Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Política de cookies
Gestión de Cookies
Zona Clientes
User
Password
Campus e-Learning
User
Password
Noticias  /  El regulador de protección de datos del Reino Unido señala medidas enérgicas contra las infracciones de solicitud de acceso

El regulador de protección de datos del Reino Unido señala medidas enérgicas contra las infracciones de solicitud de acceso

Agencias públicas y privadas reprendidas por respuestas lentas a consultas de datos de consumidores

28/10/2022

Las leyes de privacidad de datos en la UE y el Reino Unido establecieron el derecho de las personas a averiguar qué información personal tienen las organizaciones sobre ellas, pero las organizaciones no siempre son oportunas para responder a las solicitudes de acceso de los sujetos. Jonathan Armstrong y André Bywater de Cordery analizan las acciones recientes en el Reino Unido y exploran métodos para garantizar que las empresas sigan cumpliendo con las solicitudes de datos de los consumidores.

El RGPD de la UE y el Reino Unido (y la Ley de protección de datos del Reino Unido de 2018 en el Reino Unido) permiten a las personas realizar solicitudes de acceso sujeto (SAR) a las organizaciones para obtener información sobre los datos personales que las organizaciones tienen sobre ellos, sujeto a ciertas excepciones.

Una vez que se recibe un SAR, una organización generalmente debe proporcionar la información solicitada sin demora y, a más tardar, dentro del mes siguiente a la recepción de la solicitud. Sin embargo, si un SAR es complejo o la persona ha realizado numerosas solicitudes, la organización puede extender el período de cumplimiento por otros dos meses, pero debe informar a la persona de la extensión dentro del mes siguiente a la recepción de la solicitud y explicar por qué la extensión. es necesario.

Las personas agraviadas pueden presentar una queja oficial ante la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) sobre el manejo de un SAR por parte de una organización, y la ICO determinará si la organización está violando la ley, así como qué medidas se tomarán contra la organización.

Acciones recientes de ICO

Después de realizar investigaciones, la ICO determinó que siete organizaciones del Reino Unido no cumplieron repetidamente con el plazo de respuesta SAR correspondiente. Como resultado, en muchos casos, las personas que elaboraban los SAR habían sufrido una angustia considerable.

Las siete organizaciones fueron identificadas luego de una serie de quejas en relación con múltiples fallas en responder a los ROS para copias de información personal recopilada y procesada por estas organizaciones, ya sea dentro de los plazos legales o en absoluto.

El ICO emprendió acciones regulatorias contra las siguientes organizaciones:

  • Ministerio de Defensa (MoD): El ICO emitió una reprimenda al MoD luego de una acumulación de SAR identificada que data de marzo de 2020. A pesar de que el MoD estableció un plan de recuperación, la acumulación siguió creciendo y se situó en alrededor de 9,000 solicitudes de SAR en espera de un respuesta, lo que significa que, en promedio, las personas normalmente han esperado más de un año.
  • Virgin Media: durante un período de 6 meses en 2021, Virgin Media recibió más de 9500 SAR, el 19 % de los cuales no recibieron respuesta durante el plazo legal. En consecuencia, el ICO emitió una reprimenda.
  • Ministerio del Interior: El ICO emitió una reprimenda al Ministerio del Interior porque, entre marzo de 2021 y noviembre de 2021, el Ministerio del Interior tenía una acumulación de poco menos de 21,000 SAR que no habían sido respondidos dentro del plazo legal y, a partir de julio de 2022, hubo poco más de 3000 SAR sin respuesta fuera del plazo legal.
  • Municipio londinense de Croydon: desde abril de 2020 hasta abril de 2021, el Consejo de Croydon respondió a menos de la mitad de los SAR dentro del plazo legal, lo que significa que 115 residentes no recibieron una respuesta. En consecuencia, el ICO emitió una reprimenda.
  • Policía de Kent: desde octubre de 2020 hasta febrero de 2021, la policía de Kent recibió más de 200 SAR, el 60 % de los cuales se completaron dentro del plazo legal. Sin embargo, se informó que algunos de los SAR restantes tardaron más de 18 meses. A partir de mayo de 2022, más de 200 SAR estaban vencidos. En consecuencia, el ICO emitió una reprimenda.
  • Municipio londinense de Hackney: durante el período de abril de 2020 a febrero de 2021, el Consejo de Hackney no respondió a más del 60 % de los ROS presentados dentro del plazo legal. El SAR más antiguo fue de más de 23 meses. En consecuencia, el ICO emitió una reprimenda.
  • Municipio londinense de Lambeth: entre agosto de 2020 y agosto de 2021, el Consejo de Lambeth recibió 815 SAR, de los cuales solo el 53 % recibió respuesta en el plazo de un mes. En consecuencia, el ICO emitió una reprimenda.

El ICO ha ordenado a estas organizaciones que realicen mejoras entre tres y seis meses o se enfrenten a otras posibles acciones de aplicación.

Conclusiones clave

Entregar un SAR dentro del plazo legal puede ser un desafío, pero es una obligación de cumplimiento que una organización debe cumplir. De lo contrario, puede enfrentar una investigación regulatoria, que consumirá recursos, y puede enfrentar una acción regulatoria, según el resultado de las investigaciones. Las personas también podrían buscar una compensación financiera de organizaciones en las que los SAR de esas personas no se hayan manejado adecuadamente y, en consecuencia, experimentaron angustia.

Para apuntar al cumplimiento, las organizaciones deben:

  • Tome nota de cuándo se recibió un SAR y cuándo terminará el límite de tiempo.
  • Desde el momento en que se recibe el SAR, no altere los datos personales para evitar su divulgación a la persona (según las normas de protección de datos del Reino Unido, esto constituye un delito penal).
  • Diseñar políticas y procedimientos eficientes para hacer frente a los ROS.
  • Capacite al personal sobre cómo manejar los SAR.

 

Fuente:corporatecomplianceinsights.com

Solicita más información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por International Dynamics Advisors (INTEDYA), para tramitar su solicitud de información respecto al asunto indicado. .

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los solicitantes. INTEDYA únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni INTEDYA ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su solicitud, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a International Dynamics Advisors, en Calle Secundino Roces Riera, nº 5, planta 2, oficina 7, Parque Empresarial de Asipo I. C.P. 33428 Cayés, Llanera (Asturias)., o a la dirección de correo electrónico info@intedya.com.

Además, en caso de que usted nos autorice expresamente, INTEDYA podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés.

Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, INTEDYA pone a disposición de los interesados, a través de su página web, su Política de Privacidad.

Trabajamos formando un banco mundial de conocimiento, sumando la experiencia y capacidades de todos nuestros profesionales y colaboradores capaces de formar el mejor equipo internacional de conocimiento.
Suscríbete a nuestra Newsletter
Solicita información adicional

Reconocimientos y participación

INCIBECursos Universitarios de Especialización UEMCStaregisterUNE Normalización EspañolaOganización Asociada a la WORLD COMPLIANCE ASSOCIATIONStandards Boost BusinessMiembros de ANSI (American National Standards Institute)Miembros de la Green Industry PlatformMiembros de la Asociación Española de la CalidadAdheridos al Pacto de LuxemburgoMiembros de la European Association for International Education