publicidad

Usuarios denuncian a Lanbide por controlarles con la huella digital

Carteles de Berri-Otxoak contra la huella digital en Lanbide
El plan piloto del servicio de empleo controla las huellas de desempleados y perceptores de ayudas sociales que están registrados en las oficinas de Cruces, Portugalete, Sestao, Mazarredo (Bilbao) y Txurdinaga (Bilbao) La medida afecta a cerca de 14.000 personas, de ellas 6.500 son perceptoras de la renta de garantía de ingresos (RGI) 
Usuarios del servicio vasco de empleo Lanbide han presentado una denuncia contra este organismo del Gobierno Vasco por exigir el control mediante huella digital, según ha informado la plataforma contra la exclusión social Berri-Otxoak, de Barakaldo. La demanda pide el amparo de la Agencia de Protección de Datos ante lo que se considera una "ilegal recogida de identificaciones biométricas", que supone el registro de los 10 dedos de las manos y una fotografía telemática del rostro. El escrito de queja señala, además del "incumplimiento de los principios de transparencia y claridad", que Lanbide "se está aprovechando de una situación de inferioridad con respecto a personas que tienen miedo a perder o a que se les deniegue una prestación" si rechazan registrar sus huellas digitales, por lo que "no se puede considerar que el consentimiento sea libre". La denuncia alerta además de que no se cumple la norma de la Unión Europea sobre protección de datos que entra en vigor este 25 de mayo.


Escrito de queja
En cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informo que los datos de carácter personal recogidos se incluirán en el fichero denominado “Expedientes de actividades de control” creado por Resolución de 12 de septiembre de 2005, del Director de la Agencia Vasca de Protección de datos (BOPV nº 197, de 17 de octubre).

La finalidad del fichero es la tramitación, control y seguimiento de los expedientes instruidos por la Agencia Vasca de Protección de datos en el ejercicio de su función de tutela de los derechos y reclamaciones de los ciudadanos, así como de las potestades inspectora y sancionadora que la Ley Vasca 2/2004, de 25 de febrero, le atribuye.

Los datos podrán ser cedidos a otras Autoridades competentes en materia de protección de Datos personales, al Ararteko, al Defensor del Pueblo, a los Tribunales, además de otras cesiones previstas en la Ley. El responsable del fichero es la Agencia Vasca de Protección de Datos. El interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante la Secretaría General de la Agencia Vasca de Protección de Datos, sita en la calle Beato Tomás de Zumárraga 71, planta 3ª, 01008 Vitoria-Gasteiz.

En las oficinas de Lanbide se está llevando a cabo una recogida de datos biométricos en base a una serie de notificaciones, sobre unas supuestas directrices que se apoyan en comunicaciones reflejadas en los tablones de anuncios de las oficinas del Servicio Vasco de Empleo (documento adjunto 2) con el siguiente texto:

“Próximamente va a ser necesaria la identificación digital de los/as usuarios/as de Lanbide. Por ello le invitamos a que una vez finalizada su atención pase por el puesto de recogida de datos biométricos”.

Considero que viola los art. 60 y 43 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, en relación con los art. 39, 42, y 58 del mismo texto legal, en especial en base a los siguientes argumentos:

Primero. El art. 39 establece que “todo tratamiento de datos personales debe ser lícito y leal”. El art 60 establece la obligación al responsable del tratamiento de facilitar al interesado cuanta información “sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos” y establece que “se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran” y el art. 39 “las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento”.

En concreto. Este cartel y notificación incumple los principios de transparencia y claridad, en especial teniendo en cuenta el contexto específico: ¿cuándo es “Próximamente”? ¿En qué sentido va a ser “necesaria”? ¿En base a qué normativa? ¿Tiene Lanbide una bola de cristal o sabe ya lo que va a aprobar el Parlamento?


Segundo. Lanbide se está aprovechando de una situación de superioridad con respecto a personas que tienen miedo a perder o a que se les deniegue una prestación por lo que no se puede considerar que el consentimiento sea libre.

El art. 43 establece que “para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública”.


Tercero. El Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo de Trabajo del Art. 29 ya advirtió de que para que se considere que el consentimiento se ha otorgado libremente tiene que haber una alternativa válida para la identificación.

Redacción que avisaba de que, por ejemplo, un sistema que disuada a los interesados de su utilización (que requiera demasiado tiempo del usuario o que sea demasiado complicado) no puede considerarse como una alternativa válida y, por ende, no daría lugar a un consentimiento válido.


