DATUAK BABESTEKO EUSKAL BULEGOAN SALAKETA AURKEZTEKO EREDUA MODELO DE DENUNCIA ANTE LA AGENCIA VASCA DE PROTECCIÓN DE DATOS Eskatzailearen datuak / Datos de la persona solicitante Izen-abizenak Nombre y apellidos NAN edo dokumentu baliakidea DNI o documento equivalente
(1)
Jakinarazpenetarako helbidea Dirección para notificaciones Telefonoa Teléfono
Helbide elektronikoa (2) Dirección electrónica
(2)
Ordezkariaren datuak / Datos de la persona representante Izen-abizenak Nombre y apellidos NAN edo dokumentu baliakidea DNI o documento equivalente
(1)
Ordezkaritza egiaztatzeko dokumentua Documento acreditativo de la representación
(1)
Jakinarazpenetarako helbidea Dirección para notificaciones Telefonoa Teléfono
Helbide elektronikoa (2) Dirección electrónica
(2)
Eskubidea honen aurrean baliatu nahi da / Responsable ante quien se ejercita el derecho (Erakundea, administrazio organoa, entitatea)
/ (Institución, órgano administrativo, entidad)
Arduradunaren identifikazioa Identificación del responsable Helbidea Dirección Honakoa gertatu dela jakinarazi nahi diot Datuak Babesteko Euskal Bulegoari: Pongo en conocimiento de la Agencia Vasca de Protección de Datos los siguientes hechos:
Queja aplicación recogida datos biométricos oficina Lanbide. -Adjunto copia reclamación: Documento número 1
ESKATZEN DUT
SOLICITO
Datuak Babesteko Euskal Bulegoari eskatu nahi diot ikertzeko ea gertatutakoak datuak babesteko araudia urratzen duen, eta, hala bada, arauhauste prozedura edo zehapen prozedura hasteko dagokion administrazio publikoari.
La intervención de la Agencia Vasca de Protección de Datos para que examine la adecuación de los hechos denunciados a la normativa de protección de datos y proceda, en su caso, a la iniciación del correspondiente procedimiento de infracción de las Administraciones Públicas o sancionador.
(1) (2)
Fotocopia aurkeztu behar da / Adjuntar fotokopia Aukerakoa / Opcional Datuak Babesteko Euskal Bulegoak eskainitako inprimaki eredua Modelo de impreso facilitado por la Agencia Vasca de Protección de Datos
Honako dokumentazioa eransten dut / Documentación que se adjunta:
-En documento adjunto (número 2), se informa cartel en tablón anuncio oficinas Servico Vasco Empleo. Reflejo actual ilegalidad recogida datos biométricos en Lanbide -Se incorpora (documento adjunto 3), queja acuerdo colaboración -y aplicación sobre personas usuarias- entre Lanbide e Izenpe S.A. -Se añade (documento 4), acuerdo colaboración entre Lanbide e Izenpe S.A.
(Tokia eta data / Lugar y Fecha)
Eskatzailearen sinadura / Firma del solicitante
DATUAK BABESTEKO EUSKAL BULEGOAREN ZUZENDARIA SR. DIRECTOR DE LA AGENCIA VASCA DE PROTECCIÓN DE DATOS Beato Tomás de Zumárraga, 71- 3 - 01008 Vitoria–Gasteiz
Datu Pertsonalak Babesteari buruzko abenduaren 13ko 15/1999 Lege Organikoaren 5. artikuluak xedatutakoaren arabera, jakinarazi nahi dizut hemen bildutako datu pertsonalak honako fitxategian jasoko direla: “Kontrol Jardueren Fitxategia". Datuak Babesteko Euskal Bulegoaren zuzendariaren 2005eko irailaren 12ko Ebazpenaren bidez sortu zen fitxategia (Urriaren 17ko EHAA, 197. zk.). Fitxategiaren helburua da Datuak Babesteko Euskal Bulegoak, herritarren eskubideak eta erreklamazioak babesteko eginkizuna burutzean eta otsailaren 25eko 2/2004 Legeak aitortzen dizkion ikuskaritza eta zehapen ahalak burutzean, izapidetu behar dituen espedienteak tramitatzea, kontrolatzea eta horien jarraipena egitea.
En cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informo que los datos de carácter personal recogidos se incluirán en el fichero denominado “Expedientes de actividades de control” creado por Resolución de 12 de septiembre de 2005, del Director de la Agencia Vasca de Protección de datos (BOPV nº 197, de 17 de octubre). La finalidad del fichero es la tramitación, control y seguimiento de los expedientes instruidos por la Agencia Vasca de Protección de datos en el ejercicio de su función de tutela de los derechos y reclamaciones de los ciudadanos, así como de las potestades inspectora y sancionadora que la Ley Vasca 2/2004, de 25 de febrero, le atribuye.
Datu horiek honako erakundeei utzi ahal izango zaizkie: datu pertsonalen babesaren esparruan eskudunak diren agintaritzei, Arartekoari, Herriaren Defentsarako Erakundeari eta epaitegiei; horrez gain, legean jasotako bestelako lagapenak ere egin ahal izango dira. Fitxategiaren arduraduna Datuak Babesteko Euskal Bulegoa da. Interesdunak datuak atzitu, zuzendu, ezereztu eta aurak egiteko eskubideak erabili nahi baditu, Datuak Babesteko Euskal Bulegoko Idazkaritza Orokorrera jo beharko du. Helbidea: Tomas Zumarraga Dohatsuaren kalea, 71-3 - 01008 Vitoria–Gasteiz.
