Por: Carlos
A. Ferreyros Soto
Doctor en Derecho
La CNIL (Comisión Nacional de Informática y Libertades) y otras autoridades europeas de protección de datos lanzaron en 2024 una acción coordinada para evaluar la mplementación de las últimas novedades en materia de derecho de acceso por parte de organizaciones públicas y privadas.
Esta iniciativa, iniciada por el Comité Europeo de Protección de Datos (CEPD), es la tercera acción de este tipo, tras investigaciones previas e informe de los delegados de protección de datos.
Los objetivos
de estas acciones fueron de:
·
Verificar
la aplicación de derecho de acceso, uno de los derechos más aceptados por los ciudadanos.
·
Evaluar
los procesos implementados por las organizaciones para cumplir con estos requisitos.
· Identificar buenas prácticas y posibles problemas prestando atención a las solicitudes de acceso.
Algunos
elementos claves examinados en los controles de la CNIL y otras autoridades de protección
de datos personales europeas, fueron:
·
La
existencia y accesibilidad de la información depende de la falta de acceso.
·
La
simplicidad del proceso asegura que los ciudadanos estén perdidos.
· Procedimientos internos para gestionar las solicitudes de acceso
Los
resultados y consecuencias de los controles muestran que las medidas son insuficientes
e insatisfactorias:
· algunas organizaciones responden proporcionando únicamente
información relativa al tratamiento de datos personales realizado, sin incluir copia
de los datos tratados;
· por el contrario, otras organizaciones sólo proporcionan
una copia de los datos tratados, sin proporcionar información sobre el tratamiento
realizado;
· finalmente, otras organizaciones excluyen sistemáticamente
de sus respuestas determinadas operaciones de tratamiento o determinadas categorías
de datos personales.
Las directrices sobre el derecho de acceso adoptadas por el CEPD en 2023 son poco tenidas en cuenta por los organismos controlados, o incluso desconocidas. En el marco de esta acción coordinada y tras los controles realizados, la CNIL ya ha emitido varios recordatorios de obligaciones legales, y continúa examinando los demás controles que ha realizado para dictar otras medidas correctoras.
A fin de acceder a normas similares y estándares europeos, las empresas,
organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones,
estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:
cferreyros@hotmail.com
Derecho de acceso: evaluación de los controles de la CNIL en el marco de una acción europea coordinada
Como parte de una acción coordinada a nivel europeo, en 2024 la CNIL llevó a cabo una serie de inspecciones de organizaciones públicas y privadas para verificar que se tuviera en cuenta el derecho de acceso . Tomó medidas represivas contra organizaciones que sólo respondían parcialmente a las personas afectadas.
Para la tercera edición de la acción coordinada ( marco coordinado de aplicación (MCE) del Comité Europeo de Protección de Datos (SEPD) , la CNIL y varios de sus homólogos europeos evaluaron la aplicación del derecho de acceso de los individuos a sus datos personales por parte de las organizaciones.
Como recordatorio, los responsables del tratamiento de datos tienen la obligación de responder a las solicitudes de derechos de acceso de las personas. Esta respuesta debe contener una determinada cantidad de información (artículo 15 del RGPD).
Respuestas incompletas a solicitudes de acceso
En el marco de esta acción, la CNIL llevó a cabo inspecciones in situ de 11 organizaciones públicas y privadas, de diversos tamaños y sectores de actividad. Estas organizaciones fueron elegidas sobre la base de las denuncias recibidas por la CNIL.
De estas investigaciones se desprende que estas organizaciones han implementado principalmente medidas organizativas para procesar las solicitudes de derecho de acceso que reciben (por ejemplo, el nombramiento de un delegado de protección de datos).
Sin embargo, estas medidas son a veces insuficientes e insatisfactorias . Por ejemplo, cuando los interesados ejercen su derecho de acceso a la totalidad de sus datos, algunas organizaciones sólo dan una respuesta parcial o incompleta:
- algunas organizaciones responden proporcionando únicamente información relativa al tratamiento de datos personales realizado, sin incluir copia de los datos tratados;
- por el contrario, otras organizaciones sólo proporcionan una copia de los datos tratados, sin proporcionar información sobre el tratamiento realizado;
- finalmente, otras organizaciones excluyen sistemáticamente de sus respuestas determinadas operaciones de tratamiento o determinadas categorías de datos personales.
Las directrices sobre el derecho de acceso adoptadas por el SEPD en 2023 son poco tenidas en cuenta por los organismos controlados, o incluso desconocidas. Sin embargo, estas directrices proporcionan numerosos consejos prácticos y ejemplos para ayudar a las organizaciones a responder a las solicitudes de derecho de acceso de los interesados de conformidad con la ley aplicable. Este documento ilustra, por ejemplo, las condiciones bajo las cuales los responsables del tratamiento pueden solicitar aclaraciones a la persona que ejerce su derecho para satisfacer su solicitud.
La CNIL también ha publicado una ficha práctica que recuerda a los profesionales sus obligaciones y la información que deben transmitir cuando una persona la solicita.
Las medidas represivas de la CNIL
En el marco de esta acción coordinada y tras los controles realizados, la CNIL ya ha emitido varios recordatorios de obligaciones legales.
La CNIL continúa examinando los demás controles que ha realizado: según los casos, puede dictar otras medidas correctoras (recordatorio de obligaciones legales, requerimientos o multas) o cerrar los procedimientos en caso de incumplimiento de las normas aplicables. .
Para profundizar
- Los derechos de las personas sobre sus datos
- Profesionales: ¿cómo responder a una solicitud de derecho de acceso?
- Controles de la CNIL en 2024: datos de menores, Juegos Olímpicos, derecho de acceso y recibos electrónicos
- Derecho de acceso, ventanilla única, filtración de datos: el SEPD publica nuevas directrices
- control CNIL
- ¿Cómo funciona un control CNIL?
- El Comité Europeo de Protección de Datos (SEPD)
- Documento del Consejo Europeo de Protección de Datos sobre la implementación del marco coordinado de aplicación del Reglamento (UE) 2016/679 - SEPD
No hay comentarios:
Publicar un comentario