOPD

Confidencialitat i tractament de dades personals

Confidencialitat:

- vincula a tothom que intervingui

- Comunicació a tercers per finalitats autoritzades per la font, o:

Llei.

Dades públiques.

Consentiment.

Jutges / Tribunals / Fiscal / Síndic / Tribunal Comptes.

Entre Administracions amb fins històrics, estadístics o

científics.

Dades de salut necessàries per urgència o estudis

epidemiològics.

Contractes encarregat

Principis Rectors LOPD


LOPD: mesures determinades.

Reglament UE: RESPONSABILITAT PROACTIVA

Manteniment dinàmica LOPD. Revisió.

Registre activitats de tractament (equivalent fitxers declarats)

Anàlisi de riscos. (Tipus / varietat de tractaments / Naturalesa dades /

afectats

Definició mesures de seguretat (segons disseny).

Notificació violacions de seguretat.

Avaluació d’impacte.

Mesures derivades del Reglament europeu: + Responsabilitat

proactiva


Declaració de fitxers: no obligatòria segons Reglament UE

Competència expedients:

Persones / entitats privades: Agencia Esp. de Protección de

Datos

Entitats públiques: Autoritat Cat. de Protecció de Dades(Generalitat / Administració Locals / Entitats Autònomes, consorcis i altres entitats de

dret públic vinculades o depenents dels ens locals o la Generalitat / Entitats de dret

privat de capital majoritàriament públic, o amb ingressos pressupostaris majoritàriament

públics, o Majoria membres òrgans govern designats per ens públics / Universitats

públiques i privades / Persones físiques o jurídiques que compleixen funcions públiques

competència Generalitat o ens locals / Corporacions de dret públic catalanes).

Fitxers


MÉS DRETS ARCO...

Accés (transparència)Dades d’entitats públiques / privades.

Saber quines dades (còpia) / com s’han obtingut / condicions conservació.

RectificacióDades inexactes o incompletes.

Limitació/ Cancel·lació / oblit.Bloqueig dels buscadors

OposicióQuan la llei no ho impedeixi.

Obliga a no tractar les dades.

PortabilitatSuport transitable

Drets Ciutadans


Llei 32/2010, d’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades.

• Organisme independent de les administracions.

• Naturalesa pública.

• Personalitat jurídica pròpia.

• Plena autonomia orgànica i funcional

Competències:

• (Registre).

• Control (plans d’auditoria).

• Inspecció / Sanció.

• Aprovació (Propostes / Recomanacions / Instruccions.

Autoritat Catalana de Protecció de Dades


Lleus

Màxim de 10.000.000,- € o 2 % volum de negoci (si empresa).

Greus

Màxim de 20.000.000,- € o 2 % volum de negoci (si emrpesa).

LOPD:

Lleus. Multa de 601 € a 60.101 €.

Greus. Multa de 60.101 € a 300.506 €

Molt greus. Multa de 300.506 € a 601.012 €

Responsabilitat davant Autoritat / Agencia

Estats membres: han de decidir si econòmiques només per privats

(amb independència procediment disciplinari).

En tot cas: poden generar indemnització danys i perjudicis.

Infraccions i sancions


1. Autoritats control

Sancions Agencia/Autoritat Protecció de Dades.

La lesió del dret a la intimitat del pacient és causa de denúncia i

resolució del concert sanitari (Art. 67.4 e) LGS).

2. Civil / Administrativa: responsabilitat per danys i perjudicis

(públics/privats)

3. Laboral:

Treballador: l’incompliment del deure de confidencialitat pot generar

sancions laborals que poden arribar a l’acomiadament.

Empresa (Art. 48.5 LPRL): L’incompliment deure confidencialitat

dades vigilància salut treballadors: infracció molt greu. (Sancions de

30.000 a 60.000,- €).

Protecció confidencialitat


Revelar secrets aliens, dels que es tingui coneixement per raó de l’ofici o de

relacions laborals: presó d’1 a 3 anys i multa de sis a dotze mesos.

Professional que, incomplint deure de secret o reserva, divulgui secrets d’una

persona: presó d’1 a 4 anys, multa de 12 a 24 mesos i inhabilitació especial per

la professió de 2 a 6 anys.

Esborrar, danyar, deteriorar, alterar, suprimir, convertir en inaccessibles dades,

programes o documents electrònics aliens: presó de 6 mesos a 2 anys.

Obstaculitzar o interrompre funcionament sistema informàtic aliè: presó de 6

mesos a 3 anys.

Accés no autoritzat a dades o programes informàtics o mantenir dades en

sistema informàtic contra voluntat: presó de 6 mesos a 2 anys.

