Protección de Datos

Páginas244-250

Page 244

1. Legislación

[Unión Europea]

Estándares de seguridad para proveedores de servicios en la nube

Norma ISO/IEC 27018/2014 - Guía de buenas prácticas para la protección de datos personales para proveedores de servicios en la nube

La Organización Internacional para la Estandarización (ISO), junto con la Comisión Electrotécnica Internacional (IEC), ha aprobado recientemente una nueva guía o estándar de adopción voluntaria para el tratamiento de datos personales en el área de los servicios en la nube.

La adopción de este nuevo estándar facilita el cumplimiento de las obligaciones que, en los casos en los que actúen como encargados de tratamiento, deberán cumplir los proveedores de servicios en la nube conforme a Derecho europeo y español. Esta norma, basada en estándares previos (como las Normas ISO 27001 y 27002), no solo incluye principios generales de seguridad de la información, sino también proporciona a los proveedores de servicios en la nube una guía para proteger su información y la de sus clientes.

Entre sus disposiciones, cabe destacar las siguientes con respecto a las obligaciones propias de los encargados de tratamiento - bajo la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal («LOPD ») y su reglamento de desarrollo-:

(i) Los datos personales deben ser tratados únicamente de acuerdo con las instrucciones del cliente del servicio en la nube.

(ii) Los datos personales únicamente pueden ser tratados para fines de marketing o publicidad con el consentimiento expreso del cliente, sin que pueda condicionarse el servicio a la prestación de dicho consentimiento.

(iii) El proveedor de servicios en la nube debe asistir a sus clientes en la gestión de las solicitudes que estos reciban para el acceso, rectificación o cancelación (los derechos ARCO) de datos personales de terceros.

Page 245

(iv) El proveedor de servicios en la nube debe comunicar a sus clientes los nombres de sus subencargados de tratamiento y los lugares en los que eventualmente los datos personales puedan ser tratados (bien por sí mismo, bien por cualquiera de sus subencargados).

(v) Debe implementarse una política para la devolución, transmisión o disposición de datos personales, por ejemplo, cuando concluye el servicio.

(vi) Los servicios serán sometidos a auditorías de seguridad de forma periódica (o cuando tenga lugar algún cambio significativo a este respecto).

(vii) Deberán suscribirse acuerdos de confidencialidad con el personal que pueda acceder a datos personales y se les deberá proporcionar formación adecuada.

(viii) Con carácter general, el proveedor de servicios en la nube que actúe como encargado de tratamiento deberá consultar a su cliente antes de la realización de una comunicación de datos, salvo que dicha consulta esté prohibida por ley.

[Portugal]

Dados Pessoais. Utilização de tecnologias de geolocalização no contexto laboral

Deliberação da Comissão Nacional de Proteção de Dados de 28 de outubro de 2014

A Comissão Nacional de Proteção de Dados («CNPD») aprovou, em sessão plenária de 28 de outubro de 2014, a Deliberação n.º 7680/2014 («Deliberação») sobre os princípios e as condições gerais aplicáveis aos tratamentos de dados pessoais decorrentes da utilização de tecnologias de geolocalização no contexto laboral. O texto da Deliberação só foi, no entanto, disponibilizado no passado dia 17 de novembro de 2014.

Em concreto, a CNPD analisa as implicações para a proteção de dados e a privacidade dos trabalhadores dos dispositivos de geolocalização nos veículos automóveis (GPS), por um lado, e nos dispositivos móveis inteligentes por outro (GSM, Wi-fi), no âmbito da relação laboral.

No que se refere às condições de legitimidade para a utilização destes dispositivos de geolocalização, importa sublinhar que a CNPD considera que estando em causa dados sensíveis respeitantes à vida privada dos trabalhadores, o seu tratamento só pode ocorrer mediante disposição legal. Assim, a CNPD entende que a geolocalização integra o conceito de meio de vigilância à distância, sendo que as disposições conjugadas dos artigos 20.º, n.º 2 do CT e 7.º, n.º 2 da Lei da Proteção de Dados Pessoais («LDPD») constituem assim a previsão legal necessária e indispensável para sustentar a legitimidade destes tratamentos de dados.

No que diz respeito às finalidades do tratamento, desde logo a CNPD esclarece que o tratamento destes dados não pode ser utilizado para controlar direta ou indiretamente o desempenho da atividade do trabalhador (artigo 20.º, n.º 1 CT). Assim, no que se refere aos veículos automóveis, e conforme a justificabilidade da existência de meios de vigilância à distância, admite-se o tratamento destes dados apenas no contexto de gestão de frotas em serviço externo, nas situações de assistência técnica externa ou ao domicílio, distribuição de bens, transporte de passageiros, transporte de mercadorias e segurança privada.

Por outro lado, a CNPD admite ainda o tratamento de dados relativos à geolocalização para efeitos de proteção de bens, nos casos de transporte de materiais perigosos ou de valor elevado (valor mínimo de € 10.000,00). Se do tratamento destes dados resultarem indícios da prática de crime, pode essa informação ser utilizada para sustentação da participação criminal respetiva. Admite-se ainda que a entidade empregadora possa também utilizar esta informação no âmbito de processo disciplinar quando aqueles factos forem, per se, violadores dos deveres do trabalhador.

Contrariamente, a CNPD não admite que o empregador monitorize a geolocalização de telemóveis e equipamentos portáteis, não podendo aceder a essa informação, quando disponível nas operadoras, nem instalar aplicações nos dispositivos móveis que ativem os sensores de GPS.

No que diz respeito ao responsável pelo tratamento dos dados (artigo 3.º, alínea d) LPDP), destacam-se as situações em que os veículos automóveis equipados com GPS são locados a uma outra empresa, que não a entidade empregadora. Quando os dados de geolocalização sejam recebidos

Page 246

pela empresa locadora...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR