El software del MOM debe ser compatible con la DSGVO, de lo contrario los organizadores corren riesgos legales. ¿Qué es importante en detalle?
Una contribución invitada de Stephan Schmidt, especialista en derecho informático, TCI Rechtsanwälte Mainz
Protección de datos. En la mayoría de las organizaciones, éste es probablemente uno de los temas menos queridos. Y, sin embargo, debe ser tratado, aunque sólo sea por razones de seguridad jurídica. La protección de datos también es un tema central en relación con el software FOM, ya que su incumplimiento puede acarrear no sólo consecuencias según la ley de protección de datos, sino también la impugnabilidad de las resoluciones de la asamblea.
Base jurídica
Las organizaciones necesitan al menos dos bases legales para llevar a cabo un FOM:
En primer lugar, la base jurídica para la aplicación de un MOM per se. Esto ha sido creado por la llamada Ley Corona(§ 32 párrafo 1 frase 1 BGB). Esto hace que las MOF sean legalmente permisibles, incluso sin una disposición correspondiente en los estatutos. Dado que la Ley Corona está limitada en el tiempo hasta el 31 de agosto de 2022 y que la situación jurídica aún no se ha aclarado claramente a partir de entonces, los estatutos deberían adaptarse, no obstante, a los futuros MOM.
Además, las organizaciones siguen necesitando una base en virtud de la ley de protección de datos, que suele derivarse del artículo 6 de la DSGVO. Aquí se encuentran varias bases legales, como el interés legítimo de una organización o el cumplimiento de un contrato. Por ejemplo, una asociación puede argumentar que los miembros de la asociación tienen ciertos derechos de participación por su pertenencia y que, por tanto, el MOM sirve para el cumplimiento del contrato.
¿Comprando o haciéndolo tú mismo?
Esta es la primera pregunta que deben hacerse los organizadores del FOM cuando se trata de software. Por razones de protección de datos, quizá lo mejor sería que cada uno estableciera sus propias soluciones informáticas adaptadas a sus necesidades. Sin embargo, en la práctica, la mayoría de las empresas, clubes y asociaciones no tienen la capacidad humana, técnica o financiera para hacerlo. Esta pregunta ya ha sido respondida para la mayoría de los lectores de la revista FOM.
Selección de un proveedor de software
Para la aplicación del MOF, el organizador suele tener que transmitir los datos de los participantes al proveedor de software, a menos que se trate de una solución que el organizador también explote y aloje él mismo. Al transmitir y procesar los datos de los participantes, debe garantizarse siempre el cumplimiento del RGPD. Por lo tanto, hay toda una serie de consideraciones sobre la protección de datos a la hora de elegir un proveedor.
Domicilio social del proveedor
Una cuestión central es el domicilio social del proveedor. Dependiendo del diseño del contrato para el uso de un servicio, es difícil ver qué pasa con los datos y a dónde pueden ser enviados.
Los proveedores del Espacio Económico Europeo (EEE) no tienen problemas en cuanto al domicilio social. Están sujetos al GDPR y se consideran "seguros" en términos de la ley de protección de datos.
Los terceros países seguros tampoco plantean problemas; actualmente son Gran Bretaña, Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay.
Los proveedores de todos los demás países terceros son problemáticos, incluidos los Estados Unidos.
En resumen: la mayoría de las organizaciones deberían elegir un proveedor de un estado del EEE o de un tercer país seguro. De lo contrario, te metes en demasiados problemas.
Si le interesan los detalles, puede seguir leyendo aquí. Si no, puede pasar directamente al siguiente punto "Centro de datos".
Problemas con terceros países inseguros
La transferencia de datos personales a terceros países sólo está permitida si se puede garantizar que existe un nivel adecuado de protección de datos en el país de destino.
Estas garantías adicionales son, por ejemplo, soluciones técnicas como el cifrado y/o garantías contractuales. Varios proveedores han incluido en sus acuerdos de protección de datos disposiciones que regulan aspectos como las solicitudes de datos o las reclamaciones por daños y perjuicios. Los tribunales aún no han decidido si estas garantías adicionales son suficientes.
Una posible salida es el uso de las cláusulas estándar de protección de datos de la UE, publicadas por la Comisión Europea en julio de 2021. Pero aquí también hay incertidumbre, ya que hasta ahora hay poca experiencia sobre cómo los tribunales tratan las demandas contra estas cláusulas estándar.
Además, en el caso de los proveedores de terceros países, puede ser necesaria una Evaluación del Impacto de la Transferencia (EIT) del sistema jurídico de ese tercer país. Esto no es práctico para las pequeñas empresas o asociaciones, ya que no tienen capacidad ni presupuesto para evaluar el sistema jurídico de un tercer país.
También hay otras dificultades: Por ejemplo, hay que poder justificar por qué se recurre a un proveedor de un tercer país aunque haya alternativas en el EEE o en terceros países seguros. El precio más barato no es suficiente como criterio.
También es posible que tenga que obtener el consentimiento de los participantes para que los datos se transfieran a terceros países. Sin embargo, este consentimiento puede ser revocado en cualquier momento. Especialmente en el caso de las FOM, se encontraría entonces con el problema de que la reunión no puede celebrarse si los participantes con derecho a participación o a voto no dan su consentimiento o lo revocan.
Otra opción sería elegir un proveedor de plataformas en la zona del EEE y luego utilizar servicios individuales de terceros países, por ejemplo, funciones de vídeo encriptado.
Centro de datos
Además de la sede de la empresa, la ubicación del centro de datos utilizado también es crucial. También hay que preguntar por los centros de datos de los subcontratistas (por ejemplo, AWS o Google Cloud) y las redes de distribución de contenidos, porque a veces se ocultan aquí las transferencias a terceros países.
