El derecho de acceso de los trabajadores: ¿cómo funciona?

La CNIL en Francia ha publicado un artículo donde explica el derecho de acceso de los trabajadores bajo el RGPD. 

 

El artículo 15 del RGPD brinda a los interesados el derecho de solicitar del responsable una copia de sus datos personales, lo cual también se aplica cuando el interesado es un trabajador y el responsable, la empresa. En una publicación reciente, la CNIL explica cómo deben proceder las empresas cuando reciben este tipo de solicitudes por parte de sus empleados y antiguos empleados. El primer elemento que debe verificarse es la identidad de la persona que requiere la información y, en caso de que la organización tenga dudas en torno a la misma, podrá pedir una prueba que lo confirme. Sin embargo, esto no será necesario cuando se utilice el correo de empresa o la intranet de la compañía para ejercer dicho derecho. De igual manera, la identidad puede demostrarse mediante un identificador profesional.  

 

Los trabajadores deben recibir sus datos y tener el derecho de solicitar una rectificación de los mismos o su eliminación.

 

Los empleados y los antiguos empleados pueden solicitar una copia de todos los datos personales que la empresa tiene sobre ellos, y deberán recibirlos en un formato de fácil acceso y comprensión que les permita comprobar la veracidad de la información. Los interesados también tienen derecho a conocer otra información como la finalidad del tratamiento, las categorías de datos que se tratan y el nombre de otras compañías que hayan obtenido sus datos, entre otros elementos. Asimismo podrán pedir que sus datos sean rectificados o eliminados. Todas estas solicitudes deberán tramitarse sin coste para el interesado, salvo que las mismas sean infundadas o excesivas, por ejemplo cuando cuentan con un carácter repetitivo. Cabe recordar que el derecho de acceso se refiere a los datos y no a los documentos, aunque la organización puede decidir compartir los documentos si resulta más práctico. 

 

Las empresas han de proteger los derechos de terceros cuando respondan a solicitudes de copias de emails profesionales. 

 

Los empleados pueden solicitar el acceso a los correos profesionales cuando ellos figuran como el emisor o el receptor de los mismos, o si aparecen mencionados en ellos. En aquellos casos en que el empleado fue el emisor o el receptor, se asume que el interesado tenía conocimiento previo de la información contenida en los mensajes solicitados, por lo que se presume que el cumplimiento con este tipo de solicitudes respeta los derechos de terceros. Sin embargo, en aquellas situaciones en las que el solicitante es únicamente mencionado en el contenido de los correos, es importante que la empresa proteja los derechos y las identidades de terceros. Se recomienda que en primer lugar la compañía intente eliminar, anonimizar o pseudonimizar los datos. Si estas medidas son insuficientes, será necesario que se rechace el derecho de acceso y se expliquen las razones que justifican dicha decisión. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La autoridad de control de Dinamarca ha establecido un Comité Internacional de Protección de Datos para proteger los intereses nacionales en este ámbito.

La autoridad de control de Dinamarca ha establecido un Comité Internacional de Protección de Datos para proteger los intereses nacionales en este ámbito. 

 

La autoridad de control de Dinamarca ha establecido un comité especial que busca brindar a las partes interesadas una mayor comprensión sobre el trabajo internacional llevado a cabo por el cuerpo de inspectores. También les ofrecerá la oportunidad de contribuir en estas tareas y reforzar la protección de los intereses daneses en un plano internacional.  Este comité se diferencia del comité de contacto de la autoridad de control en que sus esfuerzos se orientarán de manera específica hacia el trabajo desarrollado en relación a asuntos internacionales. 

 

Uno de los principales objetivos del Comité Internacional de Protección de Datos es impulsar la colaboración para reforzar los intereses nacionales. 

 

El RGPD persigue una cooperación formal entre las diferentes autoridades de control de la UE, lo cual es determinante para garantizar una armonización en la interpretación de la normativa de protección de datos comunitaria. La autoridad de control de Dinamarca, en un esfuerzo de proteger los intereses nacionales, está trabajando para asegurar que el marco europeo es beneficioso en el contexto de Dinamarca. Este comité especial para la cooperación en materia de protección de datos ha sido formado para ofrecer a la autoridad de control de Dinamarca y las partes interesadas una plataforma en la que trabajar de manera conjunta, colaborar y reforzar la protección de los intereses nacionales.  