4. Penal

Protecció confidencialitat:Protecció confidencialitat:


LICITUT DEL TRACTAMENT DE DADES

Protecció de dades en les relacions laborals

1. CONSENTIMENT DEL TREBALLADOR.

EXCEPCIONAL: NO ÉS LLIURE PER PRESTAR UN CONSENTIMENT VÀLID.

2. TRACTAMENT LÍCIT (NO CAL RECABAR EL CONSENTIMENT)

• IMPLÍCIT CONTRACTE DE TREBALL. QUAN SÓN DADES NECESSÀRIES PEL SEU MANTENIMENT I

COMPLIMENT

• QUAN ES PER DONAR COMPLIMENT A NORMA LEGAL O INTERÉS PÚBLIC (ET, LGSS,

LRJS,LOLS,LPR, etc)

• QUAN CONCORRE INTERÉS LEGITIM. JUDICI DE PROPORCIONALITAT, IDONEÏTAT, NECESSITAT

(TC)


EINES: DELEGAT DE PROTECCIÓ DE DADES (37 REGLAMENT)


TREBALLADOR O CONSULTOR

EXTERN.

DESIGNACIÓ OBLIGATÒRIA EN

• EMPRESES DE MÉS DE 250 W

• SEGUIMENT REGULAR I SISTEMÀTIC I A GRAN ESCALA (HOSPITALS)

• A GRAN ESCALA DE CATEGORIES ESPECIALS

• ADMINISTRACIÓ PÚBLICA, EXCEPTE TRIBUNAL

FUNCIONS

• INFORMAR

• ASSESSORAR I

• SUPERVISAR PER A COMPLIMENT OBLIGACIONS A RESPOSANBLE.

• CONTACTE AMB AUTORITAT DE CONTROL

MITJANS

• PARTICIPACIÓ EN TOTS ELS PROJECTES DE TRACTAMENT

• FORMACIÓ CONTINUADA EN PROTECCIÓ DE DADES

• DEDICACIÓ NECESSARIA PEL COMPLIMENT DE LA MISSIÓ

GARANTIES

• INDEPENDENCIA

• RENDICIÓ DE COMPTES AL MÉS ALT NIVELL.

• NO SANCIONAT/DESTITUIT POR EXERCICI FUNCIONS.

• NO RESPONSABLE DEL COMPLIMENT


EINES: SECRET PROFESSIONAL DEL TREBALLADOR


OBLIGACIONS

• Vetllar per seguretat de les dades

• Mantenir la confidencialitat

INCOMPLIMENT

• Sancionis o acomiadaments disciplinari

• Publicació de dades d'un altre treballador

• Apropiació, revelació d'utilització de dades clients empresa

• Esborrat, alteració, posada en perill dades responsabilitat empresa

• Tipificat en 199 codi penal: revelació secret laboral i secret professional.

PREVENCIÓ:

• Dissenyar funcions i responsabilitats en matèria de PD

• Informació i formació

• Exigible signar de confidencialitat (20,ET)


CAPTACIÓ DE DADES PERSONALS


RELACIÓ ÉS DINÀMICA:

INFORMAR CADA NOU TRACTAMENTS.

INFORMACIÓ PRÈVIA, PRECISA E INEQUÌVOCA:

Existència del fitxer o del tractament

Obligatori/facultatiu preguntes

Conseqüència de a negativa a

subministrar dadesDrets ARCO+

Responsable del tractament de les

dades.


PROCEDIMENTS DE SELECCIÓ DE PERSONAL


• Obligatori informar del tractament de dades del CV.

• Nivell de protecció en funció de les dades

• Recomanació: CV en models normalitzats

REPCEPCIÓ DEL CURRICULUM VITAE

• Dades sensibles no relacionades amb capacitat. Infracció molt greu

• Reconeixement mèdic: només apte o no apte

• Test psicològics: per especialistes i confidencialitat

• Conservació fins fi de finalitat

PROVES SELECTIVES


ALGUNS ASPECTES DURANT LA RELACIÓ LABORAL

FOTOGRAFIES

• En targetes dídentificació: No consentiment

• En web a efectes publicitaris: Consentiment

FULLES DE CONTROL (DE FORMACIÓ, ENTRADA I SORTIDA, COMUNICACIONS)

• Admissió fulla no individualitzada de cada W. (20.3 ET)

FITXATJE HORARI

• Identificació genèrica de les sortides. No incloure dades sensibles de salut

AVALUACIÓ DELS TREBALLADORS

• Limitat a competències professionals

• Transparència- Dret dáccés del treballador

• Difusió interna: consentiment treballador o del comitè. si ho considera inclòs 20.3 ET

QUOTA SINDICAL: REQUEREIX CONSENTIMENT EXPRÉS


CORREUS ELECTRÒNICS I NAVEGACIÓ PER INTERNET


• Els correus, encara que no identifiqui noms i cognoms perquè persona es identificable pel domini.

