Portada
mis comunidades
otras secciones
#14:
#4 Añadir que la LOPD y GDPR se refieren a datos personales. Un email de Fulano a Mengano diciendo "el nuevo de RRHH me cae fatal" no contiene absolutamente ningún dato personal.
Además, el derecho a acceso (y todos los demás) se refiere a que la empresa debe decir qué datos tiene sobre ti, pero no en qué contexto. Si ejerces tu derecho al acceso y existe un email en la empresa que dice "vamos a despedir a Pepe Fernández con DNI 1234567M dentro de 2 semanas", la empresa tiene obligación de contestarte que tiene tu nombre, apellidos y DNI, pero no el contenido del email (ni niguno otro).
Además, el derecho a acceso (y todos los demás) se refiere a que la empresa debe decir qué datos tiene sobre ti, pero no en qué contexto. Si ejerces tu derecho al acceso y existe un email en la empresa que dice "vamos a despedir a Pepe Fernández con DNI 1234567M dentro de 2 semanas", la empresa tiene obligación de contestarte que tiene tu nombre, apellidos y DNI, pero no el contenido del email (ni niguno otro).
#5:
#4 El artículo dice:
This includes any email that refers to the worker, as well as performance reviews, job interviews, payroll records, absence records, disciplinary records, computer access logs, CCTV footage, and recordings of phone calls to, from or about the person.
This right has been available to individuals under existing European data protection rules, such as the UK’s Data Protection Act, but GDPR makes it much easier to access by removing the cost (UK companies could charge £10 for such a request before)
This includes any email that refers to the worker, as well as performance reviews, job interviews, payroll records, absence records, disciplinary records, computer access logs, CCTV footage, and recordings of phone calls to, from or about the person.
This right has been available to individuals under existing European data protection rules, such as the UK’s Data Protection Act, but GDPR makes it much easier to access by removing the cost (UK companies could charge £10 for such a request before)
#10:
Pues igual es la risa como un jefe (que también son empleados) pida lo mismo sobre él mismo y para buscar lo que hayan comentado sus subalternos dedicándole elogios 
#4:
Esto no es así. El derecho de acceso es el mismo que existía con la LOPD y solo afecta a los datos estructurados de registros o ficheros. Obviamente los email no entran en esta categoría.
Esta práctica de los emails es algo solo de la legislación británica.
Esta práctica de los emails es algo solo de la legislación británica.
#7:
Primero la ley de cookies, ahora esto. El daño que está haciendo la obsesión por la privacidad a los negocios.
Comentarios
Pues igual es la risa como un jefe (que también son empleados) pida lo mismo sobre él mismo y para buscar lo que hayan comentado sus subalternos dedicándole elogios
#10 Si los subalternos guardan conversaciones sobre el jefe por email o en sus discos duros... no voy a decir que se merecen lo que les pase pero se merecen lo que les pase.
#10 Yo no me fiaría de usar el email de la empresa ni el chat para poner verde al jefe, y te lo digo porque he trabajado en el departamento informático de una empresa donde se tenía acceso a todo, emails, chats..etc (seguramente no sería 100% legal)
Esto no es así. El derecho de acceso es el mismo que existía con la LOPD y solo afecta a los datos estructurados de registros o ficheros. Obviamente los email no entran en esta categoría.
Esta práctica de los emails es algo solo de la legislación británica.
#4 El artículo dice:
This includes any email that refers to the worker, as well as performance reviews, job interviews, payroll records, absence records, disciplinary records, computer access logs, CCTV footage, and recordings of phone calls to, from or about the person.
This right has been available to individuals under existing European data protection rules, such as the UK’s Data Protection Act, but GDPR makes it much easier to access by removing the cost (UK companies could charge £10 for such a request before)
#5 El GDPR no elimina el coste. De hecho lo añade (la LOPD no lo contempla). Lo único que dice es algo del estilo de que debe ser proporcional y justo. Puedes leerlo por ejemplo aquí: https://gdpr.report/news/2017/11/20/gdpr-subject-access-requests/ o aquí https://www.gdpreu.org/the-regulation/list-of-data-rights/right-of-access/
#5 El del artículo se ha columpiado mucho.
A lo que se refiere el derecho de acceso es que la empresa tiene que proporcionarte todos los datos tuyos que tiene recopilados. Pero un email de tu jefe a otro jefe diciendo: "pues pepito perez me parece un gilipollas" no entra dentro de dichos registros. Lo que si incluiria los mails es si, por ejemplo, el sistema de evaluaciones o el proceso de contratacion contaran con una fase en la cual se transmitan y almacenen dichos datos por correo. Pero opiniones personales?? No señor, eso no.
Otro ejemplo: mail de un superior a RRHH: "Tal persona comienza a trabajar el día 21 en la empresa", y ese correo es parte del proceso de contratación, donde tiene que figurar el nombre, apellidos, categoría, sueldo, etc...
#4 Añadir que la LOPD y GDPR se refieren a datos personales. Un email de Fulano a Mengano diciendo "el nuevo de RRHH me cae fatal" no contiene absolutamente ningún dato personal.
