EDICIóN GENERAL
272 meneos
2524 clics

Descubre lo que tu jefe ha dicho sobre ti (con la nueva Ley General de Protección de Datos GDPR Europea) [EN]

El Reglamento general de protección de datos sostiene que cualquier persona en Europa puede solicitar a cualquier empresa los datos que tiene sobre ellos. La GDPR de Europa impone severas sanciones a las empresas que violen la medida. Si un empleado presenta una solicitud de acceso sobre el tema (en un correo electrónico, fax o carta solicitando sus datos personales), su empleador tendrá 30 días para recopilar un caché de toda la información almacenada sobre esa persona. Esto incluye cualquier correo electrónico que se refiera al trabajador,...

| etiquetas: gdpr , trabajo , europa
Si una empresa elimina alguno de los datos para evitar su divulgación después de que se realiza la solicitud de acceso al sujeto, puede ser responsable de sanciones penales
#1 Muy bonito pero lo complicado va a ser demostrarlo.
#3 tan fácil como guardar del día de la solicitud o anterior un e-mail donde se te cite.

Si luego no aparece en la documentación aportada por borrado. ¡Pillados!
#16 Pillado por ESE correo. Pero seguirás sin saber si hay más. Es prácticamente imposible.
#18 creo que la multa son 20 millones de euros (máximo) por ESE correo.

A la 3 o 4 vez, van a empezar a pensarse lo de hacerlo bien.
#22
El reglamento europeo establece un régimen sancionador muy severo, que puede alcanzar para los supuestos más graves, multas administrativas de hasta veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente de hasta el 4 % del volumen de negocio total anual global

¡Cómo van a ser 20M por un mail! Esa es la multa máxima prevista para las sanciones más graves (cosas como venta masiva de datos personales sin consentimiento a grandes empresas u otros temas MUY graves). La cuantía de la sanción es proporcional (aunque no son pequeñas) a la falta. Muy difícil veo que a un autónomo o una microempresa le caigan 20M por un mail, el mundo entero se iría a la mierda...
#32 Tienes razón, pero el 4 % del volumen de negocio total anual global puede representar el beneficio de uno o varios años.

Debería ser un x% sobre el beneficio anual de la empresa no sobre volumen de negocio total anual global. Es lo que pasa cuando la ley lo redacta personas incultas.
#16 vamos a ver, si yo pregunto por dicha informacion no es para enterarme de los correos que ya tengo, es para enterarme si me ha llamado hijo de puta en algun correo con otra persona, si me ha puesto verde ante clientes, cosas así, y si lo ha hecho y borra el correo, a menos que alguien haga una investigación, no te vas a enterar en la vida.
A lo mejor te enteras de las referencias que ha dado a la competencia o algo así, sobretodo si no son malas, pero está claro que si hay algo que quieran ocultar, va a ser jodido que te enteres solo preguntando por mucho que obligue europa, así que solo te vas a enterar de la parte que no te interesa
#16 Hay una trampa en eso. La obligación es a proporcionar toda la información que la empresa tenga almacenada, no la información comunicada. ¿Y si alega que no la tiene almacenada? Si no hay una obligación legal a almacenar las comunicaciones por un tiempo determinado (aunque no estoy seguro de que no exista), ¿cómo demuestras lo contrario sin disponer del control de los archivos?
#34 la jurisprudencia europea tan sólo obliga a retener las comunicaciones 60 días.
#55 ¿Ah si? ¿Llamadas telefónicas y conversaciones incluídas? ¿Es eso tan siquiera factible?
#58 sólo los registros, pero los colegios de abogados guardan los emails mínimo 60d, te lo dice uno de sus sysadmins
#60 No tengo constancia que dicha obligación sea extensible a todas las empresas. Si que se que hay cierto tipo de comunicaciones electrónicas que deben incorporarse a fichero durante varios años como los contratos comerciales, pero eso ya sucedía antes de la nueva ley y no es el objeto que se debate en la noticia.
#61 los colegios de abogados complen la ley a rajatabla. La directiva de retención de datos de la UE es la que obliga a los 60 días (al principio pedían 2 años), y es básicamente un "tcpdump" de las cabeceras TCP/IP y la localización y duración de las llamadas telefónicas (sender<->receiver, fecha inicio, duración, antenas implicadas en la llamada, etc...).

