El responsable del tratamiento debe asegurarse de que cumple y puede demostrar el cumplimiento con el RGPD y la LOPDGDD

La importancia de la protección de datos desde el diseño en las aplicaciones online de portal del empleado

Tribuna
Aplicaciones online y portal del empleado_img

1. Introducción

Las aplicaciones online de portal del empleado, que son un espacio corporativo digital a través del cual los empleados pueden acceder a servicios tales como consultar sus datos personales que son tratados por sus empleados con fines laborales y de gestión de recursos humanos, se extienden cada vez más siendo necesario que la organización que las utiliza tenga en cuenta las implicaciones que plantean desde el punto de vista de la protección de datos personales. Tanto si han sido desarrolladas por una organización para su propio uso como si se contratan con otra empresa que vaya a prestar este servicio, el responsable del tratamiento debe asegurarse de que cumple y puede demostrar el cumplimiento con el Reglamento General de Protección de Datos (RGPD)[1] y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

En este sentido, la protección de datos desde el diseño es fundamental, ya que permite adoptar medidas técnicas y organizativas adecuadas para mitigar el riesgo derivado del tratamiento de datos personales tales como datos de bajas médicas, relativos a la afiliación sindical o a la condición de delegado sindical, los datos relativos al número de cuenta bancaria en el que se recibe el pago de la nómina o el número del documento nacional de identidad (DNI), siendo estos algunos de los ejemplos de datos personales a los que se puede acceder en estas aplicaciones online.

Si no se han adoptado estas medidas, puede haber aplicaciones online de portal del empleado que supongan un riesgo, por ejemplo, si el acceso a dicha aplicación no está debidamente controlado mediante una autenticación robusta del usuario, si los datos no se almacenan cifrados o si no se ha establecido un control adecuado de usuarios y sus perfiles a la hora de acceder a los datos personales.

El objetivo del presente artículo es exponer qué es la protección de datos desde el diseño y cómo su aplicación es necesaria, en particular, en el caso de estas aplicaciones online de portal del empleado, dados los riesgos que pueden darse para los empleados cuando se tratan sus datos personales. La organización que trata los datos personales de sus empleados, para ofrecerles este portal del empleado, debe adoptar medidas técnicas y organizativas apropiadas atendiendo en cada caso a cómo se desarrolle y utilice, ya sea como aplicación externa o mediante el recurso al servicio prestado por un proveedor que puede ser encargado del tratamiento si trata datos personales por cuenta de aquélla, así como a los datos personales que sean objeto de tratamiento, ya que, como ha quedado señalado más atrás, pueden incluir desde los relativos al documento nacional de identidad (DNI) de los empleados o sus datos bancarios hasta categorías especiales de datos como los relativos a la salud o a la afiliación sindical.

2. ¿Qué es la protección de datos desde el diseño?

La protección de datos desde el diseño -a la que se refiere el artículo 25 del RGPD- supone la adopción de medidas técnicas y organizativas apropiadas desde el momento más temprano en el que se piensa o diseña un sistema o servicio en el que se van a tratar datos personales. Ésta ha sido definida por la Agencia Española de Protección de Datos (AEPD) como la “adopción de medidas técnicas y organizativas cuya finalidad es aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento de los datos”[2]. En la Guía de Privacidad desde el Diseño[3], publicada por la AEPD en 2019, se resalta que la protección de datos desde el diseño es un requisito legal que tiene por objeto “integrar las garantías para la protección de los derechos y libertados de los ciudadanos con relación a sus datos personales desde las primeras etapas del desarrollo de sistemas y productos”[4]. Y esto implica “utilizar un enfoque orientado a la gestión del riesgo y de responsabilidad proactiva para establecer estrategias que incorporen la protección de la privacidad a lo largo de todo el ciclo de vida del objeto (ya sea este un sistema, un producto de hardware o software, un servicio o un proceso)”[5].

Con el RGPD la protección de datos desde el diseño deviene una obligación critica, que integra la suma de la aproximación basada en el riesgo y de la responsabilidad proactiva (en inglés, “accountability”). Como ya tuve oportunidad de expresar en el pasado, si se presta atención al RGPD, “a la luz del considerando 78, el principio de protección de datos desde el diseño es la clave a seguir por el responsable del tratamiento para demostrar cumplimiento con el RGPD, ya que como se indica en dicho considerando «el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto»”[6].

La protección de datos desde el diseño no es una cuestión nueva ya que la Directiva 95/46/CE, aunque no se refleja expresamente en el texto de su articulado, explicaba en sus considerandos que “la protección de los derechos y libertades de los interesados en lo que respecta a los tratamientos de datos personales exige la adopción de medidas técnicas y de organización apropiadas, tanto en el momento de la concepción del sistema de tratamiento como en el de la aplicación de los tratamientos mismos” (énfasis añadido, considerando 46).

