Desde el ámbito de protección de datos, cuando compartimos pantalla y mostramos datos de compañeros o clientes pueden surgir dudas sobre la legalidad de esta acción. ¿Es correcto mostrar datos personales en streaming? Lo cierto es que no hay una única respuesta, ya que dependerá de cada caso concreto y habrá que valorar el contexto, el tipo de datos y el tratamiento que llevamos a cabo sobre ellos. Con todo, no se deben perder de vista los pactos de confidencialidad, así como los asuntos internos del departamento.
Antes de nada, conviene matizar que no todos los datos son personales. Para saber si estamos ante este tipo de datos, el RGPD en su art. 4.1 nos da una definición un tanto ambigua: “los datos personales son cualquier información relativa a una persona física viva identificada o identificable…”. Consecuentemente, no todos los datos que compartimos entran dentro del ámbito de aplicación de la normativa de protección de datos. Sin perjuicio de posibles riesgos y pactos de confidencialidad, datos como el IBAN de una empresa o correos personales genéricos como atentioncliente@empresa.com no se considerarían datos personales.
Retomando la pregunta inicial, hay datos personales que pueden mostrarse al compartir pantalla y otros que no. Para distinguirlos es necesario identificar cuál es el tratamiento de datos que realizamos. Es decir, no es lo mismo recoger datos personales para la gestión del pago de nóminas, que recoger datos personales para llevar a cabo el registro de entrada y salida de visitantes a las oficinas. Cada tratamiento de datos personales será lícito si cumple con alguna de las causas/bases de legitimación que establece el art. 6 del RGPD, es decir, el caso del consentimiento, la necesidad para el correcto desarrollo del tratamiento, el cumplimiento de la obligación legal o por intereses vitales del interesado, por nombrar algunos de los casos. Estas bases de legitimación nos habilitan para tratar únicamente los datos personales necesarios para el tratamiento concreto.
En el supuesto de que compartamos pantalla, habrá que centrarse en el tratamiento de los datos que vayamos a mostrar (teniendo cuidado de no mostrar información indebida en segundo plano) y también habrá que tener en cuenta el contexto, es decir, el alcance del visionado de los datos y aquellas personas que pueden tener acceso a visualizar el contenido mostrado. Por ejemplo, cuando compartimos pantalla para gestionar brechas de seguridad o cuando lo hagamos en la homologación de un proveedor, deberemos acudir al tratamiento de datos concreto, no al hecho de compartir pantalla, y habrá que analizar a quiénes estamos mostrando la información y acceso al visionado.
Una vez que sepamos cuál es el tratamiento de datos que estamos llevando a cabo, la base legitimadora nos dará la respuesta a la pregunta con la que empezábamos: ¿es correcto mostrar datos personales en streaming? Solo podremos compartir datos personales en streaming cuando la base legitimadora nos lo permita y solo podremos mostrar datos de los individuos que queden amparados bajo dicha base legitimadora; teniendo cuidado de no mostrar en un segundo plano datos relacionados con otros clientes, o que comprometan datos personales o seguridad de la propia empresa o terceros.
Por ejemplo, si tratamos datos personales para dar un servicio de auditorías a un cliente, nuestra base legitimadora será la ejecución de un contrato (art. 6.1.b RGPD). Esta base legitimaría el tratamiento de los datos necesarios para la ejecución de dicho contrato con el cliente. Consecuentemente solo podría compartir pantalla y mostrar los datos personales que trato para lo estipulado en el contrato y con las personas involucradas en el servicio.
Conclusiones
No es correcto mostrar datos personales, salvo excepciones. No se trata de una valoración libre, basada únicamente en RGPD, sino también en temas de funcionamiento interno y confidencialidad. Por lo tanto, además de considerar la parte regulatoria o subsumible en una sanción, debe contemplarse la confidencialidad, la responsabilidad organizacional y el sentido común.
Recomendaciones
Mostrar información indebida puede derivar en una brecha de privacidad o seguridad. Para evitarlo y hacer frente a los riesgos inherentes que lleva aparejada esta acción, incluimos una serie de recomendaciones:
- Conocer el tratamiento de datos personales que llevamos a cabo, así como su base legitimadora.
- Conocer si existen pactos de confidencialidad y el funcionamiento interno de NTTDATA.
- Antes de comenzar a compartir pantalla, organizar toda la información que se va a mostrar o que puede mostrarse durante la sesión. Cerrar todos aquellos documentos que contengan información de otros proyectos.
- Se debe tomar la precaución de mostrar únicamente la aplicación que se desee mostrar, y no la pantalla general.
- No proyectar un correo electrónico desde la bandeja de entrada, puesto que se proyectarían los demás correos con remitentes y otros datos.