• L´historial d’accessos dínternet (AEPD)

DADA PERSONAL

• Informació prèvia ( Annex al contracte o Manual dácollida)

• Regles dús dels mitjans (política corporativa)

• Mecanismes de control que farà servir lémpresari

• Sádmet ús privat? Cas prohibició absoluta dús personal no hi ha garantia díntimitat.

• Recomanable: representats dels treballadors i conveni

LICITUT DEL TRACTAMENT: DERIVA DE LA RELACIÓ LABORAL


VIDEOVIGILÀNCIA


• Si permeten que la persona sigui identificada o identificable

DADA PERSONAL: LA IMATGE I EL SO

• Informació prèvia si està vinculat a la relació laboral

• Imprescindible el propòsit? Evolució TC . Judici de proporcionalitat (idoni, necessari, proporcionat)

• TEDH 9.01.2018

• Consentiment si és aliè a la relació laboral

• Informar a Rep dels Treballadors

• Notificació del fitxer AEPD i Inscripció en RGPD



SISTEMA DE GEOLOCALITZACIÓ


• La informació proporcionada es considera dada personal perquèpermet identificar localització personal

DADA PERSONAL

• Informació prèvia . Finalitat:

• Seguretat

• Interès legítim de tenir localitzat vehicle

• 20.3 ET Verificar compliment obligacions laborals

• Ajustat a dret: Possibilitat de DESCONECTAR monitorització fora de jornada.



ACOMIDAMENT

DISCIPLINARI:

• No precisa consentiment (55 ET)

• Legitimitat de la intromissió: Judici de proporcionalitat, necessitat i idoneïtat (TC)

• Protecció de les dades de tercer. Informe judicial.

INEPTITUD.

• Limitat a Apte o No Apte, sense consentiment exprés

• Completar la informació demanant informe a Metge de Salut.

COL·LECTIU

• Dades resta treballadors: 51 ET

• Només incloure criteri de selecció

• No cal consentiment per cessió de dades a Autoritat Laboral, SEPE , FOGASA


EXTERNALITZACIÓ DE LA GESTIÓ DE NÒMINES


CONTRACTE PER ESCRIT AMB LA GESTORA, COM ENCARREGAT DEL TRACTAMENT.

• Instruccions del responsable

• Limitat a finalitat de tractament

• Persones autoritzades per encarregat subjectes a confidencialitat

• Mesures de seguretat apropiades

SUBCONTRATACIÓ EXPRESAMENT AUTORIZADA PEL RESPONSABLE

DESTRUCCIÓ O RETORN A FINALITZACIÓ DE CONTRACTE.


TRANSFERÈNCIA DE DADES LABORALS ENTRE EMPRESES

GRUP DÉMPRESES

La cessió requereix consentiment de l’interessat.

Prestació del consentiment a la primera empresa

Procediment intern de comunicacions per exercici drets arco+

SUCCESIÓ DÉMPRESA /FUSSIÓ/ESCISSIÓ

Legitimat per 44 ET . imprescindible per fer efectiva la successió.

• Obligació del cedent dínformar individualment de la cessió

• Obligació de cessionària dínformar de nous tractaments

Moment adequat: inici del procés de successió

Internacional: país destí amb nivell de protecció equiparable


CONTRATES I SUBCONTRACTES


• La responsabilitat solidària delcontractista principal legitima la cessióde les dades:

• Previ a la contractació: certificatnegatiu de TGSS

• Durant la contractació: Nòmines i TC2 idades compatibles amb finalitat,perquè concorre interès legítim

ACTIVITAT PRÒPIA DE LÉMPRESA (42 ET)

• Consentiment exprés del treballador: destinatari i finalitat

ACTIVITAT NO PRÒPIA O ARRENDAMENT DE

SERVEIS (1583 CC)