3. Alcance de la protección de datos desde el diseño como requisito exigible a las aplicaciones online de portal del empleado

Como en el caso de cualquier otra aplicación, pero teniendo en consideración en particular el caso de las aplicaciones online de portal del empleado, la protección de datos desde el diseño es obligatoria y da lugar a que el responsable del tratamiento, según indica el Comité Europeo de Protección de Datos (CEPD) deba “poder acreditar que han incorporado las medidas oportunas y las garantías necesarias en el tratamiento para que los principios de protección de datos y los derechos y libertades de los interesados sean efectivos”[7].

Estas aplicaciones online de portal del empleado pueden ser desarrolladas por una empresa, ya sea internamente o recurriendo a un desarrollador externo, para su propio uso o contratadas a una empresa que ofrezca el servicio y que, si trata datos personales, tiene también la condición de encargado del tratamiento. Es en el momento mismo en el que se plantea el desarrollo de la aplicación online cuando es necesario que se tenga en consideración la protección de datos desde el diseño. Los elementos que deben tenerse en cuenta, tal como expone el CEPD en sus Directrices 4/2019[8], son el “estado de la técnica”, el “coste de aplicación”, la “naturaleza, ámbito, contexto y fines del tratamiento” y los “riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas”.

El “estado de la técnica” da lugar a la obligación de “tener en cuenta el progreso actual de la tecnología disponible en el mercado a la hora de determinar las medidas técnicas y organizativas adecuadas”[9]. El CEPD destaca la necesidad de que los responsables del tratamiento evalúen de manera continua cómo la tecnología puede presentar riesgos u oportunidades para la protección de datos, así como la importancia de las medidas organizativas, ya que su falta “puede reducir o incluso restar toda efectividad a la tecnología elegida”[10] .

El “coste de aplicación” se refiere a las medidas técnicas y organizativas adecuadas, siendo la clave que éstas “garantizarán que la actividad de tratamiento de datos personales prevista por el responsable no incumpla los principios, con independencia del coste”[11].

La “naturaleza, ámbito, contexto y fines del tratamiento” son factores inherentes al tratamiento de los datos personales que sirven “para integrar los principios de protección de datos en el diseño del tratamiento”. Como ha señalado el CEPD “cabe interpretar el concepto de naturaleza como las características intrínsecas del tratamiento. El ámbito hace referencia al tamaño y a la variedad de actividades del tratamiento. El contexto se refiere a las circunstancias del tratamiento, que pueden influir en las expectativas del interesado, mientras que los fines son los objetivos del tratamiento.”[12]

Por otro lado, la referencia a los “riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas”, requiere tener en cuenta que “los bienes protegidos son siempre los mismos (las personas, a través de la protección de sus datos personales), frente a los mismos riesgos (para los derechos de las personas), y teniendo en cuenta las mismas circunstancias (la naturaleza, el ámbito, el contexto y los fines del tratamiento)”[13].

Evaluar cómo ha sido desarrollada la aplicación online de portal del empleado, o haber incrustado la protección de datos en su diseño, son medidas esenciales para poder cumplir y demostrar el cumplimiento con el RGPD, minimizando los riesgos derivados del tratamiento de los datos personales. En el caso de las aplicaciones online de portal de empleado es necesario tener en cuenta que puede darse un tratamiento de datos personales que sean de alguna de las categorías especiales de datos personales (salud, afiliación sindical, etc.), o también que “pudieran provocar daños y perjuicios físicos, materiales o inmateriales”, tales como pérdidas financieras u otros perjuicios económicos, así como usurpación de identidad o fraude.

Como ha indicado la AEPD, al aplicar el principio de protección de datos desde el diseño se trata de “aplicar los principios de protección de datos en los procesos de diseño de los sistemas y procedimientos de la organización sobre los que se apoya el  tratamiento de los datos, con un fin eminentemente preventivo y orientado tanto a evitar posibles daños a las personas físicas como, de manera colateral, los perjuicios que para la organización podría suponer la modificación o el rediseño de los sistemas en los que se llevan a cabo los tratamientos, una vez desarrollados e implantados, como consecuencia de la identificación de errores de diseño que pudieran suponer daños o perjuicios a los interesados y a sus derechos y libertades”[14]. Y, en este sentido, la AEPD también ha indicado que es el responsable del tratamiento “quien tiene la obligación de integrar y desplegar la protección de datos dentro de todo lo que constituya su organización, en todos sus ámbitos de actuación, ya afecten a sus empleados o a sus encargados del tratamiento. Se debe de tener muy presente que en última instancia la finalidad determinante es la de garantizar la protección del interesado, pues el foco está los riesgos en los derechos y libertades de los interesados derivados del tratamiento de datos personales”[15].

