Multa a un banco danés por no eliminar datos que ya no necesitaba

La autoridad de control de Dinamarca ha propuesto una multa para el banco Danske por no haber supuestamente eliminado los datos que ya no eran necesarios y ha presentado un informe policial.

 

La autoridad de control de Dinamarca ha presentado un informe policial contra Danske Bank y ha propuesto que se le imponga una multa de 1,3 millones de euros, según este informe del CEPD. Estos hechos son el resultado de una investigación que data de noviembre de 2020, cuando la autoridad de control inició un caso de oficio tras haber el banco comunicado que había identificado un problema con la supresión de los datos para los que no existía base ni justificación de tratamiento. Se precisa una base legal para poder tratar datos conforme al RGPD y estos sólo podrán almacenarse mientras sea necesario para la finalidad para la que fueron recogidos.

 

El banco no pudo demostrar cumplimiento e infringió así el artículo 5(2) del RGPD. 

 

En relación con la investigación de la autoridad de control de Dinamarca, se descubrió que el banco no había sido capaz de demostrar que se habían establecido normas para el almacenamiento y supresión de datos personales, y tampoco pudo justificar los procesos de eliminación manual de los mismos. El artículo 5(2) del RGPD señala de manera específica que “el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo” y el artículo 5(1)(e) indica que “los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales“. De acuerdo a Kenni Elm Olsen, consultora especialista de la autoridad de control de Dinamarca “uno de los principios básicos del RGPD es que sólo se puede tratar la información necesaria, y cuándo ésta ya no lo sea, deberá ser eliminada. Cuando se trata de una organización del tamaño del Danske Bank, que tiene muchos sistemas y muy complejos, es esencial que documentes que la supresión tuvo lugar”. 

 

La autoridad de control de Dinamarca ha propuesto una multa total de 1,3 millones de euros tras considerar los detalles del caso

 

En la determinación de la multa que debería imponerse, la autoridad de control de Dinamarca consideró que se trataba de una infracción de un principio básico del RGPD (Artículo 5) en relación al tratamiento de datos personales. La autoridad de control también tuvo en cuenta que las acciones del banco afectaron a un gran número de interesados. Los sistemas del banco tratan datos personales de varios millones de interesados. La autoridad de control de Dinamarca ha enfatizado la naturaleza y la seriedad de la infracción y también el requisito de que una multa debe ser efectiva, proporcionada al incumplimiento y tener un efecto disuasorio. La autoridad de control de Dinamarca también valoró que el Danske Bank ofreció información de manera activa durante el caso y considera que el banco intentó mitigar el daño potencial ocasionado a los sujetos. Como resultado, se ha impuesto una multa de 1,3 millones de euros.

 

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Multa administrativa por incumplimiento del principio de minimización de datos

La autoridad de control de Finlandia ha multado al Centro de Aseguradores de Automóviles de Finlandia por incumplimiento del principio de minimización de datos.  

La autoridad de control de Finlandia ha multado al Centro de Aseguradores de Automóviles por no cumplir con el principio de minimización de datos. La compañía fue sancionada a finales del año pasado por recoger una cantidad innecesaria de datos de pacientes en relación con las reclamaciones de los seguros de salud, según este informe del CEPD. La autoridad de control de Finlandia investigó esta práctica del Centro de Aseguradores de Automóviles en relación a la solicitud de registros de pacientes a los proveedores de atención médica y concluyó que se requería sistemáticamente más información de la que era necesaria. En consecuencia, se impuso una multa de 52.000€ al responsable.  

El Centro de Aseguradores de Automóviles de Finlandia solicitaba registros sin editar de los pacientes que contenían más información de la que se considera necesaria para para la reclamación del seguro. 

El Centro de Aseguradores de Automóviles de Finlandia solicitaba a los proveedores de atención médica registros sin editar de los pacientes a fin de gestionar las reclamaciones, pues consideraba que tenía el derecho de recopilarlos. Entre otros aspectos, esta información incluía datos sobre las citas de los clientes que se utilizaban para determinar si el proveedor de atención médica había cobrado por visitas no vinculadas con el examen o tratamiento de las lesiones sufridas en el accidente. El responsable también pedía datos adicionales en el caso de que el proveedor de atención médica hubiese omitido cualquier tipo de información.   

