Ejercicio del derecho de acceso, portabilidad: ¿cuáles son los poderes de un representante?

Vigilancia Legal No. 35 – Mayo de 2021

Ejercicio del derecho de acceso, portabilidad: ¿cuáles son los poderes de un representante? Algunos responsables del tratamiento de datos pudieron expresar legítimamente su perplejidad al recibir una solicitud de una empresa encargada de obtener datos de su fichero de clientes, especialmente cuando la solicitud contenga requisitos especialmente amplios, por ejemplo, relativos a la transferencia de datos personales sin limitación temporal o que requieran el acceso automático a los datos.

El directivo puede cuestionar legítimamente los riesgos de la reutilización de los datos de sus clientes y las posibles distorsiones de la competencia que de ello se derivarían.

En principio, sin embargo, la práctica es legal.

Está previsto en el RGPD y en el artículo 77 del decreto de aplicación de la Ley de Protección de Datos, y tiene como objetivo facilitar el ejercicio de los derechos de acceso, oposición o incluso portabilidad de datos permitiendo a los interesados recurrir a un representante para ejercer sus derechos.

¿Cómo podemos preservar el control de las personas sobre sus datos permitiendo que un tercero ejerza estos derechos, evitando al mismo tiempo los abusos que podrían resultar de mandatos abusivos?

Corresponde al agente definir claramente el alcance de su mandato, y al gerente que recibe tal solicitud verificar la validez de dicho mandato.

La CNIL ha lanzado recientemente una consulta pública sobre un proyecto de recomendación destinada a aclarar el marco de esta nueva práctica.

También ha publicado un mandato tipo que puede servir de referencia para los agentes y responsables del tratamiento de datos.

Ciertos aspectos merecen especial atención y podrían justificar que el responsable del tratamiento solicite detalles adicionales antes de transmitir los datos en cuestión.

• Datos que permitan la identificación inequívoca, en el mandato, de la persona en cuyo beneficio se ejercen los derechos (por ejemplo, identificador, fecha de nacimiento, fecha de la última conexión)

• La identificación del destinatario al que se transmiten los datos (que puede ser el agente o el interesado)

• La autenticidad del mandato (existencia de una firma electrónica), su alcance y duración. Se deben especificar los datos o categorías de datos. La CNIL considera que un mandato establecido por tiempo indefinido no cumple los requisitos legales.

Si la transferencia se realiza electrónicamente, en particular a través de una interfaz de programación de aplicaciones (API), esta debe ser estable, tener un alto nivel de disponibilidad e integrar medidas de seguridad adaptadas a los riesgos. La CNIL tiene reservas sobre las técnicas de scraping que permiten obtener el nombre de usuario y la contraseña del interesado para extraer automáticamente los datos.

Si el responsable del tratamiento tiene dudas sobre la validez de un mandato, deberá justificar su negativa a conceder la solicitud de acceso de conformidad con el artículo 12.6 del RGPD.

Este podría ser el caso, por ejemplo, si existen dudas razonables sobre la identidad de la persona en cuestión, lo que requerirá recopilar información adicional de esa persona o del agente.

En el caso de un mandato, como para una solicitud de acceso clásica, el tiempo de respuesta del responsable del tratamiento es de un mes.

¿Qué pasa con la posible reutilización de estos datos por parte del agente para sus propios fines?

Se trata de una operación de tratamiento independiente que debe cumplir los requisitos de legalidad del RGPD.

El interesado deberá tener en todo caso la posibilidad de aceptar o no, caso por caso, cada reutilización que prevea el agente.

Cabe señalar que la CNIL, al igual que el Comité Europeo de Protección de Datos, considera que «los agentes no deben reutilizar datos relativos a terceros para sus propios fines», lo que se consideraría una violación de los derechos y libertades de terceros.

Y también

Francia:

En su informe de actividad de 2020, la CNIL Hace balance de los aspectos más destacados del año y, en particular, del impacto de la crisis pandémica en los derechos fundamentales.