Además, menciona también que “[e]l principio de privacidad desde el diseño es una muestra del paso de la reactividad a la proactividad y manifestación directa del enfoque de riesgos que impone el RGPD. Parte de la responsabilidad proactiva, impone que, desde los estadios más iniciales de planificación de un tratamiento debe ser considerado este principio: el responsable del tratamiento desde el momento en que se diseña y planifica un eventual tratamiento de datos personales deberá determinar todos los elementos que conforman el tratamiento, a los efectos de aplicar de forma efectiva los principios de protección de datos, integrando las garantías necesarias en el tratamiento con la finalidad última de, cumpliendo con las previsiones del RGPD, proteger los derechos de los interesados”[16].

En relación con el enfoque de riesgos, la AEPD también ha señalado que “[u]na EIPD debe percibirse como un instrumento de ayuda en la toma de decisiones relativas al tratamiento, por lo que debe hacerse en las fases de concepción y diseño del tratamiento. Con ello se cumpliría con los principios de protección de datos desde el diseño, y ayuda a que las garantías seleccionadas estén guiadas por la gestión del riesgo y se implementen durante la fase de concepción y diseño del tratamiento, estando integradas en el mismo y extendiéndose a todas las etapas de su ciclo de vida. La protección de datos desde el diseño no es una capa adicional o un elemento que se puede añadir a posteriori. Por lo tanto, una EIPD, puede implicar que hay que realizar cambios en el tratamiento para introducir modificaciones, garantías o medidas para reducir los riesgos, se ha de realizar antes y durante la fase de diseño, y el enfoque de riesgos que supone la EIPD es un proceso, no un estado” (énfasis añadido)[17].

4. Algunas preguntas sobre protección de datos desde el diseño que deberían tenerse en cuenta a la hora de contratar y hacer uso de una aplicación online del portal del empleado.

Las posibilidades de tratamiento de datos personales que ofrecen las aplicaciones online de portal del empleado requieren que la organización que las utilice cumpla con sus obligaciones en virtud del RGPD, prestando especial atención al riesgo. Cabría plantear una lista de medidas y cuestiones con la finalidad de verificar que puedan ser utilizadas con garantías desde el punto de vista de la protección de datos. Con carácter general, si se recurre a una aplicación online que proporciona un tercero, cabría plantear:

  • ¿Se va a firmar (o se ha firmado) un contrato o acuerdo de encargado del tratamiento con dicha empresa y se ha comprobado que dicho contrato o acuerdo cumpla con los requisitos exigibles en virtud de la normativa sobre protección de datos (artículos 28 y 29 del RGPD, así como artículo 33 de la LOPDGDD)?
  • ¿Se ha comprobado que el encargado del tratamiento tiene una política de protección de datos desde el diseño y, si es así, se ha obtenido información sobre los controles implementados en la aplicación online?
  • ¿Se ha comprobado qué medidas de seguridad incluye la aplicación online de portal del empleado para proteger los datos personales que son tratados?
  • ¿La aplicación online de portal del empleado requiere un mecanismo de autenticación robusto (contraseña robusta y medidas tales como doble factor de autenticación)?
  • ¿Qué medidas se aplican a los datos personales durante su tratamiento? ¿Están cifrados en reposo? ¿Y cuando son enviados por algún medio (correo electrónico, transferencia, etc.)?
  • ¿Se han identificado y se puede gestionar quién puede tener acceso a los datos personales que son objeto de tratamiento en la aplicación online (por ejemplo, la persona a la que se refieren los datos personales y un grupo limitado de usuarios que es necesario para la gestión de Recursos Humanos y el uso de la aplicación, etc.)?
  • ¿Qué documentación proporciona el encargado del tratamiento o puede obtenerse relativa a la aplicación de la protección de datos desde el diseño en el desarrollo de la aplicación online de portal del empleado?
  • En función de los datos personales tratados (si son categorías especiales de datos personales o no), ¿se aplican medidas técnicas y organizativas específicas o adicionales?
  • Aunque no fuera requerida, ¿se ha considerado la elaboración de una evaluación de impacto relativa a la protección de datos (EIPD)?
  • ¿Se adoptan medidas para supervisar de manera continua el cumplimiento por el encargado del tratamiento?
  • ¿Qué medidas o controles se prevén para la conservación y, en su caso, supresión de los datos personales?

Además, habría que tener en cuenta otras cuestiones que pueden servir para minimizar los riesgos derivados del tratamiento de datos personales de empleados mediante el uso de aplicaciones online de portal del empleado, entre las que se encuentran:

  • ¿Se ha tenido en cuenta qué dispositivo(s) y desde dónde se puede acceder a la aplicación online y que se trata del acceso a datos personales de los que la empresa es responsable del tratamiento?
  • ¿Se ha proporcionado formación y se han llevado a cabo acciones de concienciación a los usuarios de la aplicación online de portal del empleado sobre el tratamiento de los datos personales y sus responsabilidades?

En particular, estas dos últimas cuestiones son importantes ya que una aplicación online de portal del empleado es una aplicación corporativa cuyo uso da lugar al tratamiento de datos personales de los que es responsable del tratamiento la organización que ha decidido hacer uso de esta, y siendo este responsable del tratamiento el que está obligado a cumplir con la obligación de protección de datos desde el diseño, cuyo incumplimiento podría dar lugar, en su caso, a una sanción consistente en una multa administrativa de hasta diez (10) millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2%, como máximo, del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (art. 83.4 del RGPD).

Por último, estando dirigida a desarrolladores, cabe señalar que la Autoridad Catalana de Protección de Datos publicó “La privacidad desde el diseño y la privacidad por defecto – Guía para desarrolladores”[18] en la que incluye dos anexos relevantes. El anexo primero presenta un flujograma con el análisis previo y el anexo segundo un checklist o cuestionario con cuestiones relevantes a comprobar para asegurar el cumplimiento con la normativa sobre protección de datos.

5. Algunas cuestiones específicas a considerar en las aplicaciones online de portal del empleado

El portal del empleado, como ya se ha señalado anteriormente, es un espacio corporativo digital a través del cual los empleados pueden acceder a servicios tales como consultar sus datos personales que son tratados por sus empleados con fines laborales y de gestión de recursos humanos, modificar sus datos personales, realizar diversos trámites relacionados con sus permisos y vacaciones, o acceder a otros servicios y contenidos.

Desde el punto de vista de protección de datos, como espacio corporativo digital, la organización es el responsable del tratamiento de los datos personales que se tratan en la aplicación online de portal del empleado. A su vez, el proveedor de dicha aplicación puede ser un encargado del tratamiento si trata datos personales por cuenta de la organización. Este proveedor podría ser también responsable del tratamiento si trata datos personales para sus propios fines, si bien tiene que ser un tratamiento separado de aquél en el que actúa como encargado del tratamiento y cumpliendo con todas las obligaciones que le son exigibles en su condición del responsable del tratamiento.

Cuando los datos personales de los interesados son tratados para prestar el servicio de portal del empleado a la organización correspondiente, dicho tratamiento tiene que permitir cumplir tanto con el principio de protección de datos desde el diseño como con el resto de las obligaciones que le son exigibles al responsable del tratamiento durante todo el ciclo de vida de los datos personales (desde que se obtienen o infieren a partir de otros hasta que se destruyen o anonimizan).

Siendo una aplicación corporativa, el responsable del tratamiento tiene que asegurarse de que es proactivo y de que ha adoptado las medidas técnicas y organizativas apropiadas para gestionar el riesgo, así como demostrar el cumplimiento con la normativa sobre protección de datos personales. Que sea una aplicación corporativa tiene también otras implicaciones en materia de protección de datos personales que el responsable del tratamiento tiene que evaluar. Por ejemplo, ¿va a permitir el uso de identificadores personales (una dirección de correo electrónico personal) y no corporativos para acceder? ¿los usuarios podrán acceder desde dispositivos no corporativos? Y si se permite el uso de dispositivos no corporativos, ¿el usuario sabe cómo utilizar la aplicación para evitar accesos no autorizados por terceros (por ejemplo, no activar la opción “salir de la aplicación y recordarme”, navegar en modo incógnito si se hace en un dispositivo público, cerrar la sesión de usuario, utilizar contraseñas robustas, etc.)? ¿ha incluido esta aplicación en los medios que utiliza para tratar los datos personales y ha adoptado las medidas apropiadas para cumplir con la normativa sobre protección de datos? ¿revisa, cuando sea necesario y al menos periódicamente, el riesgo derivado del tratamiento de los datos personales?

Éstas son algunas de las cuestiones específicas que también se tendrá que plantear la organización ya que están interrelacionadas con la protección de datos desde el diseño. Por ejemplo, si el empleado se puede registrar utilizando sus datos personales no corporativos en lugar de estos últimos, su identificación puede ser más compleja porque podría requerir la necesidad de comprobar su identidad y en caso de que su dirección de correo electrónico personal se vea comprometido, que exista también un riesgo de acceso no autorizado a los datos personales tratados en el portal del empleado.