Características técnicas
Desde el punto de vista de la protección de datos, el software debería permitir ciertas configuraciones:
● Derechos y funciones: Por supuesto, no todos los participantes deben tener los mismos derechos que, por ejemplo, el organizador.
● Ajustes de ahorro de protección de datos: Se trata, por ejemplo, de la transmisión cifrada de datos o el uso de contraseñas para las salas de reuniones.
● Sonido e imagen de los participantes: Debería estar desactivado por defecto al entrar
Medidas técnico-organizativas: Lo ideal es que el proveedor cuente con una certificación ISO, por ejemplo, basada en ISO 27001, ISO 27018 o Common Criteria según ISO 15408, lo que ahorra al organizador el trabajo de auditoría.
● Proveedores de terceros: ¿Qué proveedores de terceros (herramientas) se utilizan o pueden utilizarse?
● Datos de telemetría : ¿A dónde se transmiten los datos de telemetría y uso? ¿Para qué se utilizan?
Antecedentes: ¿es posible conocer el entorno privado o se pueden ocultar los antecedentes sin problemas?
● Procesamiento posterior: ¿Se garantiza que en el servicio basado en la web no se procesa ninguna información de un socio contractual protegida por acuerdos de confidencialidad?
● Votos y elecciones: ¿Cómo se realiza la votación? ¿Es posible el voto secreto? ¿Cómo se documenta el voto?
Eliminación de los datos: ¿Qué ocurre con los datos después del evento virtual? ¿Cuándo se eliminan los datos y cómo se confirma su eliminación?
Papeleo
Otro tema que sin duda le gusta tratar: ¡Burocracia!
Consentimiento
Una vez que se ha encontrado un proveedor, los responsables de la protección de datos deben estar de acuerdo. Si los trabajadores participan en la reunión, el comité de empresa o el comité de personal también deben participar(artículo 87 (1) nº 6 de la BetrVG).
Contrato de tramitación de pedidos
Un acuerdo de procesamiento de contratos debe formar parte del contrato con el respectivo proveedor de software. Esto regula el tratamiento de los datos: ¿Cómo se registrarán y almacenarán, cuándo se eliminarán, cómo se gestionarán las consultas de datos?
El contrato sólo se celebra con el contratista principal, que a su vez debe ocuparse del cumplimiento de sus subcontratistas.
Evaluación del impacto de la protección de datos
Si se obtienen datos sensibles para el FOM (por ejemplo, datos financieros), puede ser necesario realizar una evaluación del impacto de la protección de datos. Se trata de describir, evaluar y mitigar los riesgos para los derechos y libertades de los participantes.
Información sobre la protección de datos según Art. 13 DSGVO
Es posible que tenga que enviar avisos de privacidad explicando a los participantes, por ejemplo, cómo se procesan los datos, qué proveedor utilizan, dónde se encuentran y cuándo se eliminan.
Sólo debe informar en estos avisos de protección de datos, pero no obtener el consentimiento "a los avisos de protección de datos", porque dicho consentimiento puede ser revocado en cualquier momento y tampoco necesita legalmente el consentimiento a los avisos de protección de datos, que, al fin y al cabo, sólo pretenden informar sobre las circunstancias según la ley de protección de datos.
Registro de actividades de tratamiento
La herramienta elegida debe incluirse en el registro de actividades de tratamiento.
Consentimiento publicitario
Puede solicitar otros datos basados en el consentimiento, por ejemplo, un consentimiento publicitario para el envío de un boletín informativo. Sin embargo, el consentimiento no debe estar vinculado al permiso para participar en el FOM. Para este tipo de consentimientos, normalmente se necesita un doble opt-in.
Preparación y aplicación
Economía de datos
Durante la preparación de la lista de materiales, sólo debe pedir los datos que realmente necesita para la aplicación. Por ejemplo, no debe pedir la fecha de nacimiento si no hay ninguna restricción de edad para el FOM. Mantenga la solicitud de datos lo más ágil posible.
Listas de participantes
Las listas de participantes sólo pueden ser vistas y gestionadas por personas autorizadas. De nuevo, la asignación de funciones y derechos en la herramienta y en un registro de participantes independiente es importante para ello.
También debe asegurarse de que sólo las personas autorizadas reciban invitaciones y que las listas de participantes no sean visibles públicamente. Además, la lista de participantes sólo podrá publicarse si los participantes han dado su consentimiento expreso.
Solicitudes de intervención
Durante la reunión, los demás participantes pueden tener un interés legítimo en conocer la identidad del respectivo preguntante, pero no hay obligación legal de revelarla.
Una posible solución es que explique cómo se gestionan las preguntas en la invitación y en los avisos de protección de datos y que también señale el derecho a oponerse a ser nombrado en casos individuales de acuerdo con el artículo 21, apartado 1, del DSGVO.
Grabaciones de imagen y sonido
Las grabaciones de imagen y sonido sólo están permitidas tras el consentimiento de las personas grabadas. Los participantes deben ser informados claramente de las grabaciones en las que pueden ser visibles y antes de que comience dicha grabación (aunque sólo sea en el caso de las preguntas).
El consentimiento no debe ser obligatorio para los FOM, es decir, la participación debe ser posible también sin la admisión.
Un posible atajo
¿Se siente abrumado por todos estos requisitos? No te preocupes, no eres sólo tú.
Por último, sin embargo, la buena noticia es que se pueden resolver la mayoría de los problemas simplemente eligiendo al proveedor adecuado que pueda ofrecer un paquete completo que cumpla con la DSGVO. Sin embargo, incluso en este caso, debería comprobar los detalles, porque en última instancia usted, como organizador del evento, es el responsable de la protección de datos de su MOM.