Los datos podrán ser cedidos a otras Autoridades competentes en materia de protección de Datos personales, al Ararteko, al Defensor del Pueblo, a los Tribunales, además de otras cesiones previstas en la Ley. El responsable del fichero es la Agencia Vasca de Protección de Datos. El interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante la Secretaría General de la Agencia Vasca de Protección de Datos, sita en la calle Beato Tomás de Zumárraga 71, planta 3ª, 01008 Vitoria-Gasteiz.
Datuak Babesteko Euskal Bulegoak eskainitako inprimaki eredua Modelo de impreso facilitado por la Agencia Vasca de Protección de Datos
2
En las oficinas de Lanbide se está llevando a cabo una recogida de datos biométricos en base a una serie de notificaciones, sobre unas supuestas directrices que se apoyan en comunicaciones reflejadas en los tablones de anuncios de las oficinas del Servicio Vasco de Empleo (documento adjunto 2) con el siguiente texto: “Próximamente va a ser necesaria la identificación digital de los/as usuarios/as de Lanbide. Por ello le invitamos a que una vez finalizada su atención pase por el puesto de recogida de datos biométricos.” Considero que viola los art. 60 y 43 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, en relación con los art. 39, 42, y 58 del mismo texto legal, en especial en base a los siguientes argumentos: Primero. El art. 39 establece que “todo tratamiento de datos personales debe ser lícito y leal”. El art 60 establece la obligación al responsable del tratamiento de facilitar al interesado cuanta información “sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos” y establece que “se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran” y el art. 39 “las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento”. En concreto. Este cartel y notificación incumple los principios de transparencia y claridad, en especial teniendo en cuenta el contexto específico: ¿cuándo es “Próximamente”? ¿En qué sentido va a ser “necesaria”? ¿En base a qué normativa? ¿Tiene Lanbide una bola de cristal o sabe ya lo que va a aprobar el Parlamento? Segundo. Lanbide se está aprovechando de una situación de superioridad con respecto a personas que tienen miedo a perder o a que se les deniegue una prestación por lo que no se puede considerar que el consentimiento sea libre. El art. 43 establece que “para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública”. Tercero. El Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo de Trabajo del Art. 29 ya advirtió de que para que se considere que el consentimiento se ha otorgado libremente tiene que haber una alternativa válida para la identificación. Redacción que avisaba de que, por ejemplo, un sistema que disuada a los interesados de su utilización (que requiera demasiado tiempo del usuario o que sea demasiado complicado) no puede considerarse como una alternativa válida y, por ende, no daría lugar a un consentimiento válido. Cuarto. Así mismo, el consentimiento no se considera libre si es obligatoria su aceptación para determinados trámites. Por este motivo, cabe destacar que este cártel no es una actuación aislada, ya que se puede observar un patrón de conducta en las declaraciones realizadas por parte del Director General de Lanbide, Borja Belandia, en fecha 10 MAYO 2018 en RADIO BILBAO; lo que se aporta como Documento nº 2; y a través del enlace: http://cadenaser.com/emisora/2018/05/10/radio_bilbao/1525976338_858793.html A considerar a partir del minuto 07:25 hasta el 08:50, a su finalización.
Pongo en conocimiento de la Agencia Vasca de Protección de Datos los siguientes hechos:
Adjunto el acuerdo de colaboración entre Lanbide e Izenpe S.A. para la puesta en marcha de medios de identificación electrónicos basados en la captación de datos biométricos de 26 de octubre de 2017 publicado el 26 de marzo de 2018, con el fin de que se pueda examinar si cumple cpon los dispuesto en el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, en especial respecto a los siguientes aspectos:
1. “Lanbide e Izenpe pretenden suscribir el presente acuerdo regulador para el despliegue de medios de identificación electrónica de personas físicas, basado en la captación de datos biométricos, adquiriendo Lanbide la condición de Entidad de Registro de Izenpe (punto 5)”. Izenpe, una empresa, se constituye en el responsable de los ficheros de datos de especial relevancia y Lanbide un mero encargado de tratamiento. Es más, parece que el objetivo del acuerdo viene de un interés de Izenpe y no de un encargo de Lanbide: “Izenpe pretende incorporar nuevos factores de identificación de personas más seguros tales como: emailOTP, smsOTP o factores biométricos, entre los que cabe citar, los rasgos faciales y huellas digitales (punto 2)” 2. No se conoce el respaldo legal para iniciar esta recogida de datos. Hay que tener en cuenta el contexto de tipo de población a la que se “invita” a aportar estos da tos y las consecuencias que tiene en su libertad para aportar el consentimiento: sujetos pasivos de “la gestión de la intermediación y la ejecución de las políticas activas de empleo, así como, la gestión de las prestaciones económicas de garantía de ingresos (punto 3). 3. No se hace mención explícita al deber de información a las personas usuarias sobre sus derechos y sobre los riesgos que esta utilización comporta, de manera que el consetimiento pueda considerarse otorgado con consciencia y libertad. 4. No se conoce que se haya realizado la evaluación del riesgo que obliga el art. 76 del Reglamento UE.