Está claro que ahí no ves el contenido de un email. La recomendación que le dimos a los colegios fue retener logs al menos…   » ver todo el comentario
#61 PD: obliga a toda empresa o particular haciendo negocio en Internet (no sólo e-commerces, sinó incluso a la web presencial de una peluquería, particulares sólo si hacen negocio. Las excepciones: entidades sin ánimo de lucro, y aunque los colegios de abogados entrarían en dicha categoría, se lo auto-imponían).

En resúmen, si tienes que avisar de las cookies, tienes que guardar logs.
#25 El CISO iría, no el CEO. Así lo pauta la ley.
Ya si claro... en mi empresa (4k trabajadores) vas con esta petición y estarían riéndose una semana
#2 Les pones una demanda y se les atraganta la risa.
#9 20 millones de euros la broma ¿no?
#17 Cuando pongan una multa de 20 mill por no proporcionar los datos de un trabajador... me lo cuentas, de momento, no me lo creo.
#24 de un trabajador o cualquier cliente.

Modo Juez dredd: Es la leyyyy
#24 yo tampoco.

Además es irrealizable. ¿Que van a hacer las empresas? Mantener una base de datos que relacione a cada trabajador con cada mención que se haya hecho del mismo?.

Esta ley es razonable para los datos generales del trabajador o los clientes de la empresa, pero ¿"todos"?.

Para empezar obliga a la empresa a leer el contenido de todos los mails que estén en su sistema de correo loquesea@estaempresa.es.

Lo que es ilegal en mayoría de los casos. Y tendría que darle acceso…   » ver todo el comentario
#30 lo que viene a ser opinar sin tener ni idea de cómo funcionan las cosas. En serio, la empresa DEBE tener eso localizado accesible indexado, archivado y protegido de miradas internas y externas. La información que pueda tener un trabajador de la empresa, debe estar securizada en una BBDD o repositorio similar. No escrita en un postit en el monitor. Y si es así: multa.
#36 que no es posible.

Si la de derechos humanos (persona A) manda un mail a la de contabilidad (persona B) para dar de alta a un trabajador ese mail es una comunicación privada (según sentencias del supremo) y nadie que no sean A y B tienen acceso a él.

Yo como gestor de la privacidad de la empresa no puedo exigir a los trabajadores que me envien todos sus correos para revisar sus contenidos y agregar los mail al dossier que corresponda.

Sería una invasión flagrante de su privacidad.

Por eso mismo, (la empresa no tiene acceso a las comunicaciones de sus empleados) es absurdo pedirle a la empresa que controle el 100% de la información.

No puede.
#40 sobre tu comentario

Si la de derechos recursos humanos (persona A) manda un mail a la de contabilidad (persona B) para dar de alta a un trabajador ese mail es una comunicación privada laboral (según sentencias del supremo) y nadie que no sean A y B tienen acceso a él.
Privada sería si hablasen de irse de copas, no si está relacionado con el desempeño de la actividad laboral

Yo como gestor de la privacidad de la empresa no puedo exigir a…   » ver todo el comentario
#42 Pregunta ¿Hay que guardarlo todo por los tiempos de los tiempos, o sólo un máximo de años? Es que lo primero me parece poco práctico...
#46 No lo pone en ninguna parte de la ley. Los vendehumos y gurús digitales varios dicen que 5 años pero... Por venderte su movida. Sinceramente yo soy 100% técnico y me limito a diseñar la solución que pidan e implementarla bien. El alcance de la ley se me escapa bastante. Aunque estaría bien saberlo.
#42 tengo una empresa... Y estamos en ello.

Te equivocas en un montón de cosas pero como no voy a discutir contigo de esto te pondré un ejemplo claro y manifiesto: "Yo como técnico con acceso al servidor de correo puedo recuperar cualquier correo tuyo desde el origen de los tiempos."

¿Puede el tecnico de acceso del servidor de google leer tus correos de gmail? ¿No verdad?

