La CNIL en Francia ha publicado un artículo donde explica el derecho de acceso de los trabajadores bajo el RGPD.
El artículo 15 del RGPD brinda a los interesados el derecho de solicitar del responsable una copia de sus datos personales, lo cual también se aplica cuando el interesado es un trabajador y el responsable, la empresa. En una publicación reciente, la CNIL explica cómo deben proceder las empresas cuando reciben este tipo de solicitudes por parte de sus empleados y antiguos empleados. El primer elemento que debe verificarse es la identidad de la persona que requiere la información y, en caso de que la organización tenga dudas en torno a la misma, podrá pedir una prueba que lo confirme. Sin embargo, esto no será necesario cuando se utilice el correo de empresa o la intranet de la compañía para ejercer dicho derecho. De igual manera, la identidad puede demostrarse mediante un identificador profesional.
Los trabajadores deben recibir sus datos y tener el derecho de solicitar una rectificación de los mismos o su eliminación.
Los empleados y los antiguos empleados pueden solicitar una copia de todos los datos personales que la empresa tiene sobre ellos, y deberán recibirlos en un formato de fácil acceso y comprensión que les permita comprobar la veracidad de la información. Los interesados también tienen derecho a conocer otra información como la finalidad del tratamiento, las categorías de datos que se tratan y el nombre de otras compañías que hayan obtenido sus datos, entre otros elementos. Asimismo podrán pedir que sus datos sean rectificados o eliminados. Todas estas solicitudes deberán tramitarse sin coste para el interesado, salvo que las mismas sean infundadas o excesivas, por ejemplo cuando cuentan con un carácter repetitivo. Cabe recordar que el derecho de acceso se refiere a los datos y no a los documentos, aunque la organización puede decidir compartir los documentos si resulta más práctico.
Las empresas han de proteger los derechos de terceros cuando respondan a solicitudes de copias de emails profesionales.
Los empleados pueden solicitar el acceso a los correos profesionales cuando ellos figuran como el emisor o el receptor de los mismos, o si aparecen mencionados en ellos. En aquellos casos en que el empleado fue el emisor o el receptor, se asume que el interesado tenía conocimiento previo de la información contenida en los mensajes solicitados, por lo que se presume que el cumplimiento con este tipo de solicitudes respeta los derechos de terceros. Sin embargo, en aquellas situaciones en las que el solicitante es únicamente mencionado en el contenido de los correos, es importante que la empresa proteja los derechos y las identidades de terceros. Se recomienda que en primer lugar la compañía intente eliminar, anonimizar o pseudonimizar los datos. Si estas medidas son insuficientes, será necesario que se rechace el derecho de acceso y se expliquen las razones que justifican dicha decisión.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.