Una empresa ha sido multada por la Autoridad Holandesa de Protección de Datos por no eliminar datos después de recibir tales solicitudes, infringiendo así el derecho al olvido del RGPD.
La Autoridad Holandesa de Protección de Datos (DPA) ha impuesto una multa de 6.000 euros a una empresa de selección de personal, en la que solicitantes de empleo pueden registrarse si están interesados en recibir intermediación para optar a puestos en empresas con ofertas activas. La multada está motivada por no eliminar los datos de tres personas diferentes después de que así lo solicitaran. Bajo el Reglamento General de Protección de Datos (RGPD), los interesados pueden pedir que se eliminen sus datos personales, por ejemplo, si ya no son necesario para la prestación del servicio. La empresa de selección recibió varias solicitudes de supresión de datos, sin embargo, en algunos casos, nombres, direcciones de domicilio, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y CVs con información sobre educación y experiencia laboral permanecieron en la base de datos de la más tiempo del plazo previsto por el RGPD para cumplir con la solicitud. Como resultado, la empresa continuó contactando con estas personas sobre vacantes. Tras una investigación por parte de la DPA holandesa, se descubrió que la empresa de selección sí tenía un protocolo para facilitar las solicitudes de eliminación de datos pero en la práctica no se pudo ejecutar en diversas ocasiones. En retrospectiva, la empresa ha examinado su política interna y ha ajustado varios puntos para mejorar este problema, lo cual fue tenido en cuenta por la DPA holandesa al determinar la cantidad de la multa.
La minimización de datos es un principio esencial que ayuda a las organizaciones a mantener el cumplimiento en relación con la recogida y tratamiento de los datos de las personas.
Las organizaciones deben recoger y tratar únicamente la información necesaria para los fines previstos y para ello es preciso que se adhieran a las prácticas de minimización de datos que les permitan proteger la privacidad de los interesados y cumplir con el RGPD. Al minimizar la cantidad de datos personales tratados, y hacerlo solo por el tiempo estipulado, las empresas pueden reducir el riesgo de posibles infracciones y accesos no autorizado. Este enfoque proactivo no solo protege la información sensible de las personas, sino que también fomenta la confianza y credibilidad en los clientes. Además, garantizar que los datos personales solo se retengan por razones válidas y se eliminen rápidamente cuando ya no sean necesarios demuestra un compromiso con las prácticas éticas de tratamiento de datos. Al adherirse a los principios de minimización de datos, las organizaciones pueden mejorar sus estrategias de protección de datos y evitar riesgos legales y de reputación asociados con la gestión inadecuada de la información. En última instancia, el tratamiento responsable y transparente de los datos personales es crucial para garantizar prácticas comerciales seguras en un mundo cada vez más impulsado por los datos.
El RGPD describe las circunstancias bajo las cuales deben cumplirse las solicitudes de supresión de datos.
Los Considerandos 65 y 66 y el Artículo 17 del RGPD tratan sobre el derecho al olvido. El RGPD especifica que los interesados tienen derecho a solicitar la supresión de sus datos personales por parte del responsable sin demora indebida, y este debe cumplir si se cumplen ciertas condiciones. El término “demora indebida” no está definido en el RGPD, pero en cualquier caso la solicitud tiene que cumplirse en el plazo de un mes. Este período solo puede extenderse por dos meses más en circunstancias muy limitadas, teniendo en cuenta la complejidad y el número de solicitudes. Además, se deben tomar medidas razonables para confirmar que la persona que solicita la supresión es realmente el sujeto de los datos. El RGPD estipula que los interesados pueden ejercer su derecho al olvido una vez que los datos personales ya no sean necesarios para la finalidad por la cual una organización los recopiló o trató originalmente o si la base de la empresa para tratar los datos es el consentimiento de la persona y este consentimiento ha sido retirado, entre otras razones. Dicho esto, hay situaciones en las que el derecho de una organización a tratar los datos de alguien puede prevalecer sobre su derecho al olvido. El RGPD explica en detalle bajo qué circunstancias una empresa puede o no estar obligada a cumplir con una solicitud de supresión de un individuo. Las empresas deben facilitar en la mayor medida posible el ejercicio del derecho al olvido y otros derechos para los sujetos de datos.