Pues el tecnico de mi empresa tampoco puede. Si lo hace o se le cae el pelo a él o se me cae a mi. Y creeme que…   » ver todo el comentario
#48 estás siendo MUY mal asesorado en tu empresa. Ten cuidado. Yo como técnico puedo recuperar cualquier correo tuyo sin necesidad de leerlo ni acceder a su contenido. Es más, se puede establecer la presencia y autorización de DOS oficiales de seguridad (i.e. dos contraseñas de técnicos distintos) como condición para el acceso a esa información o para la desanonimizacion del contenido si fuese necesario (lo puede pedir un juez, por ejemplo) si por Gmail dices cuentas de Gmail personales... En…   » ver todo el comentario
#50 no te he leido entero, la verdad. Disculpame por ello. Solamente las dos primeras líneas.

1. Todo esto ha empezado por que alguien ya dicho que la información personal incluye todos los mails QUE CONTUVIERAN información sobre el sujeto.

2. Yo he dicho que es imposible que la empresa conozca el contenido de los mails.

3. Me dices "Yo como técnico puedo recuperar cualquier correo tuyo sin necesidad de leerlo ni acceder a su contenido"

4. Y yo te dgo: pero sigues sin poder…   » ver todo el comentario
#17 El maximo es un porcentaje de volumen de negocio con máximo de 20 millones de euros . Para algunas empresas una propina. Frente a las grandes cifras del titular parece que se legisla para limitar la responsabilidad de las empresas con el tráfico de datos.
#26 yo trabajo en una empresa en la que 20 millones son calderilla y aún así nos estamos cuidando muyyyyy mucho de no meter la gamba.

20 millones duelen. Antes las multas por LOPD eran 600.000€
#26 no, el mínimo es 20 millones. O un 4% del volumen total de la empresa si supera los 20 millones (en el caso de la multa mas gorda).

Up to €20 million, or 4% of the worldwide annual revenue of the prior financial year, whichever is higher

Fuente: www.gdpreu.org/compliance/fines-and-penalties/
#35 Esa frase en inglés dice, literalmente: "Hasta 20 millones o el 4% del ingreso anual del año financiero anterior, el que sea mayor". De ahí no se deduce que el mínimo sean 20 millones ni que si lo supera entonces se multa con el 4%.

Tanto la multa correspondiente como el ingreso anual es variable en todo caso, ya que depende de la gravedad del suceso y del estado financiero de la propia entidad sancionada.
#38 evidentemente, por eso he dicho en el caso de "multa más gorda" refiriéndome al "caso más extremo". Pero lo que no es verdad es lo que han dicho en #26. Cito: "El maximo es un porcentaje de volumen de negocio con máximo de 20 millones de euros", eso es mentida, el máximo es un porcentaje de volumen de negocio (4%) O 20 millones de euros (el que sea más grande). Hay una diferencia ya que para las empresas grandes 20m no supone nada, 4% de sus ingresos globales si.
#39 Correcto.
#9 Te crees que no tienen nada más que una! ainsss.
#2 Estarían riéndose hasta que les llegue la sanción de varios cientos de miles de euros por la vía ejecutiva.
Esto no es así. El derecho de acceso es el mismo que existía con la LOPD y solo afecta a los datos estructurados de registros o ficheros. Obviamente los email no entran en esta categoría.

Esta práctica de los emails es algo solo de la legislación británica.
#4 El artículo dice:
This includes any email that refers to the worker, as well as performance reviews, job interviews, payroll records, absence records, disciplinary records, computer access logs, CCTV footage, and recordings of phone calls to, from or about the person.
This right has been available to individuals under existing European data protection rules, such as the UK’s Data Protection Act, but GDPR makes it much easier to access by removing the cost (UK companies could charge £10 for such a request before)
#5 El GDPR no elimina el coste. De hecho lo añade (la LOPD no lo contempla). Lo único que dice es algo del estilo de que debe ser proporcional y justo. Puedes leerlo por ejemplo aquí: gdpr.report/news/2017/11/20/gdpr-subject-access-requests/ o aquí www.gdpreu.org/the-regulation/list-of-data-rights/right-of-access/
#5 El del artículo se ha columpiado mucho.