Cuestiones como las anteriores, y otras que se puedan plantear, conllevan a que la organización, que hace uso de aplicaciones online de portal del empleado, tenga que asegurarse de que cumple con las medidas de protección de datos desde el diseño así como con los demás principios y obligaciones aplicables en la materia. Aplicaciones online como éstas y otras que se pueden encontrar en el día a día de una organización son una oportunidad, pero requieren que quien va a hacer uso para tratar datos personales se aseguren de que cumple con la normativa sobre protección de datos y garantice la protección de los derechos del interesado. Esta obligación de cumplimiento será aplicable con independencia de que la aplicación haya sido desarrollada internamente o de que se proporcione por un prestador de servicios externo, siendo este último caso un “portal del empleado como servicio” (en inglés “employee portal as a service”).

6. Conclusiones

A la vista de lo expuesto en los apartados anteriores, cabe concluir que el principio de protección de datos desde el diseño es una obligación con la que tiene que cumplir el responsable del tratamiento para mitigar el riesgo de tratar datos personales de sus empleados.

La protección de datos desde el diseño ni es un nuevo concepto ni es la primera vez que aparece en la normativa europea en materia de protección de datos personales.

Es una obligación con la que hay que cumplir desde el la fase inicial en la que se diseña un sistema o servicio en el que se van a tratar datos personales con la finalidad de incorporar medidas técnicas y organizativas adecuadas.

En el caso de las aplicaciones online de portal del empleado se presentan diversos riesgos que requieren que el responsable del tratamiento se asegure de que han sido desarrolladas implementando la protección de datos desde el diseño.

En definitiva, el uso de aplicaciones online de portal del empleado, como el de muchas otras que implican un tratamiento de datos personales, requiere evaluar los riesgos derivados de dichos tratamientos, incluidas categorías especiales de datos personales como los relativos a la salud o a la afiliación sindical, y adoptar medidas técnicas y organizativas adecuadas. Estas medidas tendrán que adoptarse tanto si la aplicación ha sido desarrollada internamente como si se recurre a su uso cuando es proporcionada por un proveedor de este servicio, que además podría ser encargado del tratamiento.

 

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) [2016] DO L 119/1.

[2] Agencia Española de Protección de Datos, Protección de Datos: Guía para el Ciudadano, p. 33. Consultada en https://www.aepd.es/guias/guia-ciudadano.pdf

[3] Agencia Española de Protección de Datos, Guía de Privacidad desde el diseño, Madrid, Octubre 2019. Consultada en https://www.aepd.es/guias/guia-privacidad-desde-diseno.pdf

[4] Ibid., p. 6.

[5] Ibid.

[6] Recio Gayo, Miguel, Protección de Datos desde el Diseño: principio y obligación en el RGPD, 2017. Consultado en https://elderecho.com/proteccion-de-datos-desde-el-diseno-principio-y-obligacion-en-el-rgpd

[7] Comité Europeo de Protección de Datos, Directrices 4/2019 relativas al artículo 25 Protección de datos desde el diseño y por defecto, versión 2.0, adoptadas el 20 de octubre de 2020, p. 5. Consultadas en https://www.edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_es.pdf

[8] Ibid.

[9] Ibid., aptdo. 19, p. 8.

[10] Ibid., aptdo. 21, p. 9.

[11] Ibid., aptdo. 25, p. 9.

[12] Ibid., aptdos. 27 y 28, pp. 9 y 10.

[13] Ibid., aptdo. 29, p. 10.

[14] Agencia Española de Protección de Datos, Protección de datos desde el diseño, última modificación 13 de noviembre de 2023. Consultado en https://www.aepd.es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/proteccion-de-datos-desde-el-diseno

[15] Entre otras, Resolución de terminación del procedimiento por pago voluntario en el Expediente Nº EXP202400074 (Fundamento de Derecho VIII), p. 37. Consultada en https://www.aepd.es/documento/ps-00022-2024.pdf

[16] Resolución de Procedimiento Sancionador en el Expediente Nº EXP202213023, p. 66. Consultada en https://www.aepd.es/documento/ai-00332-2023.pdf

[17] Resolución de Procedimiento Sancionador en el Expediente Nº EXP202315637, p. 105. Consultada en https://www.aepd.es/documento/ps-00484-2023.pdf

[18] Consultada en https://apdcat.gencat.cat/web/.content/03-documentacio/documents/guiaDesenvolupadors/GUIA-PDDD_ES.pdf

ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación