El derecho de acceso de los trabajadores: ¿cómo funciona?

La CNIL en Francia ha publicado un artículo donde explica el derecho de acceso de los trabajadores bajo el RGPD. 

 

El artículo 15 del RGPD brinda a los interesados el derecho de solicitar del responsable una copia de sus datos personales, lo cual también se aplica cuando el interesado es un trabajador y el responsable, la empresa. En una publicación reciente, la CNIL explica cómo deben proceder las empresas cuando reciben este tipo de solicitudes por parte de sus empleados y antiguos empleados. El primer elemento que debe verificarse es la identidad de la persona que requiere la información y, en caso de que la organización tenga dudas en torno a la misma, podrá pedir una prueba que lo confirme. Sin embargo, esto no será necesario cuando se utilice el correo de empresa o la intranet de la compañía para ejercer dicho derecho. De igual manera, la identidad puede demostrarse mediante un identificador profesional.  

 

Los trabajadores deben recibir sus datos y tener el derecho de solicitar una rectificación de los mismos o su eliminación.

 

Los empleados y los antiguos empleados pueden solicitar una copia de todos los datos personales que la empresa tiene sobre ellos, y deberán recibirlos en un formato de fácil acceso y comprensión que les permita comprobar la veracidad de la información. Los interesados también tienen derecho a conocer otra información como la finalidad del tratamiento, las categorías de datos que se tratan y el nombre de otras compañías que hayan obtenido sus datos, entre otros elementos. Asimismo podrán pedir que sus datos sean rectificados o eliminados. Todas estas solicitudes deberán tramitarse sin coste para el interesado, salvo que las mismas sean infundadas o excesivas, por ejemplo cuando cuentan con un carácter repetitivo. Cabe recordar que el derecho de acceso se refiere a los datos y no a los documentos, aunque la organización puede decidir compartir los documentos si resulta más práctico. 

 

Las empresas han de proteger los derechos de terceros cuando respondan a solicitudes de copias de emails profesionales. 

 

Los empleados pueden solicitar el acceso a los correos profesionales cuando ellos figuran como el emisor o el receptor de los mismos, o si aparecen mencionados en ellos. En aquellos casos en que el empleado fue el emisor o el receptor, se asume que el interesado tenía conocimiento previo de la información contenida en los mensajes solicitados, por lo que se presume que el cumplimiento con este tipo de solicitudes respeta los derechos de terceros. Sin embargo, en aquellas situaciones en las que el solicitante es únicamente mencionado en el contenido de los correos, es importante que la empresa proteja los derechos y las identidades de terceros. Se recomienda que en primer lugar la compañía intente eliminar, anonimizar o pseudonimizar los datos. Si estas medidas son insuficientes, será necesario que se rechace el derecho de acceso y se expliquen las razones que justifican dicha decisión. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La autoridad de control de Dinamarca ha establecido un Comité Internacional de Protección de Datos para proteger los intereses nacionales en este ámbito.

La autoridad de control de Dinamarca ha establecido un Comité Internacional de Protección de Datos para proteger los intereses nacionales en este ámbito. 

 

La autoridad de control de Dinamarca ha establecido un comité especial que busca brindar a las partes interesadas una mayor comprensión sobre el trabajo internacional llevado a cabo por el cuerpo de inspectores. También les ofrecerá la oportunidad de contribuir en estas tareas y reforzar la protección de los intereses daneses en un plano internacional.  Este comité se diferencia del comité de contacto de la autoridad de control en que sus esfuerzos se orientarán de manera específica hacia el trabajo desarrollado en relación a asuntos internacionales. 

 

Uno de los principales objetivos del Comité Internacional de Protección de Datos es impulsar la colaboración para reforzar los intereses nacionales. 

 

El RGPD persigue una cooperación formal entre las diferentes autoridades de control de la UE, lo cual es determinante para garantizar una armonización en la interpretación de la normativa de protección de datos comunitaria. La autoridad de control de Dinamarca, en un esfuerzo de proteger los intereses nacionales, está trabajando para asegurar que el marco europeo es beneficioso en el contexto de Dinamarca. Este comité especial para la cooperación en materia de protección de datos ha sido formado para ofrecer a la autoridad de control de Dinamarca y las partes interesadas una plataforma en la que trabajar de manera conjunta, colaborar y reforzar la protección de los intereses nacionales.  

 

Este comité especial organizará reuniones trimestrales para informar a las partes interesadas sobre los casos internacionales en curso y cualquier otro asunto actual en dicho ámbito. Los miembros del comité tendrá la oportunidad de dar su opinión y hablar sobre sus necesidades específicas. Se espera que la primera reunión tenga lugar el 20 de enero. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Nuevo Comisionado de la Información en Reino Unido; John Edwards

 

El nuevo Comisionado de la Información de Reino Unido, John Edwards, ha sido designado por un período de cinco años que comenzó el pasado 3 de enero. 