 

Este comité especial organizará reuniones trimestrales para informar a las partes interesadas sobre los casos internacionales en curso y cualquier otro asunto actual en dicho ámbito. Los miembros del comité tendrá la oportunidad de dar su opinión y hablar sobre sus necesidades específicas. Se espera que la primera reunión tenga lugar el 20 de enero. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

PROTECCIÓN DE DATOS Y RGDP: LO QUE HEMOS APRENDIDO DEL 2021

El sector de la protección de datos evoluciona de manera continua impulsado por la implementación y aplicación del RGPD, por parte de las organizaciones y de las autoridades de control respectivamente.

Nuevo año, ¿nuevos comienzos? No siempre es el caso, al menos no cuando el año anterior ha brindado novedades de gran importancia. El RGPD es todavía una normativa relativamente nueva si se tiene en cuenta que se lleva aplicando desde 2018, y por tanto se sigue generando aprendizaje en torno al mismo, incluidas las organizaciones, las autoridades de control y la sociedad en general. Este es el motivo por el que es necesario seguir de cerca cualquier desarrollo en la industria, pues todos ellos pueden ser determinantes para el futuro de la protección de datos. En este artículo repasamos los principales hitos del 2021.

Schrems II y las nuevas SCCs

Tras la sentencia del caso Schrems II y las advertencias que el TJUE realizó en torno al uso de las Cláusulas Contractuales Tipo (SCCs), la Comisión Europea adoptó en junio de 2021 nuevas SCCs para la transferencia de datos personales a terceros países, tal y como informamos en el blog de Aphaia. Las nuevas SCCs se centran en la practicidad y la flexibilidad, pues toman un enfoque modular que las hace adecuadas para transferencias de cualquier tipo, independientemente del rol que tome el responsable o el encargado como importador o exportador de los datos. Las nuevas SCCs también incluyen una serie de medidas adicionales que pretenden ayudar a responsables y encargados a realizar transferencias seguras sobre la base de una Evaluación de Impacto de Transferencia, una herramienta que permite identificar los riesgos de la transferencia y la capacidad de las partes para cumplir con las cláusulas. 

Debe tenerse en cuenta que la ICO no se ha pronunciado todavía sobre las nuevas SCCs, y entre sus planes se encuentra la publicación de sus propias cláusulas para las transferencias restringidas que se realicen desde Reino Unido. 

Otras novedades

Junto a las nuevas SCCs para transferencias internacionales, la Comisión Europea también publicó otro conjunto de SCCs que recoge los requisitos del Artículo 28 del RGPD. Sin embargo, al contrario que las SCCs para transferencias internacionales, esta herramienta no es obligatoria y los responsables y encargados pueden utilizar sus propios términos para los acuerdos de encargado de tratamiento. 

Entre los elementos que no son nuevos del 2021 pero que sí han tenido gran relevancia durante el año, encontramos la normativa de cookies y el concepto de corresponsabilidad. Muchas organizaciones están todavía actualizando sus banners de cookies para recoger consentimiento de manera individual para todas las cookies que no sean estrictamente necesarias. Las cookies son también importantes en la determinación del rol de las partes en cuanto a protección de datos pues, como cualquier otro tratamiento conjunto, si hay dos o más partes involucrada éstas pueden dar lugar a corresponsabilidad como resultado de decisiones convergentes. 

Aplicación del RGPD

El impacto del trabajo desempeñado por las autoridades de control no puede todavía dilucidarse con claridad porque, por un lado, el RGPD lleva en aplicación apenas cuatro años, por otro, las investigaciones son largas y pueden llevar varios meses y, finalmente, porque cada autoridad de control tiene sus propios criterios más allá del artículo 83 del RGPD. Por ejemplo, la normativa nacional de Portugal prevé una moratoria de tres años para las multas administrativas impuestas al sector público. Por otro lado, en España no se pueden imponer multas al sector público. Una unificación de acciones y de los criterios a lo largo de los Estados Miembros de la UE reforzaría el mecanismo de consistencia recogido en el RGPD al impulsar una aplicación consistente de la normativa a nivel comunitario.  