Cuarto. Así mismo, el consentimiento no se considera libre si es obligatoria su aceptación para determinados trámites. Por este motivo, cabe destacar que este cártel no es una actuación aislada, ya que se puede observar un patrón de conducta en las declaraciones realizadas por parte del Director General de Lanbide, Borja Belandia, en fecha 10 MAYO 2018 en RADIO BILBAO; lo que se aporta como Documento nº 2; y a través del enlace: http://cadenaser.com/emisora/2018/05/10/radio_bilbao/1525976338_858793.html A considerar a partir del minuto 07:25 hasta el 08:50, a su finalización.


Pongo en conocimiento de la Agencia Vasca de Protección de Datos los siguientes hechos:


Adjunto el acuerdo de colaboración entre Lanbide e Izenpe S.A. para la puesta en marcha de medios de identificación electrónicos basados en la captación de datos biométricos de 26 de octubre de 2017 publicado el 26 de marzo de 2018, con el fin de que se pueda examinar si cumple con los dispuesto en el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, en especial respecto a los siguientes aspectos:


1. “Lanbide e Izenpe pretenden suscribir el presente acuerdo regulador para el despliegue de medios de identificación electrónica de personas físicas, basado en la captación de datos biométricos, adquiriendo Lanbide la condición de Entidad de Registro de Izenpe (punto 5)”. Izenpe, una empresa, se constituye en el responsable de los ficheros de datos de especial relevancia y Lanbide un mero encargado de tratamiento. Es más, parece que el objetivo del acuerdo viene de un interés de Izenpe y no de un encargo de Lanbide: “Izenpe pretende incorporar nuevos factores de identificación de personas más seguros tales como: emailOTP, smsOTP o factores biométricos, entre los que cabe citar, los rasgos faciales y huellas digitales (punto 2)”


2. No se conoce el respaldo legal para iniciar esta recogida de datos. Hay que tener en cuenta el contexto de tipo de población a la que se “invita” a aportar estos da tos y las consecuencias que tiene en su libertad para aportar el consentimiento: sujetos pasivos de “la gestión de la intermediación y la ejecución de las políticas activas de empleo, así como, la gestión de las prestaciones económicas de garantía de ingresos (punto 3).


3. No se hace mención explícita al deber de información a las personas usuarias sobre sus derechos y sobre los riesgos que esta utilización comporta, de manera que el consetimiento pueda considerarse otorgado con consciencia y libertad.


4. No se conoce que se haya realizado la evaluación del riesgo que obliga el art. 76 del Reglamento UE.

---

Nota de prensa
Personas usuarias del Servicio Vasco de Empleo presentan denuncia ante la Agencia de Protección de datos por la puesta en marcha de la “Huella Digital” en las oficinas de Lanbide.

Estas personas manifestarán de forma pública su firme rechazo a esta ilegal recogida de identificaciones biométricas: los 10 dedos de ambas manos y una foto telemática del rostro. Por lo cual solicitarán la intervención de la Agencia de Protección de Datos.

En la medida que este viernes es de obligado cumplimiento la directiva europea (Reglamento General de Protección de Datos), qué es mucho más restrictiva en cuanto al uso, gestión y recogida de datos personales. Este precepto de la UE señala que “para que se pueda considerar que el consentimiento es voluntario, negarse no puede tener ninguna repercusión negativa, ni mayores dificultades burocráticas para el acceso o ejercicio de derechos”.

Hay que tener en cuenta que desde el 19 de marzo se ha habilitado una sala donde se recogen los datos biométricos de cada una de las personas usuarias de las 5 oficinas piloto en Bizkaia: Portugalete, Sestao, Barakaldo Gurutzeta/Cruces; Mazarredo y Txurdinaga en Bilbao. Para lo que se ha contrato a una persona para cada una de estas oficinas, la cual es la encargada de esta gestión.

En concreto, se están viendo afectadas en Bizkaia cerca de 14.000 personas usuarias, de ellas 6.500 son perceptoras de la RGI.

La intención que tiene Lanbide es que cualquier persona que se acerque a realizar algún tipo de gestión: sellar el paro, informarse sobre cursillos de formación o gestiones relacionadas con la RGI. Se las derivará al cuarto habilitado para la recogida invasiva de los datos biométricos de las personas desempleadas, pensionistas o con empleos precarios que utilicen sus servicios.

