Cada persona puede ejercitar sus derechos en nombre de una persona o de un organismo encargado por este fin. Para acompañar estos últimos, la CNIL publica su recomendación adoptada después de una consulta pública.
¿Qué es el fin de esta recomendación?
El GDPR deja a las personas un cierto numero de derechos que permiten de mantener el control de sus datos personales.
Estos derechos pueden ser ejercitados desde los mismos individuos, directamente en los organismos que tienen sus datos (“los responsables del tratamiento”), pero también mediante personas o organismos que especificadamente encargados por este fin.
Esto se refiere al derecho a la portabilidad, que facilita la libre circulación de datos personales en las Unión Europea, estimulando al mismo tiempo la concurrencia y la innovación, así como el derecho de acceso, que proporciona un elevado nivel de trasparencia sobre la realidad de tratamientos para las personas interesadas.
El mandato ofrece nuevas perspectivas para los individuos, pero también por un conjunto de ecosistema de actores, privados y públicos, que desean crear soluciones inéditas y nuevos usos.
La CNIL ha decidido de elaborar una recomendación para ofrecer un marco a estas actividades y proporcionar certidumbre jurídica tanto a los actores que intentan de asumir el rol de mandatario tanto a los organismos que reciben solicitudes de estos actores.
Sin ser prescriptiva ni exhaustiva, esta recomendación realiza el papel de guía practica destinada a aclarar estos actores y condiciones en cual individuos pueden encargar organismos a ejercitar los derechos.
¿Qué es el contenido de la recomendación?
Las tapas de una pregunta de ejercicio de derechos mediante un mandato
La recomendación presenta las varias fases de una solicitud de ejercicio de derechos mediante un mandatario y afronta en particular las siguientes cuestiones:
- La forma y el contenido del mandato;
- Las preguntas de derecho automatizadas;
- Las situaciones en las cuales el responsable del tratamiento puede considerar compleja, manifiestamente infundada o excesiva una solicitud de ejercicio de derechos por parte de un representante autorizado;
- Las normas de seguridad que aplicar y los formados para la transmisión de datos;
- Las condiciones a las cuales un representante puede reutilizar los datos objeto del ejercicio del derecho, por propio conto y bajo la propia responsabilidad.
Un mandato tipo de acompañamiento
Esta recomendación ha sido acompañada desde un mandato tipo al cual los mandatarios y los responsables del tratamiento puede referirse.
Atención: se refiere únicamente a la protección de datos: pueden ser añadidas otras cláusulas de carácter comercial, a condición de que no sean en contraste con la legislación aplicable a la protección de datos.
Numerosas contribuciones retenidas para la recomendación
Después de una consulta publica lanzada el 25 de noviembre de 2020, casi veinte contribuidores han permitido de enriquecer el proyecto de recomendación inicialmente publicado, en particular sobre cuatro puntos:
- La versión final de la recomendación aclara la repartición de los papeles y de las responsabilidades entre los responsables del tratamiento y los mandatarios. Los primeros tienen que contestar las solicitudes, los segundos son responsables de los tratamientos que pueden efectuar sobre los datos, no apenas recibidos.
- La recomendación aclara el ámbito de aplicación, en particular para lo que se refiere a los prestadores de servicio de pago la cual actividad es disciplinada desde la DSP2 (segunda directiva sobre los servicios de pago). Los proveedores de informaciones sobre las cuentas pueden ejercitar los derechos previstos desde el GDPR en calidad de mandatarios, bajo determinadas condiciones, en particular fuera de la provisión de un servicio de información sobre las cuentas o si la solicitud no se refiere a los datos de pago.
- La recomendación aclara también las hipótesis en cual un mandatario no puede ser convertido destinatario de datos: la transmisión directa de datos por parte del responsable del tratamiento puede ser solicitada solo en el ámbito del derecho a la portabilidad, pero la CNIL apoya los responsables del tratamiento a inviar los datos al mandatario cuando este ultimo se designa como destinatario desde el interesado en el mandato.
- La recomendación refuerza las condiciones a las cuales los mandatarios pueden excepcionalmente tomar en consideración la extracción de contenidos (o scraping).
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL