La CNIL explica las condiciones bajo las que los subcontratistas pueden reutilizar los datos personales

La CNIL explica las condiciones y el contexto específicos que deben darse para que los subcontratistas puedan reutilizar los datos personales. 

 

Bajo el RGPD, deben darse numerosas condiciones a fin de que los subcontratistas puedan reutilizar los datos proporcionados por el responsable. La autoridad de supervisión de Francia, la CNIL, ha señalado el contexto específico bajo el que un subcontratista puede reutilizar los datos personales. Debe recordarse que normalmente los encargados sólo tratan los datos personales conforme a las instrucciones del responsable, y nunca con una finalidad propia. Sin embargo, en algunos casos el subcontratista podría querer reutilizar los datos para un propósito específico, como mejorar sus productos o servicios. Cuando esto ocurra, el responsable podría autorizar al subcontratista a reutilizar los datos para sus propios fines, pero únicamente en cumplimiento de circunstancias muy concretas. La CNIL ha explicado estas condiciones en un artículo que ha publicado recientemente. Es importante indicar que, en tales circunstancias, el encargado pasaría a ser el responsable de dichos tratamientos una vez que haya sido autorizado por el responsable para llevarlos a cabo. 

 

Antes de que un subcontratista pueda comenzar a tratar datos personales, debe realizarse un test de compatibilidad. 

 

Antes de que pueda tener lugar ningún tratamiento ulterior o tratamiento posterior a la recogida de los datos (con finalidades diferentes a las iniciales), el responsable debe realizar un test de compatibilidad. El objetivo de esta prueba es determinar si este tratamiento posterior es compatible con la finalidad para la que inicialmente se recogieron los datos, y para decidirlo, el responsable considerará la existencia de algún tipo de vínculo entre el tratamiento inicial y el tratamiento subsiguiente. Entre otros factores de importancia se incluyen el contexto en el cual se recogieron los datos y la naturaleza de los mismos. También deben tenerse en cuenta la aplicación de garantías apropiadas, como el cifrado y la pseudonimización. El test de compatibilidad ha de tener lugar para una actividad de tratamiento específica, y abarcar las finalidades y las características de cada operación para la cual el subcontratista pretenda utilizar los datos. El responsable del tratamiento es entonces libre de otorgar su consentimiento o no, sólo si los resultados de la prueba son satisfactorios. 

 

La autorización para la reutilización de los datos debe emitirse por escrito, y el responsable tendrá que informar a los interesados. 

 

El RGPD requiere que el tratamiento de datos por parte de un subcontratista se regule mediante contrato u otro acto legal, lo que incluye el formato electrónico.  Además, el responsable del tratamiento deberá asegurar que los interesados son debidamente informados de la reutilización de sus datos con nuevas finalidades. En concreto, el responsable debe indicar si es posible oponerse a ello. En la práctica se recomienda que el responsable inicial proporcione, si es posible, toda la información acerca del tratamiento. El responsable puede delegar esta tarea si el subcontratista ya tiene los datos de contacto de las personas afectadas.  

 

La responsabilidad de asegurar el cumplimiento en los tratamientos posteriores reside en el subcontratista. 

 

El subcontratista es responsable de asegurar que el nuevo tratamiento cumple con el RGPD, y en caso contrario podría ser sancionado por la CNIL. Deberá confirmar que los datos se tratan conforme a la normativa y sólo con las finalidades para las cuales se ha dado consentimiento escrito. Como el responsable de todo tratamiento ulterior, debe garantizar que cumple un propósito bien definido y que lo hace de acuerdo a una base legal adaptada específicamente para este fin.   

 

El artículo de la CNIL hace una mención concreta a la necesidad de definir un período de retención adecuado y asegurar que los interesados reciben toda la información relativa a cualquier recogida indirecta que no se haya puesto a su disposición por parte del responsable inicial (sujeto a las excepciones que sean aplicables). También se debe prestar atención especial a las medidas de seguridad pertinentes, a la minimización de datos y en general a la protección de los derechos de los interesados.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

El EDPS sanciona al Parlamento Europeo por el uso de Google Analytics

La realización de transferencias ilegales a Estados Unidos por parte del Parlamento Europeo deriva en una sanción impuesta por el EDPS. 

 

Tras una reclamación presentada hace aproximadamente un año, el Parlamento Europeo ha sido sancionado por el EDPS por la realización de transferencias ilegales a Estados Unidos, entre otras infracciones. El uso de Google Analytics y Stripe (ambas compañías estadounidenses) por parte del Parlamento Europeo en su página web de pruebas Covid-19 no se llevaba a cabo conforme a la resolución del TJUE en el caso “Schrems II” sobre transferencias internacionales a terceros países. En la reclamación enviada en enero de 2021 por nyob se señalaban distintas presuntas infracciones, entre ellas banners de cookies engañosos, políticas de privacidad con redacción vaga e imprecisa y transferencias de datos ilegales a Estados Unidos. Si bien no se impuso multa por estos hechos, el Parlamento Europeo fue amonestado y se le actualizar su política de protección de datos y abordar las demás cuestiones planteadas en el plazo de un mes.  