Ante la intención de criminalizar a los municipios y barrios con mayor desempleo. En la medida que la implantación de la “Huella Digital” es totalmente irregular y no ajustada a derecho. Se realizará denuncia ante la Agencia de Protección de Datos. Fundamentada en varios motivos…

-Obligatoriedad de análisis de riesgo y evaluación del impacto sobre el derecho fundamental

La Unión Europea exige en su artículo 90 del Reglamento 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales. Que se lleve a cabo, antes de la implantación de la recogida masiva de datos biométricos, una evaluación de impacto sobre los derechos fundamentales con el fin de valorar la particular gravedad y probabilidad del alto riesgo de la utilización de estos datos. Análisis y evaluación que no ha sido realizada por Lanbide.

-Principio general: prohibición de utilización de datos biométricos

La Unión Europea establece como principio general la prohibición del tratamiento de datos biométricos. Por otro lado, advierte de los riesgos que conlleva la utilización de datos biométricos para grandes bases de datos centralizadas, dadas las consecuencias potencialmente perjudiciales parar las personas afectadas, tanto en el caso de desvío como de violación de los datos o la privacidad.

-Importante impacto en la dignidad humana

En su Dictamen 3/2012, la Unión Europea alerta sobre el importante impacto en la dignidad humana de las personas a las que se les aplica sistemas de identificación biométricos y las implicaciones en cuestión de derechos fundamentales.
En esta línea, la Agencia Vasca de Protección de Datos, por voz de su directora Margarita Uria, ya ha manifestado ante la comisión de Derechos Humanos del Parlamento Vasco que el “uso de la biometría puede conllevar un mayor impacto sobre la dignidad, la desprotección de la intimidad y la privacidad de personas vulnerables”.

-No hay consentimiento libre

Cabe destacar, que el artículo 43 del Reglamento de la UE señala expresamente que “en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública. Es improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación”. Circunstancias que se dan de facto en las oficinas de Lanbide sobre las personas usuarias.

Baste como ejemplo el documento para la “AUTORIZACIÓN PARA CONSULTAR DATOS EN FICHEROS PÚBLICOS” que Lanbide obliga a firmar a las personas solicitantes de RGI/PCV. Donde no se explica que es una facultad de la persona usuaria; ni se informa sobre que puede ser revocado; o la manera de hacerlo.

Documento que finaliza, además, con una clausula extensiva contraria a derecho ya que la persona usuaria y sus familiares prestarían su consentimiento para “cualquier otro dato de carácter personal que sea necesario para la finalidad mencionada”. Por otro lado, no se permite autorizar por separado las distintas operaciones de tratamiento de datos personales, ni que cada persona preste su consentimiento para unos documentos pero no para otros.

Todas estas circunstancias ejemplifican las continuas malas prácticas que se producen a diario en las oficinas e Lanbide; donde el consentimiento que se exige es totalmente ilegal. Siendo prueba de que no existe ninguna “voluntariedad” ni relación de horizontalidad a la hora de relacionarse con Lanbide.

Colectivos sociales de Bizkaia:
Argilan-ESK, Argitan (Centro Asesor de la Mujer de Barakaldo), Asociación de Trabajadoras de Hogar de Bizkaia, Baietz Basauri!, Berri-Otxoak (Barakaldo), Brujas y Diversas, Danok Lan (Galdakao), Elkartzen, Mujeres del Mundo, Oficina de Derechos Sociales de Portugalete, Posada de los Abrazos, Punto de Información de Santurtzi, SOS Racismo y PAH Kaleratzerik EZ-PAH Bizkaia.

Queja ante la Agencia Protección de Datos - Implantación Huella Digital

En las oficinas de Lanbide se está llevando a cabo una recogida de datos biométricos en base a una serie de notificaciones, sobre unas supuestas directrices que se apoyan en comunicaciones reflejadas en los tablones de anuncios de las oficinas del Servicio Vasco de Empleo con el siguiente texto:

“Próximamente va a ser necesaria la identificación digital de los/as usuarios/as de Lanbide. Por ello le invitamos a que una vez finalizada su atención pase por el puesto de recogida de datos biométricos.”

