El ciclo de vida de los datos personales

Vigilancia Legal No. 41 – Noviembre de 2021

El ciclo de vida de los datos personalesEntre las obligaciones previstas por el RGPD, hay una que puede convertirse rápidamente en un dolor de cabeza para el responsable del tratamiento, a pesar de su naturaleza aparentemente inocua: es la período de retención de datos personales.

A priori, parece natural conservar los datos únicamente durante el tiempo que sea necesario para los fines perseguidos, tal y como prevé el artículo 5.1.e del RGPD.

En la práctica, surgen muchas preguntas: ¿debería eliminarse la información? ¿O debería conservarse con fines probatorios? ¿O de conformidad con las disposiciones legales? ¿Qué ocurre si se necesitan los mismos datos en dos contextos distintos?

El período de conservación es uno de los aspectos a los que la CNIL presta especial atención en sus controles, como lo demuestra su deliberación del 29 de octubre relativo a los ficheros de la RATP.

La empresa fue multada con 400.000 euros por violar los principios de finalidad, plazo de conservación y seguridad de los datos. 

En el marco de su gestión de recursos humanos, la RATP mantuvo datos relativos a agentes en la base de datos activa de una aplicación demasiado ampliamente accesible y durante un período que excedía el necesario para los fines perseguidos.  

La CNIL también observó que la RATP conservó los expedientes de evaluación del personal durante más de tres años después de la celebración de las comisiones de promoción para las cuales fueron creados, mientras que su conservación solo fue necesaria durante 18 meses después de la celebración de dichas comisiones.

En un contexto diferente, la CNIL ya había puntiagudo en noviembre de 2020 se amplió la duración de la conservación por parte de la empresa Carrefour de los datos de sus clientes.

Considera que un periodo de conservación de cuatro años es excesivo y recomienda mantener los datos de los clientes “inactivos” (que ya no operan con la empresa) durante un máximo de tres años (ver esta newsletter, diciembre 2020).

Los siguientes pasos guiarán al responsable del tratamiento de datos en la determinación de los períodos de retención:

• Almacenamiento de datos en una base de datos activa, accesible para las personas del departamento correspondiente, por ejemplo, recursos humanos, durante el tiempo que se necesiten los datos (por ejemplo, pago de salarios)

• Supresión o archivo intermedio de datos con fines probatorios o posibles litigios, con accesibilidad restringida y más segura, bajo autorización especial

• Eliminación o archivado permanente en condiciones de acceso aún más restringidas.

En cada etapa se deberá realizar una clasificación y se podrán eliminar o anonimizar determinados datos si no son útiles o no lo exige la ley.

Cuando los mismos datos se utilizan para dos fines diferentes, se les debe aplicar un período de retención separado en función de estos fines respectivos, así como reglas de acceso y eliminación apropiadas.

La CNIL dispone en un guía práctica publicó recomendaciones en julio de 2020 y enumera en sus documentos de referencia ciertos períodos de conservación previstos por la ley.

Los ejemplos incluyen:

En el marco de los recursos humanos, los datos de los candidatos de un máximo de dos años, las nóminas de un mínimo de cinco años (en aplicación del artículo L. 3243-4 del código del trabajo)

En el contexto comercial, los datos de facturación durante un período de diez años (obligación prevista por el Código de Comercio)

En el marco de la protección de las imágenes en vídeo, su duración máxima será de un mes (artículo L. 252-3 del código de seguridad interior).

Cabe añadir que la gestión rigurosa del tratamiento de datos, la eliminación de datos innecesarios y la limitación del acceso a los datos a nivel interno contribuyen a la seguridad de las bases de datos.

Estas medidas desempeñarán un papel preventivo ante ataques externos y el riesgo de violaciones de datos, que son riesgos importantes hoy en día.

Y también

Francia:

El 30 de noviembre, la CNIL publicó una nueva deliberación sobre las medidas para combatir la pandemia de Covid-19.

Llama la atención del Gobierno sobre la necesidad, más de 18 meses después del inicio de la epidemia, de elaborar elementos que permitan evaluar plenamente la eficacia de los expedientes y sistemas implantados, incluidos el pase sanitario, el expediente "vacunas" y la aplicación "TousAntiCovid".

