La CNIL explica las condiciones bajo las que los subcontratistas pueden reutilizar los datos personales

La CNIL explica las condiciones y el contexto específicos que deben darse para que los subcontratistas puedan reutilizar los datos personales. 

 

Bajo el RGPD, deben darse numerosas condiciones a fin de que los subcontratistas puedan reutilizar los datos proporcionados por el responsable. La autoridad de supervisión de Francia, la CNIL, ha señalado el contexto específico bajo el que un subcontratista puede reutilizar los datos personales. Debe recordarse que normalmente los encargados sólo tratan los datos personales conforme a las instrucciones del responsable, y nunca con una finalidad propia. Sin embargo, en algunos casos el subcontratista podría querer reutilizar los datos para un propósito específico, como mejorar sus productos o servicios. Cuando esto ocurra, el responsable podría autorizar al subcontratista a reutilizar los datos para sus propios fines, pero únicamente en cumplimiento de circunstancias muy concretas. La CNIL ha explicado estas condiciones en un artículo que ha publicado recientemente. Es importante indicar que, en tales circunstancias, el encargado pasaría a ser el responsable de dichos tratamientos una vez que haya sido autorizado por el responsable para llevarlos a cabo. 

 

Antes de que un subcontratista pueda comenzar a tratar datos personales, debe realizarse un test de compatibilidad. 

 

Antes de que pueda tener lugar ningún tratamiento ulterior o tratamiento posterior a la recogida de los datos (con finalidades diferentes a las iniciales), el responsable debe realizar un test de compatibilidad. El objetivo de esta prueba es determinar si este tratamiento posterior es compatible con la finalidad para la que inicialmente se recogieron los datos, y para decidirlo, el responsable considerará la existencia de algún tipo de vínculo entre el tratamiento inicial y el tratamiento subsiguiente. Entre otros factores de importancia se incluyen el contexto en el cual se recogieron los datos y la naturaleza de los mismos. También deben tenerse en cuenta la aplicación de garantías apropiadas, como el cifrado y la pseudonimización. El test de compatibilidad ha de tener lugar para una actividad de tratamiento específica, y abarcar las finalidades y las características de cada operación para la cual el subcontratista pretenda utilizar los datos. El responsable del tratamiento es entonces libre de otorgar su consentimiento o no, sólo si los resultados de la prueba son satisfactorios. 

 

La autorización para la reutilización de los datos debe emitirse por escrito, y el responsable tendrá que informar a los interesados. 

 

El RGPD requiere que el tratamiento de datos por parte de un subcontratista se regule mediante contrato u otro acto legal, lo que incluye el formato electrónico.  Además, el responsable del tratamiento deberá asegurar que los interesados son debidamente informados de la reutilización de sus datos con nuevas finalidades. En concreto, el responsable debe indicar si es posible oponerse a ello. En la práctica se recomienda que el responsable inicial proporcione, si es posible, toda la información acerca del tratamiento. El responsable puede delegar esta tarea si el subcontratista ya tiene los datos de contacto de las personas afectadas.  

 

La responsabilidad de asegurar el cumplimiento en los tratamientos posteriores reside en el subcontratista. 

 

El subcontratista es responsable de asegurar que el nuevo tratamiento cumple con el RGPD, y en caso contrario podría ser sancionado por la CNIL. Deberá confirmar que los datos se tratan conforme a la normativa y sólo con las finalidades para las cuales se ha dado consentimiento escrito. Como el responsable de todo tratamiento ulterior, debe garantizar que cumple un propósito bien definido y que lo hace de acuerdo a una base legal adaptada específicamente para este fin.   

 

El artículo de la CNIL hace una mención concreta a la necesidad de definir un período de retención adecuado y asegurar que los interesados reciben toda la información relativa a cualquier recogida indirecta que no se haya puesto a su disposición por parte del responsable inicial (sujeto a las excepciones que sean aplicables). También se debe prestar atención especial a las medidas de seguridad pertinentes, a la minimización de datos y en general a la protección de los derechos de los interesados.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

El EDPS sanciona al Parlamento Europeo por el uso de Google Analytics

La realización de transferencias ilegales a Estados Unidos por parte del Parlamento Europeo deriva en una sanción impuesta por el EDPS. 