 

Las transferencias de datos personales de Europa a Estados Unidos están sujetas a condiciones muy estrictas y debe garantizar un nivel adecuado de protección. 

 

Desde la decisión en el caso Schrems II, las transferencias de datos a terceros países y en concreto a Estados Unidos se han visto sometidas a un mayor escrutinio, debido a que en la mayoría de casos no se puede asegurar una adecuada protección de los datos. Este es el caso de la página web de pruebas Covid-19 ofrecida por el Parlamento Europeo. Conforme al EDPS, “el Parlamento no entregó ninguna documentación, evidencia u otra información relativa a las medidas contractuales, técnicas u organizativas que garantizasen un nivel de protección equivalente al de la Unión Europea a los datos transferidos a Estados Unidos en el contexto del uso de cookies en la página web”. Los datos almacenados incluían datos de salud, como síntomas y resultados de los test de Covid-19, lo cual se considera una categoría especial de datos personales y, por tanto, datos particularmente sensibles.  

 

El EDPS concluyó que el Parlamento Europeo había infringido varios artículos del RGPD y emitió por ello un apercibimiento. 

 

La instalación de cookies mediante un proveedor estadounidense sin las medidas apropiadas de protección es una infracción de la normativa europea, pues abre la puerta a posible vigilancia por parte de organismos públicos del tercer país. La reclamación de noyb también mencionaba que los banners eran engañosos y poco claros, pues no listaban todas las cookies utilizadas y había diferencias entre las distintas versiones de idiomas. Como resultado, el consentimiento no podía considerarse válido. El Parlamento Europeo eliminó las cookies de la página web durante la investigación. 

 

En la reclamación de noyb se señalaban también diversos problemas de transparencia, dado que se indicaba que la política de privacidad no era clara e incluía referencias a bases legítimas erróneas. En consecuencia, la política de privacidad se modificó en el curso de la investigación, pero dichos cambios no mejoraron la situación de cumplimiento con la normativa, e incluso la empeoraron. El EDPS concluyó que el Parlamento Europeo infringía así la obligación de transparencia del RGPD. Además, se descubrió que el Parlamento no respondía de manera adecuada a los derechos de acceso ejercidos por los reclamantes. El EDPS determinó por todo ello que el Parlamento Europeo no cumplía con varios artículos del RGPD y le sancionó con un apercibimiento conforme al artículo 58(2)(b) del RGPD. 

¿Realizas transferencias internacionales de datos a terceros países?  Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

El derecho de acceso de los trabajadores: ¿cómo funciona?

La CNIL en Francia ha publicado un artículo donde explica el derecho de acceso de los trabajadores bajo el RGPD. 

 

El artículo 15 del RGPD brinda a los interesados el derecho de solicitar del responsable una copia de sus datos personales, lo cual también se aplica cuando el interesado es un trabajador y el responsable, la empresa. En una publicación reciente, la CNIL explica cómo deben proceder las empresas cuando reciben este tipo de solicitudes por parte de sus empleados y antiguos empleados. El primer elemento que debe verificarse es la identidad de la persona que requiere la información y, en caso de que la organización tenga dudas en torno a la misma, podrá pedir una prueba que lo confirme. Sin embargo, esto no será necesario cuando se utilice el correo de empresa o la intranet de la compañía para ejercer dicho derecho. De igual manera, la identidad puede demostrarse mediante un identificador profesional.  

 

Los trabajadores deben recibir sus datos y tener el derecho de solicitar una rectificación de los mismos o su eliminación.

 

Los empleados y los antiguos empleados pueden solicitar una copia de todos los datos personales que la empresa tiene sobre ellos, y deberán recibirlos en un formato de fácil acceso y comprensión que les permita comprobar la veracidad de la información. Los interesados también tienen derecho a conocer otra información como la finalidad del tratamiento, las categorías de datos que se tratan y el nombre de otras compañías que hayan obtenido sus datos, entre otros elementos. Asimismo podrán pedir que sus datos sean rectificados o eliminados. Todas estas solicitudes deberán tramitarse sin coste para el interesado, salvo que las mismas sean infundadas o excesivas, por ejemplo cuando cuentan con un carácter repetitivo. Cabe recordar que el derecho de acceso se refiere a los datos y no a los documentos, aunque la organización puede decidir compartir los documentos si resulta más práctico. 

 

Las empresas han de proteger los derechos de terceros cuando respondan a solicitudes de copias de emails profesionales. 