A lo que se refiere el derecho de acceso es que la empresa tiene que proporcionarte todos los datos tuyos que tiene recopilados. Pero un email de tu jefe a otro jefe diciendo: "pues pepito perez me parece un gilipollas" no entra dentro de dichos registros. Lo que si incluiria los mails es si, por ejemplo, el sistema de evaluaciones o el proceso de contratacion contaran con una fase en la cual se transmitan y almacenen dichos datos por…   » ver todo el comentario
#4 Añadir que la LOPD y GDPR se refieren a datos personales. Un email de Fulano a Mengano diciendo "el nuevo de RRHH me cae fatal" no contiene absolutamente ningún dato personal.

Además, el derecho a acceso (y todos los demás) se refiere a que la empresa debe decir qué datos tiene sobre ti, pero no en qué contexto. Si ejerces tu derecho al acceso y existe un email en la empresa que dice "vamos a despedir a Pepe Fernández con DNI 1234567M dentro de 2 semanas", la empresa tiene obligación de contestarte que tiene tu nombre, apellidos y DNI, pero no el contenido del email (ni niguno otro).
#4 #14
Estais un poco confundidos con lo que entiendes la GDPR por "datos personales" que es algo mucho más amplio que lo que decían legislaciones nacionales como la LOPD.
Cualquier dato almacenado con información que identifique inequívocamente a tu persona es un dato personal, nada de "registros" o "ficheros". Si alguien tiene tu nombre y tu teléfono en una servilleta a boli son datos personales tuyos y tienes derechos ARCO sobre ellos. Si alguien tiene una…   » ver todo el comentario
#45 No, no tienen que darte los datos en su contexto. Eso es una auténtica barbaridad.
#54 Sí los tienen que dar, porque lo que tiene valor de protección es precisamente el contexto. No es igual que tu DNI figure en un listado de morosos a que figure en una historia clínica. Al dueño del dato no le aporta nada que una empresa X te diga tu nº de DNI (que ya lo sabes) sino donde está y para qué uso.
"Se va a ve un follón..."
Primero la ley de cookies, ahora esto. El daño que está haciendo la obsesión por la privacidad a los negocios.
Antes era querer montar un sindicato, ahora es pedir los datos que tengan de uno...
Pues igual es la risa como un jefe (que también son empleados) pida lo mismo sobre él mismo y para buscar lo que hayan comentado sus subalternos dedicándole elogios :roll:
#10 Si los subalternos guardan conversaciones sobre el jefe por email o en sus discos duros... no voy a decir que se merecen lo que les pase pero se merecen lo que les pase.
#10 Yo no me fiaría de usar el email de la empresa ni el chat para poner verde al jefe, y te lo digo porque he trabajado en el departamento informático de una empresa donde se tenía acceso a todo, emails, chats..etc (seguramente no sería 100% legal)
Empresas públicas también?
Yo tengo claro que todos mis exjefes hablan maravillas sobre mí, no necesito buscarlo :-D

Además, la opinión de un jefe es siempre fiable y súper-objetiva..
Ya, esto es como cuando te graban en la calle y hay un cartelito que dice "tiene derecho a rectificación y cancelación". A saber si por preguntar que me borren un día no llamo más la atención de quien sea.
Estamos llegando a un nivel de estupidez e inoperabilidad díficil de superar ^^
> “It can cost the company tens of thousands of pounds because it’s incredibly resource intensive,” said Jack Carvel, general counsel at Qubit, which provides personalisation software to e-commerce sites.

Implementar las medidas adecuadas para extraer toda la información no es baladí. Supongo que tiene que ver con que diesen dos años para que se implementasen.

Aún así, si no se hacen "bien" y los procesos requieren de cierto grado de participación manual, van a salir unos cuantos escaldados de tanto trabajo.
Esto es ridículo, una mención de tu nombre en un correo no lo convierte en datos personales tuyos, además puedes tener el mismo nombre que un compañero, o puede estar mal escrito y entonces no lo incluirían y estarían cometiendo una ilegalidad, y otros mil supuestos absurdos más que se me ocurren si eso fuera así
pues sabes que LUKS con guacamole en el server thin clients en la oficina y asunto resuelto
Artículo 2

El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al
tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
De verdad que vivís en los mundos de yupi.
comentarios cerrados

menéame