Considero que viola los artículos 60 y 43 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, en relación con los art. 39, 42, y 58 del mismo texto legal, en especial en base a los siguientes argumentos:

Primero. El art. 39 establece que “todo tratamiento de datos personales debe ser lícito y leal”. El art 60 establece la obligación al responsable del tratamiento de facilitar al interesado cuanta información “sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos” y establece que “se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran” y el art. 39 “las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento”.

En concreto. Este cartel y notificación incumple los principios de transparencia y claridad, en especial teniendo en cuenta el contexto específico: ¿cuándo es “Próximamente”? ¿En qué sentido va a ser “necesaria”? ¿En base a qué normativa? ¿Tiene Lanbide una bola de cristal o sabe ya lo que va a aprobar el Parlamento?

Segundo. Lanbide se está aprovechando de una situación de superioridad con respecto a personas que tienen miedo a perder o a que se les deniegue una prestación por lo que no se puede considerar que el consentimiento sea libre.

El art. 43 establece que “para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública”.

Tercero. El Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo de Trabajo del Art. 29 ya advirtió de que para que se considere que el consentimiento se ha otorgado libremente tiene que haber una alternativa válida para la identificación.

Redacción que avisaba de que, por ejemplo, un sistema que disuada a los interesados de su utilización (que requiera demasiado tiempo del usuario o que sea demasiado complicado) no puede considerarse como una alternativa válida y, por ende, no daría lugar a un consentimiento válido.

Cuarto. Así mismo, el consentimiento no se considera libre si es obligatoria su aceptación para determinados trámites.

Por este motivo, cabe destacar que este cártel no es una actuación aislada, ya que se puede observar un patrón de conducta en las declaraciones realizadas por parte del Director General de Lanbide, Borja Belandia, en fecha 10 MAYO 2018 en RADIO BILBAO; o lo expresado el pasado 13 de mayo por la Consejera de Empleo y Políticas Sociales, Beatriz Artolazabal, en entrevista al diario El Correo.

En esta línea, se pone en conocimiento de la Agencia Vasca de Protección de Datos los siguientes hechos; como ejemplo de la falta de voluntariedad y nula relación horizontal entre las personas usuarias y Lanbide:


El documento AUTORIZACIÓN PARA CONSULTAR DATOS EN FICHEROS PÚBLICOS que Lanbide obliga a firmar a las personas solicitantes de RGI/PCV y que se encuentra como ANEXO I – SOLICITUD RGI/PCV
http://www.lanbide.euskadi.eus/contenidos/informacion/rgi_impresos_solicitudes/eu_def/adjuntos/RGI-MOD-001-A1-006-CS%20Anexo%20I.pdf

Primero. incumple los requisitos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el art 43 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016
Segundo. al no poder presumirse que el consentimiento se haya otorgado libremente:

Tercero. ya que no permite autorizar por separado las distintas operaciones de tratamiento de datos personales, ni que cada persona preste su consentimiento para unos documentos pero no para otros.

Cuarto. se hace depender el derecho a la RGI/PCV de la firma del documento, por lo que la prestación de un servicio, se hace dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento.

Quinto. no explica que es una facultad de la persona usuaria.

Sexto. no informa sobre que puede ser revocado ni la manera de hacerlo.

Séptimo. finaliza con una clausula extensiva contraria a derecho ya que la persona usuaria y sus familiares prestarían su consentimiento para “cualquier otro dato de carácter personal que sea necesario para la finalidad mencionada”.

Además, hay que entenderlo en el contexto de la relación con Lanbide en la que la persona usuaria está en una situación de necesidad y corre el riesgo de que se le deniegue o se suspenda.

El Ararteko en su INFORME-DIAGNÓSTICO CON PROPUESTAS DE MEJORA SOBRE LA GESTIÓN DE LAS PRESTACIONES DE RENTA DE GARANTÍA DE INGRESOS Y PRESTACIÓN COMPLEMENTARIA DE VIVIENDA POR LANBIDE, 2017 .(PAG.15) http://www.ararteko.eus/RecursosWeb/DOCUMENTOS/1/0_4199_3.pdf ha detectado carencias en la información que se ofrece a las personas con relación a los requisitos y a las obligaciones que deben reunir o respecto al alcance del consentimiento de las personas que se presta para solicitar datos e informes a otras administraciones públicas y las consecuencias que ello conlleva. Y constata que en ocasiones la información no es ajustada a las previsiones normativas o bien es incompleta e insuficiente.