La autoridad de control de Finlandia determinó que la práctica de solicitar información excesiva suponía una infracción del RGPD. 

La autoridad de control de Finlandia determinó que la solicitud sistemática de datos completos de los registros de los pacientes suponía una infracción del RGPD, pues dicha información debería haberse limitado a la estrictamente necesaria para gestionar la reclamación.  Conforme al SEPD, el principio de minimización de datos implica que el responsable debe limitar la recogida de datos personales a lo que es directamente relevante y necesario para satisfacer una finalidad específica. La información recogida debe ser “adecuada, relevante y limitada a lo que es necesario en relación con las finalidades para las que se trata”. En consecuencia, se consideró que el responsable de los datos en este caso había infringido el RGPD. La autoridad de control indicó que la normative nacional no otorga acceso directo a todos los datos de los pacientes. De hecho, la información requerida debe ser sólo aquella necesaria para la resolución de la reclamación. Además, cualquier dato relacionado con el estado de salud de los interesados proporcionado a las compañías de seguros deberá tener formato de declaración, según la Asociación Médica de Finlandia.  

Mientras que la decisión no es aún definitiva porque el Centro Asegurador de Automóviles la ha recurrido en el tribunal administrativo, se ha impuesto una multa de 52.000 €. Asimismo, se solicitó al responsable que cumpliese con la normativa.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La CNIL explica las condiciones bajo las que los subcontratistas pueden reutilizar los datos personales

La CNIL explica las condiciones y el contexto específicos que deben darse para que los subcontratistas puedan reutilizar los datos personales. 

 

Bajo el RGPD, deben darse numerosas condiciones a fin de que los subcontratistas puedan reutilizar los datos proporcionados por el responsable. La autoridad de supervisión de Francia, la CNIL, ha señalado el contexto específico bajo el que un subcontratista puede reutilizar los datos personales. Debe recordarse que normalmente los encargados sólo tratan los datos personales conforme a las instrucciones del responsable, y nunca con una finalidad propia. Sin embargo, en algunos casos el subcontratista podría querer reutilizar los datos para un propósito específico, como mejorar sus productos o servicios. Cuando esto ocurra, el responsable podría autorizar al subcontratista a reutilizar los datos para sus propios fines, pero únicamente en cumplimiento de circunstancias muy concretas. La CNIL ha explicado estas condiciones en un artículo que ha publicado recientemente. Es importante indicar que, en tales circunstancias, el encargado pasaría a ser el responsable de dichos tratamientos una vez que haya sido autorizado por el responsable para llevarlos a cabo. 

 

Antes de que un subcontratista pueda comenzar a tratar datos personales, debe realizarse un test de compatibilidad. 

 

Antes de que pueda tener lugar ningún tratamiento ulterior o tratamiento posterior a la recogida de los datos (con finalidades diferentes a las iniciales), el responsable debe realizar un test de compatibilidad. El objetivo de esta prueba es determinar si este tratamiento posterior es compatible con la finalidad para la que inicialmente se recogieron los datos, y para decidirlo, el responsable considerará la existencia de algún tipo de vínculo entre el tratamiento inicial y el tratamiento subsiguiente. Entre otros factores de importancia se incluyen el contexto en el cual se recogieron los datos y la naturaleza de los mismos. También deben tenerse en cuenta la aplicación de garantías apropiadas, como el cifrado y la pseudonimización. El test de compatibilidad ha de tener lugar para una actividad de tratamiento específica, y abarcar las finalidades y las características de cada operación para la cual el subcontratista pretenda utilizar los datos. El responsable del tratamiento es entonces libre de otorgar su consentimiento o no, sólo si los resultados de la prueba son satisfactorios. 

 

La autorización para la reutilización de los datos debe emitirse por escrito, y el responsable tendrá que informar a los interesados. 