CONTROL DE LA SALUT DELS TREBALLADORS I LA PROTECCIÓ DE DADES


Les dades sobre la salut de les persones afectades com les dades genèriques han de rebre un tractament informàtic

separat de les altres dades disponible dels treballadors així com adoptar mesures tècniques i organitzatives per evitar

l’accés de tercers

LES DADES DE SALUT COM DADES PERSONALS

Interpretació extensiva del

concepte de les dades de la salut

Salut física i mental: passada, present i

futura

Dades de salut laboral (també diagnòstic),

submissió al tractament de dades

sensibles

Especial particularitat de les dades relatives

a les baixes o altes dels treballadors

Caràcter excepcional de la realització dels exàmens mèdics en

matèria laboral



Destacar que la possible transmissió de les dades resultats de la vigilància de la salut al personal mèdic de la empresa,

hi ha una prohibició clara, a excepció de les conclusions derivades del referit a l’aptitud dels treballadors

VIGILÀNCIA DE LA SALUT

Regla de la voluntarietat pel

control (22 LPRL)

Consentiment del titular i les seves

excepcions

El secret mèdic pel professional mèdic

o el professional amb obligació de

secret

La conversació de documents i el

paper dels professionals

Límits al coneixement de les

dades per l’empresari



Important destacar que la AEPD ha reconegut que la LPRL i les seves normes de desenvolupament imposen a

l’empresa la realització d’un conjunt d’activitats, però que implica el tractament de dades personals dels treballadors,

assignant responsables de les dades

SERVEIS DE PREVENCIÓ

Serveis de prevenció propis o

mancomunats

Serveis de prevenció aliens

Canvi del servei de prevenció

Termini de conservació de les dades de salut en

supòsits de successió dels

serveis

Competències dels Delegats de Prevenció




La AEPD considera que l’excepció prevista en el tratamentconsistent en les dades que es limiten a assenyalar la

existència o no de malaltia comú, professional o accident, implica implantar mesures de seguretat de nivell alt.

PREVENCÍÓ DE RISCOS LABORALS

Coordinació d’activitats preventives

Notificació d’accidents de

treball

Treballadors especialment

sensibles

Control d’absentisme

laboral

Empreses encarregades del absentisme i del tractament de les

dades


SISTEMES DE CONTROL EMPRESARIAL: “COMPLIANCE”


L’establiment d’un sistema d’informació de tenir un objectiu clar, que és el compliment d’unes obligacions

jurídiques concebuts per establir procediments interns de control en àrees definides.

SISTEMES INTERNS DE DENÚNCIES

Marc general de denúncia

de les irregularitats

Transparència i publicitat en l’establiment de sistemes

Protecció del denunciat i del

denunciant

Canal de denúncies

Mesures de seguretat


SISTEMES DE CONTROL EMPRESARIAL: “COMPLIANCE”

És important disposar de sistemes de control per prevenir, detectar i reaccionar davant el risc de la comissió d’alguna

irregularitat per part de membres de l’empresa

PROGRAMES DE “COMPLIANCE” I CODI DE CONDUCTA

Programes de “compliance” en l’àmbit de

RRHH

Codi de conducta i el

seu valor en la gestió de RRHH

Adaptació dels formularis

Paràmetres de valoració de la

sol·LICITUTplantejada

El paper de l’interès legítim

de l’empresa


RELACIONS SINDICALS

La incidència en matèria de protecció de dades de la obligatorietat establerta a l’ET de la remissió del cens

electoral per la celebració de les eleccions dels representants legals dels treballadors

AFILIACIÓ SINDICAL I ACCÈS DE LES ORGANITZACIONS SINDICALS AL CENS ELECTORAL

Quota sindicalEl consentiment del treballador

Celebració d’eleccions i

comunicació de dades

La comunicació a la mesa electoral i la seva limitació a

les dades

Dret d’oposició dels treballadors


RELACIONS SINDICALS

Els supòsits més freqüents de comunicació de dades en l’àmbit laboral són els relatius a l’exercici de les

competències dels òrgans de representació

REPRESENTANTS LEGALS DELS TREBALLADORS

Dret d’informació Drets en conflicte

Cessió de dades per l’empresa als

òrgans de representació

unitària

Drets d’informació contemplats en els

instruments de negociació col·lectiva

Representants sindicals


RELACIONS SINDICALS


La LOLS reserva als òrgans de representació determinades atribucions i mitjans instrumentals, que obliga a un

especial tractament de les dades personals

ACCIÓ SINDICAL

Publicació en taulells

d’anuncis

Publicació d’anunci online

Mitjans de comunicació

Beneficiaris d’ajudes i/o prestacions

Comunicacions intrasindicals


La Confederació

Via Laietana 54, 1r pis. Barcelona 08003

www.laconfederacio.org

http://www.laconfederacio.org/

Documents

7 de maig de 2018, de 10 a 12 hores Auditori Palau Macaya · EL TRACTAMENT DE LES DADES HA DE COMPLIR ELS PRINCIPIS DE: LICITUT / lleialtat / transparència: en relació amb la font