Asimismo es posible que el papel de las autoridades de control experimente algunos cambios conforme vayan entrando en aplicación nuevas normativas, como la Propuesta de Reglamento de IA de la UE. 

En lo que respecta a las multas por incumplimiento del RGPD, si bien se aprecia un incremento significativo en los últimos meses, debe valorarse que no sólo la cantidad de la misma es importante, sino también el coste del proceso y el riesgo reputacional.   

He tenido la oportunidad de hablar sobre estos temas con JC Gaillard de Corix Partners en su Cyber Security Transformation Podcast. Puedes escucharlo [aquí].

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

CLEARVIEW AI deberá eliminar una serie de fotografías por orden de la autoridad de control de Francia, CNIL

CLEARVIEW AI deberá eliminar una serie de fotografías obtenidas de internet por tratamiento ilegítimo de las mismas, tras investigación de la CNIL.

 

CLEARVIEW AI y su software de reconocimiento facial fueron llevados ante la CNIL por primera vez en mayo de 2020, lo que condujo a una investigación que destapó dos infracciones del RGPD: el tratamiento ilegítimo de datos personales y la falta de consideración sobre los derechos de los interesados, en especial en relación al derecho de acceso. Como resultado, la CNIL ordenó a CLEARVIEW AI facilitar el ejercicio del derecho de acceso y cesar la recogida y utilización de datos de personas en el territorio de Francia si no se cuenta con una base legítima para ello. Además, se le requirió a CLEARVIEW AI cumplir con todas las solicitudes de eliminación de datos. Para todo ello, la CNIL ha otorgado a la compañía un plazo de dos meses.

 

CLEARVIEW AI había desarrollado un sistema de reconocimiento facial que empleaba fotografías obtenidas de internet sin contar con consentimiento ni ninguna otra base legítima para el tratamiento.

 

CLEARVIEW AI había desarrollado un software de reconocimiento facial cuya base de datos se compone de fotografías y vídeos extraídos de internet. La empresa no contaba con el consentimiento de los sujetos que aparecían en dicho contenido y tampoco existía ninguna base legítima para el tratamiento conforme al artículo 6 del RGPD, y por tanto se trata de un incumplimiento directo del mismo. La recopilación de datos de decenas de millones de interesados en el territorio de Francia sin contar con interés legítimo se considera como particularmente intrusivo.

 

Cristina Contero Almagro, Socia de Aphaia, señala que “debe tenerse en cuenta que el hecho de que los datos sean públicos no significa que puedan utilizarse libremente. El RGPD se aplica también a los datos personales disponibles de manera pública, y por tanto se precisa una de las bases del artículo 6 del RGPD para poder tratarlos de forma legítima. Si dicha base es el interés legítimo, tendrá que llevarse a cabo una Evaluación de Interés Legítimo”.

La CNIL también concluyó que CLEARVIEW AI habría infringido los artículos 12, 15 y 17 del RGPD, pues resultaba difícil para los interesados ejercer sus derechos frente a la compañía.

 

Las numerosas quejas recibidas por la CNIL señalaban que CLEARVIEW AI infringía los derechos de los interesados, en concreto el derecho de acceso y el derecho de supresión. La CNIL concluyó que la empresa había estado limitando el derecho de acceso a datos recogidos durante los 12 meses anteriores a la solicitud. Además, los interesados sólo podían ejercer este derecho frente a CLEARVIEW AI dos veces al año, sin ninguna justificación. La empresa únicamente respondía a algunas solicitudes tras recibir una gran cantidad de ellas enviadas por la misma persona y, cuando éstas versaban sobre el derecho de supresión, bien no había ninguna respuesta o ésta era incompleta. La CNIL ha requerido a CLEARVIEW AI que adapte sus prácticas a la normativa aplicable, que cese el tratamiento ilegítimo de datos y que elimine todos los datos tratados sin base legal, todo ello en un plazo de dos meses.

 

 

 

¿Conoces las bases que legitiman el tratamiento de datos? ¿Has implementado un proceso para lidiar con los derechos de los interesados? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de DatosInfórmate aquí.