 

El RGPD requiere que el tratamiento de datos por parte de un subcontratista se regule mediante contrato u otro acto legal, lo que incluye el formato electrónico.  Además, el responsable del tratamiento deberá asegurar que los interesados son debidamente informados de la reutilización de sus datos con nuevas finalidades. En concreto, el responsable debe indicar si es posible oponerse a ello. En la práctica se recomienda que el responsable inicial proporcione, si es posible, toda la información acerca del tratamiento. El responsable puede delegar esta tarea si el subcontratista ya tiene los datos de contacto de las personas afectadas.  

 

La responsabilidad de asegurar el cumplimiento en los tratamientos posteriores reside en el subcontratista. 

 

El subcontratista es responsable de asegurar que el nuevo tratamiento cumple con el RGPD, y en caso contrario podría ser sancionado por la CNIL. Deberá confirmar que los datos se tratan conforme a la normativa y sólo con las finalidades para las cuales se ha dado consentimiento escrito. Como el responsable de todo tratamiento ulterior, debe garantizar que cumple un propósito bien definido y que lo hace de acuerdo a una base legal adaptada específicamente para este fin.   

 

El artículo de la CNIL hace una mención concreta a la necesidad de definir un período de retención adecuado y asegurar que los interesados reciben toda la información relativa a cualquier recogida indirecta que no se haya puesto a su disposición por parte del responsable inicial (sujeto a las excepciones que sean aplicables). También se debe prestar atención especial a las medidas de seguridad pertinentes, a la minimización de datos y en general a la protección de los derechos de los interesados.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

El derecho de acceso de los trabajadores: ¿cómo funciona?

La CNIL en Francia ha publicado un artículo donde explica el derecho de acceso de los trabajadores bajo el RGPD. 

 

El artículo 15 del RGPD brinda a los interesados el derecho de solicitar del responsable una copia de sus datos personales, lo cual también se aplica cuando el interesado es un trabajador y el responsable, la empresa. En una publicación reciente, la CNIL explica cómo deben proceder las empresas cuando reciben este tipo de solicitudes por parte de sus empleados y antiguos empleados. El primer elemento que debe verificarse es la identidad de la persona que requiere la información y, en caso de que la organización tenga dudas en torno a la misma, podrá pedir una prueba que lo confirme. Sin embargo, esto no será necesario cuando se utilice el correo de empresa o la intranet de la compañía para ejercer dicho derecho. De igual manera, la identidad puede demostrarse mediante un identificador profesional.  

 

Los trabajadores deben recibir sus datos y tener el derecho de solicitar una rectificación de los mismos o su eliminación.

 

Los empleados y los antiguos empleados pueden solicitar una copia de todos los datos personales que la empresa tiene sobre ellos, y deberán recibirlos en un formato de fácil acceso y comprensión que les permita comprobar la veracidad de la información. Los interesados también tienen derecho a conocer otra información como la finalidad del tratamiento, las categorías de datos que se tratan y el nombre de otras compañías que hayan obtenido sus datos, entre otros elementos. Asimismo podrán pedir que sus datos sean rectificados o eliminados. Todas estas solicitudes deberán tramitarse sin coste para el interesado, salvo que las mismas sean infundadas o excesivas, por ejemplo cuando cuentan con un carácter repetitivo. Cabe recordar que el derecho de acceso se refiere a los datos y no a los documentos, aunque la organización puede decidir compartir los documentos si resulta más práctico. 

 

Las empresas han de proteger los derechos de terceros cuando respondan a solicitudes de copias de emails profesionales. 

 

Los empleados pueden solicitar el acceso a los correos profesionales cuando ellos figuran como el emisor o el receptor de los mismos, o si aparecen mencionados en ellos. En aquellos casos en que el empleado fue el emisor o el receptor, se asume que el interesado tenía conocimiento previo de la información contenida en los mensajes solicitados, por lo que se presume que el cumplimiento con este tipo de solicitudes respeta los derechos de terceros. Sin embargo, en aquellas situaciones en las que el solicitante es únicamente mencionado en el contenido de los correos, es importante que la empresa proteja los derechos y las identidades de terceros. Se recomienda que en primer lugar la compañía intente eliminar, anonimizar o pseudonimizar los datos. Si estas medidas son insuficientes, será necesario que se rechace el derecho de acceso y se expliquen las razones que justifican dicha decisión. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.