 

Tras una reclamación presentada hace aproximadamente un año, el Parlamento Europeo ha sido sancionado por el EDPS por la realización de transferencias ilegales a Estados Unidos, entre otras infracciones. El uso de Google Analytics y Stripe (ambas compañías estadounidenses) por parte del Parlamento Europeo en su página web de pruebas Covid-19 no se llevaba a cabo conforme a la resolución del TJUE en el caso “Schrems II” sobre transferencias internacionales a terceros países. En la reclamación enviada en enero de 2021 por nyob se señalaban distintas presuntas infracciones, entre ellas banners de cookies engañosos, políticas de privacidad con redacción vaga e imprecisa y transferencias de datos ilegales a Estados Unidos. Si bien no se impuso multa por estos hechos, el Parlamento Europeo fue amonestado y se le actualizar su política de protección de datos y abordar las demás cuestiones planteadas en el plazo de un mes.  

 

Las transferencias de datos personales de Europa a Estados Unidos están sujetas a condiciones muy estrictas y debe garantizar un nivel adecuado de protección. 

 

Desde la decisión en el caso Schrems II, las transferencias de datos a terceros países y en concreto a Estados Unidos se han visto sometidas a un mayor escrutinio, debido a que en la mayoría de casos no se puede asegurar una adecuada protección de los datos. Este es el caso de la página web de pruebas Covid-19 ofrecida por el Parlamento Europeo. Conforme al EDPS, “el Parlamento no entregó ninguna documentación, evidencia u otra información relativa a las medidas contractuales, técnicas u organizativas que garantizasen un nivel de protección equivalente al de la Unión Europea a los datos transferidos a Estados Unidos en el contexto del uso de cookies en la página web”. Los datos almacenados incluían datos de salud, como síntomas y resultados de los test de Covid-19, lo cual se considera una categoría especial de datos personales y, por tanto, datos particularmente sensibles.  

 

El EDPS concluyó que el Parlamento Europeo había infringido varios artículos del RGPD y emitió por ello un apercibimiento. 

 

La instalación de cookies mediante un proveedor estadounidense sin las medidas apropiadas de protección es una infracción de la normativa europea, pues abre la puerta a posible vigilancia por parte de organismos públicos del tercer país. La reclamación de noyb también mencionaba que los banners eran engañosos y poco claros, pues no listaban todas las cookies utilizadas y había diferencias entre las distintas versiones de idiomas. Como resultado, el consentimiento no podía considerarse válido. El Parlamento Europeo eliminó las cookies de la página web durante la investigación. 

 

En la reclamación de noyb se señalaban también diversos problemas de transparencia, dado que se indicaba que la política de privacidad no era clara e incluía referencias a bases legítimas erróneas. En consecuencia, la política de privacidad se modificó en el curso de la investigación, pero dichos cambios no mejoraron la situación de cumplimiento con la normativa, e incluso la empeoraron. El EDPS concluyó que el Parlamento Europeo infringía así la obligación de transparencia del RGPD. Además, se descubrió que el Parlamento no respondía de manera adecuada a los derechos de acceso ejercidos por los reclamantes. El EDPS determinó por todo ello que el Parlamento Europeo no cumplía con varios artículos del RGPD y le sancionó con un apercibimiento conforme al artículo 58(2)(b) del RGPD. 

¿Realizas transferencias internacionales de datos a terceros países?  Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

El derecho de acceso de los trabajadores: ¿cómo funciona?

La CNIL en Francia ha publicado un artículo donde explica el derecho de acceso de los trabajadores bajo el RGPD. 

 

El artículo 15 del RGPD brinda a los interesados el derecho de solicitar del responsable una copia de sus datos personales, lo cual también se aplica cuando el interesado es un trabajador y el responsable, la empresa. En una publicación reciente, la CNIL explica cómo deben proceder las empresas cuando reciben este tipo de solicitudes por parte de sus empleados y antiguos empleados. El primer elemento que debe verificarse es la identidad de la persona que requiere la información y, en caso de que la organización tenga dudas en torno a la misma, podrá pedir una prueba que lo confirme. Sin embargo, esto no será necesario cuando se utilice el correo de empresa o la intranet de la compañía para ejercer dicho derecho. De igual manera, la identidad puede demostrarse mediante un identificador profesional.  