Además, el derecho a acceso (y todos los demás) se refiere a que la empresa debe decir qué datos tiene sobre ti, pero no en qué contexto. Si ejerces tu derecho al acceso y existe un email en la empresa que dice "vamos a despedir a Pepe Fernández con DNI 1234567M dentro de 2 semanas", la empresa tiene obligación de contestarte que tiene tu nombre, apellidos y DNI, pero no el contenido del email (ni niguno otro).
#4 #14
Estais un poco confundidos con lo que entiendes la GDPR por "datos personales" que es algo mucho más amplio que lo que decían legislaciones nacionales como la LOPD.
Cualquier dato almacenado con información que identifique inequívocamente a tu persona es un dato personal, nada de "registros" o "ficheros". Si alguien tiene tu nombre y tu teléfono en una servilleta a boli son datos personales tuyos y tienes derechos ARCO sobre ellos. Si alguien tiene una grabación en la que sale tu cara pues lo mismo.
El email de Fulano a Mengano diciendo "el nuevo de RRHH me cae fatal" probablemente tendrá tu nombre y tu email corporativo como datos personales, y tiene que darte los datos en su contexto (o puedes pedirle que los cancele).
#45 No, no tienen que darte los datos en su contexto. Eso es una auténtica barbaridad.
#54 Sí los tienen que dar, porque lo que tiene valor de protección es precisamente el contexto. No es igual que tu DNI figure en un listado de morosos a que figure en una historia clínica. Al dueño del dato no le aporta nada que una empresa X te diga tu nº de DNI (que ya lo sabes) sino donde está y para qué uso.
Primero la ley de cookies, ahora esto. El daño que está haciendo la obsesión por la privacidad a los negocios.
#7 Mark, ¿Eres tú?
#7 https://addons.mozilla.org/en-US/firefox/addon/cookie-notification-preventer/
Si una empresa elimina alguno de los datos para evitar su divulgación después de que se realiza la solicitud de acceso al sujeto, puede ser responsable de sanciones penales
#1 Muy bonito pero lo complicado va a ser demostrarlo.
#3 tan fácil como guardar del día de la solicitud o anterior un e-mail donde se te cite.
Si luego no aparece en la documentación aportada por borrado. ¡Pillados!
#16 Pillado por ESE correo. Pero seguirás sin saber si hay más. Es prácticamente imposible.
#18 creo que la multa son 20 millones de euros (máximo) por ESE correo.
A la 3 o 4 vez, van a empezar a pensarse lo de hacerlo bien.
#22
El reglamento europeo establece un régimen sancionador muy severo, que puede alcanzar para los supuestos más graves, multas administrativas de hasta veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente de hasta el 4 % del volumen de negocio total anual global
¡Cómo van a ser 20M por un mail! Esa es la multa máxima prevista para las sanciones más graves (cosas como venta masiva de datos personales sin consentimiento a grandes empresas u otros temas MUY graves). La cuantía de la sanción es proporcional (aunque no son pequeñas) a la falta. Muy difícil veo que a un autónomo o una microempresa le caigan 20M por un mail, el mundo entero se iría a la mierda...
#32 Tienes razón, pero el 4 % del volumen de negocio total anual global puede representar el beneficio de uno o varios años.
Debería ser un x% sobre el beneficio anual de la empresa no sobre volumen de negocio total anual global. Es lo que pasa cuando la ley lo redacta personas incultas.
#16 vamos a ver, si yo pregunto por dicha informacion no es para enterarme de los correos que ya tengo, es para enterarme si me ha llamado hijo de puta en algun correo con otra persona, si me ha puesto verde ante clientes, cosas así, y si lo ha hecho y borra el correo, a menos que alguien haga una investigación, no te vas a enterar en la vida.
A lo mejor te enteras de las referencias que ha dado a la competencia o algo así, sobretodo si no son malas, pero está claro que si hay algo que quieran ocultar, va a ser jodido que te enteres solo preguntando por mucho que obligue europa, así que solo te vas a enterar de la parte que no te interesa
#16 Hay una trampa en eso. La obligación es a proporcionar toda la información que la empresa tenga almacenada, no la información comunicada. ¿Y si alega que no la tiene almacenada? Si no hay una obligación legal a almacenar las comunicaciones por un tiempo determinado (aunque no estoy seguro de que no exista), ¿cómo demuestras lo contrario sin disponer del control de los archivos?
#34 la jurisprudencia europea tan sólo obliga a retener las comunicaciones 60 días.
#55 ¿Ah si? ¿Llamadas telefónicas y conversaciones incluídas? ¿Es eso tan siquiera factible?
#58 sólo los registros, pero los colegios de abogados guardan los emails mínimo 60d, te lo dice uno de sus sysadmins
#60 No tengo constancia que dicha obligación sea extensible a todas las empresas. Si que se que hay cierto tipo de comunicaciones electrónicas que deben incorporarse a fichero durante varios años como los contratos comerciales, pero eso ya sucedía antes de la nueva ley y no es el objeto que se debate en la noticia.