 

Los empleados pueden solicitar el acceso a los correos profesionales cuando ellos figuran como el emisor o el receptor de los mismos, o si aparecen mencionados en ellos. En aquellos casos en que el empleado fue el emisor o el receptor, se asume que el interesado tenía conocimiento previo de la información contenida en los mensajes solicitados, por lo que se presume que el cumplimiento con este tipo de solicitudes respeta los derechos de terceros. Sin embargo, en aquellas situaciones en las que el solicitante es únicamente mencionado en el contenido de los correos, es importante que la empresa proteja los derechos y las identidades de terceros. Se recomienda que en primer lugar la compañía intente eliminar, anonimizar o pseudonimizar los datos. Si estas medidas son insuficientes, será necesario que se rechace el derecho de acceso y se expliquen las razones que justifican dicha decisión. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

PROTECCIÓN DE DATOS Y RGDP: LO QUE HEMOS APRENDIDO DEL 2021

El sector de la protección de datos evoluciona de manera continua impulsado por la implementación y aplicación del RGPD, por parte de las organizaciones y de las autoridades de control respectivamente.

Nuevo año, ¿nuevos comienzos? No siempre es el caso, al menos no cuando el año anterior ha brindado novedades de gran importancia. El RGPD es todavía una normativa relativamente nueva si se tiene en cuenta que se lleva aplicando desde 2018, y por tanto se sigue generando aprendizaje en torno al mismo, incluidas las organizaciones, las autoridades de control y la sociedad en general. Este es el motivo por el que es necesario seguir de cerca cualquier desarrollo en la industria, pues todos ellos pueden ser determinantes para el futuro de la protección de datos. En este artículo repasamos los principales hitos del 2021.

Schrems II y las nuevas SCCs

Tras la sentencia del caso Schrems II y las advertencias que el TJUE realizó en torno al uso de las Cláusulas Contractuales Tipo (SCCs), la Comisión Europea adoptó en junio de 2021 nuevas SCCs para la transferencia de datos personales a terceros países, tal y como informamos en el blog de Aphaia. Las nuevas SCCs se centran en la practicidad y la flexibilidad, pues toman un enfoque modular que las hace adecuadas para transferencias de cualquier tipo, independientemente del rol que tome el responsable o el encargado como importador o exportador de los datos. Las nuevas SCCs también incluyen una serie de medidas adicionales que pretenden ayudar a responsables y encargados a realizar transferencias seguras sobre la base de una Evaluación de Impacto de Transferencia, una herramienta que permite identificar los riesgos de la transferencia y la capacidad de las partes para cumplir con las cláusulas. 

Debe tenerse en cuenta que la ICO no se ha pronunciado todavía sobre las nuevas SCCs, y entre sus planes se encuentra la publicación de sus propias cláusulas para las transferencias restringidas que se realicen desde Reino Unido. 

Otras novedades

Junto a las nuevas SCCs para transferencias internacionales, la Comisión Europea también publicó otro conjunto de SCCs que recoge los requisitos del Artículo 28 del RGPD. Sin embargo, al contrario que las SCCs para transferencias internacionales, esta herramienta no es obligatoria y los responsables y encargados pueden utilizar sus propios términos para los acuerdos de encargado de tratamiento. 

Entre los elementos que no son nuevos del 2021 pero que sí han tenido gran relevancia durante el año, encontramos la normativa de cookies y el concepto de corresponsabilidad. Muchas organizaciones están todavía actualizando sus banners de cookies para recoger consentimiento de manera individual para todas las cookies que no sean estrictamente necesarias. Las cookies son también importantes en la determinación del rol de las partes en cuanto a protección de datos pues, como cualquier otro tratamiento conjunto, si hay dos o más partes involucrada éstas pueden dar lugar a corresponsabilidad como resultado de decisiones convergentes. 

Aplicación del RGPD

El impacto del trabajo desempeñado por las autoridades de control no puede todavía dilucidarse con claridad porque, por un lado, el RGPD lleva en aplicación apenas cuatro años, por otro, las investigaciones son largas y pueden llevar varios meses y, finalmente, porque cada autoridad de control tiene sus propios criterios más allá del artículo 83 del RGPD. Por ejemplo, la normativa nacional de Portugal prevé una moratoria de tres años para las multas administrativas impuestas al sector público. Por otro lado, en España no se pueden imponer multas al sector público. Una unificación de acciones y de los criterios a lo largo de los Estados Miembros de la UE reforzaría el mecanismo de consistencia recogido en el RGPD al impulsar una aplicación consistente de la normativa a nivel comunitario.  

Asimismo es posible que el papel de las autoridades de control experimente algunos cambios conforme vayan entrando en aplicación nuevas normativas, como la Propuesta de Reglamento de IA de la UE. 

En lo que respecta a las multas por incumplimiento del RGPD, si bien se aprecia un incremento significativo en los últimos meses, debe valorarse que no sólo la cantidad de la misma es importante, sino también el coste del proceso y el riesgo reputacional.   

He tenido la oportunidad de hablar sobre estos temas con JC Gaillard de Corix Partners en su Cyber Security Transformation Podcast. Puedes escucharlo [aquí].

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.