 

Los trabajadores deben recibir sus datos y tener el derecho de solicitar una rectificación de los mismos o su eliminación.

 

Los empleados y los antiguos empleados pueden solicitar una copia de todos los datos personales que la empresa tiene sobre ellos, y deberán recibirlos en un formato de fácil acceso y comprensión que les permita comprobar la veracidad de la información. Los interesados también tienen derecho a conocer otra información como la finalidad del tratamiento, las categorías de datos que se tratan y el nombre de otras compañías que hayan obtenido sus datos, entre otros elementos. Asimismo podrán pedir que sus datos sean rectificados o eliminados. Todas estas solicitudes deberán tramitarse sin coste para el interesado, salvo que las mismas sean infundadas o excesivas, por ejemplo cuando cuentan con un carácter repetitivo. Cabe recordar que el derecho de acceso se refiere a los datos y no a los documentos, aunque la organización puede decidir compartir los documentos si resulta más práctico. 

 

Las empresas han de proteger los derechos de terceros cuando respondan a solicitudes de copias de emails profesionales. 

 

Los empleados pueden solicitar el acceso a los correos profesionales cuando ellos figuran como el emisor o el receptor de los mismos, o si aparecen mencionados en ellos. En aquellos casos en que el empleado fue el emisor o el receptor, se asume que el interesado tenía conocimiento previo de la información contenida en los mensajes solicitados, por lo que se presume que el cumplimiento con este tipo de solicitudes respeta los derechos de terceros. Sin embargo, en aquellas situaciones en las que el solicitante es únicamente mencionado en el contenido de los correos, es importante que la empresa proteja los derechos y las identidades de terceros. Se recomienda que en primer lugar la compañía intente eliminar, anonimizar o pseudonimizar los datos. Si estas medidas son insuficientes, será necesario que se rechace el derecho de acceso y se expliquen las razones que justifican dicha decisión. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La autoridad de control de Dinamarca ha establecido un Comité Internacional de Protección de Datos para proteger los intereses nacionales en este ámbito.

La autoridad de control de Dinamarca ha establecido un Comité Internacional de Protección de Datos para proteger los intereses nacionales en este ámbito. 

 

La autoridad de control de Dinamarca ha establecido un comité especial que busca brindar a las partes interesadas una mayor comprensión sobre el trabajo internacional llevado a cabo por el cuerpo de inspectores. También les ofrecerá la oportunidad de contribuir en estas tareas y reforzar la protección de los intereses daneses en un plano internacional.  Este comité se diferencia del comité de contacto de la autoridad de control en que sus esfuerzos se orientarán de manera específica hacia el trabajo desarrollado en relación a asuntos internacionales. 

 

Uno de los principales objetivos del Comité Internacional de Protección de Datos es impulsar la colaboración para reforzar los intereses nacionales. 

 

El RGPD persigue una cooperación formal entre las diferentes autoridades de control de la UE, lo cual es determinante para garantizar una armonización en la interpretación de la normativa de protección de datos comunitaria. La autoridad de control de Dinamarca, en un esfuerzo de proteger los intereses nacionales, está trabajando para asegurar que el marco europeo es beneficioso en el contexto de Dinamarca. Este comité especial para la cooperación en materia de protección de datos ha sido formado para ofrecer a la autoridad de control de Dinamarca y las partes interesadas una plataforma en la que trabajar de manera conjunta, colaborar y reforzar la protección de los intereses nacionales.  

 

Este comité especial organizará reuniones trimestrales para informar a las partes interesadas sobre los casos internacionales en curso y cualquier otro asunto actual en dicho ámbito. Los miembros del comité tendrá la oportunidad de dar su opinión y hablar sobre sus necesidades específicas. Se espera que la primera reunión tenga lugar el 20 de enero. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.