 

John Edwards comenzó el pasado 3 de enero de 2022 oficialmente su mandato como el nuevo Comisionado de la Información de Reino Unido, conforme a este comunicado emitido por el Gobierno del país. Anteriormente Edwards había desempeñado su puesto como Comisionado de Privacidad de Nueva Zelanda y desarrollado la práctica del derecho durante 20 años, especializado en la rama de la información. Su nombramiento fue aprobado por el Comité de Cultura Digital, de Medios y de Deporte tras una audiencia previa que tuvo lugar en septiembre. 

 

El nuevo Comisionado de la Información de Reino Unido sustituirá a Elizabeth Denham, que ocupó el puesto desde 2016 hasta noviembre del año pasado. 

 

Elizabeth Denham, la anterior Comisionada de la Información, ocupó el cargo desde 2016 hasta el 30 de noviembre del año pasado.  Entre el 1 de diciembre de 2021 y el 2 de enero de 2022 el Director Ejecutivo Adjunto de la ICO fue nombrado representante provisional a través del esquema de delegación. Se trata de un proceso habitual para asegurar la continuidad de la toma de decisiones reglamentarias durante el período intermedio. Edwards describe su nuevo rol como trabajar “con aquellos a quienes les confiamos nuestros datos para que respeten nuestra privacidad y al mismo tiempo recojan los beneficios derivados de la innovación impulsada por los datos”. 

 

El nombramiento, realizado por Su Majestad, contó con el asesoramiento de un panel y un comité.

 

El nombramiento se efectuó conforme al Código de Gobierno de los Nombramientos Públicos. Bajo la Data Protection Act, la Ley de Protección de Datos de Reino Unido, el nombramiento lo realizó Su Majestad mediante Cartas Patentes de acuerdo a las recomendaciones del Secretario de Estado para la Cultura Digital, los Medios y el Deporte, a través del Primer Ministro. Los ministros actuaron con la ayuda de un Panel Asesor de Evaluación.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

CLEARVIEW AI deberá eliminar una serie de fotografías por orden de la autoridad de control de Francia, CNIL

CLEARVIEW AI deberá eliminar una serie de fotografías obtenidas de internet por tratamiento ilegítimo de las mismas, tras investigación de la CNIL.

 

CLEARVIEW AI y su software de reconocimiento facial fueron llevados ante la CNIL por primera vez en mayo de 2020, lo que condujo a una investigación que destapó dos infracciones del RGPD: el tratamiento ilegítimo de datos personales y la falta de consideración sobre los derechos de los interesados, en especial en relación al derecho de acceso. Como resultado, la CNIL ordenó a CLEARVIEW AI facilitar el ejercicio del derecho de acceso y cesar la recogida y utilización de datos de personas en el territorio de Francia si no se cuenta con una base legítima para ello. Además, se le requirió a CLEARVIEW AI cumplir con todas las solicitudes de eliminación de datos. Para todo ello, la CNIL ha otorgado a la compañía un plazo de dos meses.

 

CLEARVIEW AI había desarrollado un sistema de reconocimiento facial que empleaba fotografías obtenidas de internet sin contar con consentimiento ni ninguna otra base legítima para el tratamiento.

 

CLEARVIEW AI había desarrollado un software de reconocimiento facial cuya base de datos se compone de fotografías y vídeos extraídos de internet. La empresa no contaba con el consentimiento de los sujetos que aparecían en dicho contenido y tampoco existía ninguna base legítima para el tratamiento conforme al artículo 6 del RGPD, y por tanto se trata de un incumplimiento directo del mismo. La recopilación de datos de decenas de millones de interesados en el territorio de Francia sin contar con interés legítimo se considera como particularmente intrusivo.

 

Cristina Contero Almagro, Socia de Aphaia, señala que “debe tenerse en cuenta que el hecho de que los datos sean públicos no significa que puedan utilizarse libremente. El RGPD se aplica también a los datos personales disponibles de manera pública, y por tanto se precisa una de las bases del artículo 6 del RGPD para poder tratarlos de forma legítima. Si dicha base es el interés legítimo, tendrá que llevarse a cabo una Evaluación de Interés Legítimo”.

La CNIL también concluyó que CLEARVIEW AI habría infringido los artículos 12, 15 y 17 del RGPD, pues resultaba difícil para los interesados ejercer sus derechos frente a la compañía.

 

Las numerosas quejas recibidas por la CNIL señalaban que CLEARVIEW AI infringía los derechos de los interesados, en concreto el derecho de acceso y el derecho de supresión. La CNIL concluyó que la empresa había estado limitando el derecho de acceso a datos recogidos durante los 12 meses anteriores a la solicitud. Además, los interesados sólo podían ejercer este derecho frente a CLEARVIEW AI dos veces al año, sin ninguna justificación. La empresa únicamente respondía a algunas solicitudes tras recibir una gran cantidad de ellas enviadas por la misma persona y, cuando éstas versaban sobre el derecho de supresión, bien no había ninguna respuesta o ésta era incompleta. La CNIL ha requerido a CLEARVIEW AI que adapte sus prácticas a la normativa aplicable, que cese el tratamiento ilegítimo de datos y que elimine todos los datos tratados sin base legal, todo ello en un plazo de dos meses.

 

 

 

¿Conoces las bases que legitiman el tratamiento de datos? ¿Has implementado un proceso para lidiar con los derechos de los interesados? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de DatosInfórmate aquí.