Protección de datos en video conferencias

El exponencial aumento de la prestación de servicios de forma telemática (clases lectivas, consultas médicas, trámites administrativos, teleformación) así como la gestión interna de las entidades (asambleas virtuales, teletrabajo), debido a la crisis originada por la Covid-19, ha empujado a las diferentes organizaciones prestadoras de servicios a buscar alternativas, entre ellas el uso de la videoconferencia, para comunicarse con pacientes, alumnos/as, proveedores, afiliados/as, asociados/as, usuarios/as, clientes y otros miembros de la entidad.

En lo concerniente a la privacidad y la protección de datos de carácter personal, la comunicación online mediante videoconferencia, deberá celebrarse en un entorno seguro que respete la privacidad de el/la interesado/a, y la confidencialidad de las conversación e información, puesto que en una videoconferencia se puede exponer y presentar información delicada y confidencial de los interlocutores y de las entidades.

Medidas de seguridad a adoptar en las videoconferencias

Con respecto a la aplicación:

• Utilizar perfiles de usuario con autenticación mediante contraseña segura, para evitar el acceso por usuarios no autorizados.
• Mantener actualizado el software de los sistemas de videoconferencia.
• Asegurarnos, en el caso de que se utilice una aplicación o plataforma privada y no perteneciente a la Administración, que esta cumpla con todos los requisitos legales y de seguridad para que nuestras conferencias sean seguras.
• Cifrar por defecto todas las comunicaciones, utilizando el protocolo SSL, para establecer un canal seguro.
  
  

Con respecto a las personas usuarias:

• Concienciar a los usuarios sobre la necesidad de aplicar estas precauciones de seguridad.
• No establecer comunicaciones con desconocidos o que no estén dentro de nuestra lista de contactos.
• Añadir únicamente a contactos conocidos y de confianza dentro de nuestra lista de contactos.
• Verificar la identidad de los nuevos contactos por otros medios, sobre todo cuando vamos a iniciar una videoconferencia por primera vez con ellos.
• En ningún caso proceder a grabar la videoconferencia salvo que exista un consentimiento expreso por el interlocutor para el fin exacto para el cual se procede a la grabación.
• Evitar transferencias de datos especialmente sensibles (sobre ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico y relativos a la salud) salvo que se opere por una aplicación creada y gestionada por la administración, que su transmisión haya sido solicitada por la Administración para la adecuada prestación del servicio y comprobando que se cumplen con todos las medidas de seguridad.
  
  

Con respecto al uso:

• Deshabilitar la compartición de escritorio por defecto. Habilitar solo cuando sea necesario.
• Deshabilitar la recepción de video por defecto. Habilitar solo cuando sea necesario.
• Cubrir la cámara cuando el sistema no está en uso.
• Apagar o silenciar los micrófonos cuando el sistema no está en uso.

Información a los interlocutores sobre el tratamiento de datos personales

Si mediante la misma no se van a recabar datos de carácter personal:

• Si es la primera vez que contactamos con el interlocutor (alumno/a, usuario/a, afiliado/a, cliente/a) se le debe informar de los detalles del tratamiento de sus datos personales conforme los artículos 13 y 14 del GDPR y 11 de la LOPDGDD. (Clausula informativa para sede social del documento de seguridad, sin necesidad de que sea firmada por los usuarios/as).

• Si se trata de interlocutores con la que ya se tiene una relación previa a la videoconferencia (alumno/a con matriculación, pacientes con historial clínico, cliente con contrato mercantil, afiliado/a con ficha de afiliación), no será necesario volver informar sobre el tratamiento de los datos personales siempre que la finalidad de la videoconferencia sea un medio para seguir ofreciéndole dichos servicios.

Si mediante la misma si se van a recabar datos de carácter personal, siempre se deberá informar al interlocutor de los detalles del tratamiento de sus datos personales conforme los artículos 13 y 14 del RGPD y 11 de la LOPDGDD.(Clausula informativa para sede social del documento de seguridad, sin necesidad de que sea firmada por los usuarios/as).

Se recomienda que la información anterior se facilite por capas, es decir, se aporta la información básica primero, redireccionando a otra ubicación donde se halle el resto de la información del tratamiento de los datos personales.

Además, también es recomendable, antes de iniciar la videoconferencia que se informe al interlocutor sobre los siguientes extremos:

• La prohibición de grabar, tanto audio como vídeo, por ambas partes.

• La plataforma o medio por el cual tendrá lugar la videoconferencia:
  
  
  • Si la plataforma pertenece a la Administración o a una entidad con concierto con la Administración para tal fin o a una entidad con sede en el territorio de la UE, solo será necesario informar al interlocutor cuando sea la primera vez que se contacta con él o cuando se vayan a recabar datos personales (revisar supuestos anteriores).
  • Si la plataforma pertenece a una sociedad con sede fuera del territorio de la UE, pero que se encuentre en un país declarado adecuado por la UE (Andorra, Argentina, Canadá, Isla de Man, Islas Feroe, Israel, Jersey, Nueva Zelanda, Suiza, Uruguay) o se encuentre adherida al acuerdo de privacidad (Privacy Shield), será necesaria la información del tratamiento de los datos de carácter personal. Se puede cotejar la adhesión de la entidad al acuerdo Privacy Shield en el siguiente enlace: https://www.privacyshield.gov/participant_search
    
  • Si la plataforma pertenece a una sociedad con sede fuera del territorio de la UE y no se encuentra situada en ninguno de los supuestos anteriores, pero la entidad ofrece alguna otra de las garantías adecuadas conforme los artículos 46 a 49 del RGPD, se requerirá el consentimiento expreso del interlocutor. (Comprobar garantías en la política de privacidad de la web de la entidad).
  • Si la plataforma pertenece a una sociedad que no se halle en ninguno de los supuestos anteriores, se desaconseja realizar la videoconferencia por esos medios.

Consentimiento sobre el tratamiento de los datos personales

Será necesario recabar el consentimiento del interlocutor, en todo caso, y con carácter previo a la videoconferencia, en los siguientes supuestos:

• Cuando se vaya a utilizar para la videoconferencia una aplicación o plataforma de una sociedad cuya sede no se halle ubicada en la UE o no este adherida al escudo de privacidad "Privacy Shield".

• Si se prevé que se vaya a grabar la videoconferencia.

• Cuando se realice con menores de 14 años, se requerirá en todo momento el consentimiento de los padres o tutores del menor.

• Cuando los datos que se recaben en la videoconferencia se vayan a ceder a terceros.
  
  

No será necesario recabar el consentimiento cuando ya se haya firmado una clausula de consentimiento de tratamiento de datos personales para tal fin, por ejemplo en la matriculación del alumno/a en un centro educativo, en la ficha de afiliación en un sindicato, o en el contrato de servicio de un cliente.

Para recabar el consentimiento del interlocutor, es recomendable utilizar la Clausula para recabar datos de afiliados/as, usuarios/as, clientes en el documento de seguridad, debiendo ser firmada por los usuarios/as, alumnos/as, afiliados/as, clientes.

Fuentes

• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles. Agencia Española de Protección de Datos.
• Precauciones para realizar una videoconferencia. Instituto Nacional de Ciberseguridad del Ministerio de Asuntos Económicos y Transformación Digital.