Tres años después de la entrada en vigor del RGPD, constata una aumento constante del número de quejas – más de 62% este año, y emitió 14 sanciones, incluidas 11 multas por un total de 138 millones de euros.

EL Prioridades de la Comisión incluir

• Las nuevas normas sobre cookies (recientemente se han comprobado unas veinte organizaciones),
• Ciberseguridad y
• Soberanía digital.

La CNIL también anuncia trabajos prospectivos dedicados al vínculo entre la protección de datos y las cuestiones medioambientales relacionadas con el cambio climático.

La CNIL también anunció controles en farmacias con el fin de verificar las condiciones de recogida de datos de sus clientes por parte de la empresa Iqvia a los efectos de análisis de patologías.

Estas comprobaciones se producen tras la difusión a mediados de mayo de un informe sobre la explotación de datos personales que provocó numerosas reacciones.

La Comisión indicó finalmente que era A favor de la creación de un pase sanitario siempre que se ofrezcan garantías para el tratamiento de los datos y que el pase solo se utilice mientras dure la crisis sanitaria.

El 3 de junio publicó su tercer dictamen sobre medidas para combatir la pandemia.

El Consejo Constitucional se pronunció el 20 de mayo sobre la ley de “Seguridad Global”.

Censura el artículo 24 relativo a la criminalización de la difusión “maliciosa” de la imagen de las fuerzas del orden, así como gran parte de los artículos 47 y 48 que organizan la vigilancia mediante drones, en particular durante las manifestaciones, y el uso de cámaras a bordo. vehículos y aeronaves encargados de hacer cumplir la ley.

Europa:

Varios actores de la sociedad civil iniciaron el 26 de mayo quejas contra la empresa de reconocimiento facial Clearview, Especialmente en Francia, Austria, Italia, Grecia y el Reino Unido.

Allá Tribunal Europeo de Derechos Humanos El 25 de mayo, el Tribunal Supremo del Reino Unido dictaminó por unanimidad que el régimen de vigilancia generalizada del Reino Unido, hecho público por Edward Snowden en 2013, viola el artículo 8 del Convenio Europeo de Derechos Humanos sobre la protección de la privacidad.

El Comité Europeo de Protección de Datos El 20 de mayo se adoptaron dos códigos de conducta a raíz de las decisiones de las autoridades francesas y belgas sobre la nube: para Bélgica, se trata del código de conducta Cloud de la UE y, para Francia, del CISPE, relativo a los proveedores europeos de servicios de infraestructura en la nube.

El Comité también publicó su informe de actividades de 2020 el 2 de junio.

El Supervisor Europeo de Protección de Datos lanza dos investigaciones sobre el uso de los servicios en la nube de Amazon y Microsoft por parte de instituciones europeas.

Estas investigaciones tienen como objetivo verificar las condiciones de tratamiento y, en particular, las transferencias de datos de estas empresas a Estados Unidos a la luz de la sentencia Schrems II del Tribunal de Justicia de las Comunidades Europeas.

La Unión Europea anunció públicamente a principios de junio que, para llegar a un acuerdo sobre las transferencias de datos a Estados Unidos, este último debería adoptar leyes vinculantes que permitan a los ciudadanos europeos defenderse ante los tribunales de la recopilación masiva de sus datos por parte del gobierno estadounidense.

Internacional :

Un estudio reciente publicado por Privacy Laws and Business (G. Greenleaf) plantea que actualización global de privacidadSe señala que el número de países que han adoptado leyes de protección de datos ha aumentado de 132 a 145, mientras que otros 23 países tienen proyectos de ley en trámite.

Brasil: Al igual que varios de sus homólogos europeos, la autoridad de control brasileña solicita a WhatsApp que suspenda su nueva política de privacidad hasta que se complete la investigación sobre sus consecuencias en términos de protección de datos y competencia.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.