La autoridad de control ha iniciado una quinta fase de controles, que se refiere en particular al período de conservación, la eliminación y/o la anonimización de los datos.

Europa:

Las autoridades supervisoras de la Unión Europea han iniciado una investigación conjunta sobre el cumplimiento del RGPD por parte de la plataforma de venta de segunda mano Vinted.

EL Supervisor Europeo de Protección de Datos (SEPD) anuncia un conferencia el 16 y 17 de junio sobre el tema de la protección de datos: “controles efectivos en el mundo digital”, reuniendo a ponentes sobre los temas de inteligencia artificial, derecho de la competencia y mercados y servicios digitales.

Esta conferencia se organiza en el contexto de los debates sobre la necesidad de centralizar los controles de implementación del RGPD a nivel europeo.

Nos referimos más precisamente a la reseñas emitido el 2 de diciembre por la vicepresidenta de la Comisión Europea, Vera Jourova, sobre la (in)eficacia de los controles en países como Irlanda.

El 21 de octubre, siete relatores especiales de la ONU denunciaron en un Comunicación la política europea de lucha contra el terrorismo que, mediante medidas excesivamente vagas, violaría los principios de legalidad, necesidad y proporcionalidad establecidos en los instrumentos europeos e internacionales de protección de los derechos fundamentales. 

EL Comité Europeo de Protección de Datos (CEPD)) adoptada el 18 de noviembre pautas especificar el alcance de las normas relativas a las transferencias internacionales de datos.

Recuerda, entre otras cosas, que estas normas se aplican a las transferencias entre responsables del tratamiento (o subcontratistas) cuando el exportador está sujeto al RGPD y transmite o hace accesibles los datos al importador situado en un tercer país.

Estas normas de transferencia no se aplican cuando una persona en Europa transmite datos por iniciativa propia. El documento está abierto a consulta pública hasta finales de enero.

El Comité también reiteró sus preocupaciones en un presione soltar sobre las propuestas de la Comisión Europea sobre gobernanza de datos, servicios digitales y mercados digitales, así como sobre la regulación de la inteligencia artificial.

Señala la protección insuficiente de los derechos fundamentales y la supervisión fragmentada, y pide prohibir el uso de IA en espacios públicos, la elaboración de perfiles infantiles y la segmentación publicitaria basada en el seguimiento sistemático de personas.

Esto hace eco la llamada El 24 de noviembre, la nueva coalición gubernamental alemana pidió prohibir la vigilancia biométrica en lugares públicos.

La Comisión Europea ha iniciado una procedimiento de infracción contra Bélgica por falta de independencia de su autoridad de protección de datos.

Bélgica tiene dos meses para reaccionar o enfrentarse a un recurso ante el Tribunal de Justicia de las Comunidades Europeas.

El Comité de Ministros del Consejo de Europa adoptada el 3 de noviembre Recomendación sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales en el contexto de la elaboración de perfiles.

Este nuevo texto actualiza la recomendación anterior CM/Rec(2010)13 sobre el mismo tema.

La empresa Vista clara, especializada en la recogida de datos biométricos, está en la mira de la autoridad supervisora británica.  

La ICO está considerando multar a la empresa con 17 millones de libras por recopilar datos de británicos sin su conocimiento.

La ICO investigación Además, sobre las prácticas de la empresa Cignpost Diagnostics que planea comercializar la información genética obtenida de sus clientes durante las pruebas PCR para la detección del virus COVID. 

Internacional :

EL Emiratos Árabes Unidos adoptada el 28 de noviembre ley federal Sobre protección de datos. Los responsables del tratamiento de datos dispondrán de 12 meses para garantizar su cumplimiento a partir de la fecha de publicación de la ley en el Diario Oficial.

El 24 de noviembre, 193 países adoptaron la recomendación La ONU sobre la ética de la inteligencia artificial, que prevé la prohibición de la puntuación social y el uso de la IA con fines de vigilancia global.