#61 los colegios de abogados complen la ley a rajatabla. La directiva de retención de datos de la UE es la que obliga a los 60 días (al principio pedían 2 años), y es básicamente un "tcpdump" de las cabeceras TCP/IP y la localización y duración de las llamadas telefónicas (senderreceiver, fecha inicio, duración, antenas implicadas en la llamada, etc...).
Está claro que ahí no ves el contenido de un email. La recomendación que le dimos a los colegios fue retener logs al menos 2 años, e idealmente "para siempre", y backups de correo 1 año ideal, mínimo 60d.
Dichos logs han servido para demostrar que clientes que se hacían el sueco y negaban tener relación con un abogado, estaban mintiendo, así cómo algún procurador listillo que juraba 1000 veces que te había avisado de algún plazo que se te pasaba.
#61 PD: obliga a toda empresa o particular haciendo negocio en Internet (no sólo e-commerces, sinó incluso a la web presencial de una peluquería, particulares sólo si hacen negocio. Las excepciones: entidades sin ánimo de lucro, y aunque los colegios de abogados entrarían en dicha categoría, se lo auto-imponían).
En resúmen, si tienes que avisar de las cookies, tienes que guardar logs.
#1 jur jur jur ¿y quién va al talego el presidente u otro trabajador pringado?
#25 El CISO iría, no el CEO. Así lo pauta la ley.
#36 que no es posible.
Si la de derechos humanos (persona A) manda un mail a la de contabilidad (persona B) para dar de alta a un trabajador ese mail es una comunicación privada (según sentencias del supremo) y nadie que no sean A y B tienen acceso a él.
Yo como gestor de la privacidad de la empresa no puedo exigir a los trabajadores que me envien todos sus correos para revisar sus contenidos y agregar los mail al dossier que corresponda.
Sería una invasión flagrante de su privacidad.
Por eso mismo, (la empresa no tiene acceso a las comunicaciones de sus empleados) es absurdo pedirle a la empresa que controle el 100% de la información.
No puede.
#40 sobre tu comentario
Si la de
derechosrecursos humanos (persona A) manda un mail a la de contabilidad (persona B) para dar de alta a un trabajador ese mail es una comunicaciónprivadalaboral (según sentencias del supremo) y nadie que no sean A y B tienen acceso a él.Privada sería si hablasen de irse de copas, no si está relacionado con el desempeño de la actividad laboral
Yo como gestor de la privacidad de la empresa no puedo exigir a los trabajadores que me envien todos sus correos para revisar sus contenidos y agregar los mail al dossier que corresponda.
A eso se le llama ARCHIVADO DE CORREO/journaling/archiving y te lo da 'de oficio' hasta el CORREO empresas de Google y Microsoft. Es trivial. YA se guarda una copia de cada correo corporativo ¿Sorprendido? No hay que pedir nada a nadie, solo consultar en el archivado donde salga tu nombre, identificador.... Etc .
Sería una invasión flagrante de su privacidad.
No. En la empresa privada la privacidad es que tú no saques datos. No que tu jefe o quién toque no pueda tener una política de retención de datos. (Ahora obligatorio por ley, hasta ahora, cualquiera con pasta y 2 dedos de frente ya lo tenía)
Por eso mismo, (la empresa no tiene acceso a las comunicaciones de sus empleados) es absurdo pedirle a la empresa que controle el 100% de la información.
Te equivocas enteramente. Yo como técnico con acceso al servidor de correo puedo recuperar cualquier correo tuyo desde el origen de los tiempos. No solo no es absurdo pedirlo: es obligatorio hacerlo. Toda comunicación digital será retenida y sus accesos registrados. Sólo tienen que comprar un servidor un poco mas grande para guardar más datos y gastarse algo de pasta en un dlp o similar. Y no te imaginas el nivel de control que se puede alcanzar.
Y es legal. Por supuesto. No así como que tu uses recursos de la empresa para temas personales, por ejemplo.
#42 Pregunta ¿Hay que guardarlo todo por los tiempos de los tiempos, o sólo un máximo de años? Es que lo primero me parece poco práctico...
#46 No lo pone en ninguna parte de la ley. Los vendehumos y gurús digitales varios dicen que 5 años pero... Por venderte su movida. Sinceramente yo soy 100% técnico y me limito a diseñar la solución que pidan e implementarla bien. El alcance de la ley se me escapa bastante. Aunque estaría bien saberlo.
#42 tengo una empresa... Y estamos en ello.
Te equivocas en un montón de cosas pero como no voy a discutir contigo de esto te pondré un ejemplo claro y manifiesto: "Yo como técnico con acceso al servidor de correo puedo recuperar cualquier correo tuyo desde el origen de los tiempos."
¿Puede el tecnico de acceso del servidor de google leer tus correos de gmail? ¿No verdad?
Pues el tecnico de mi empresa tampoco puede. Si lo hace o se le cae el pelo a él o se me cae a mi. Y creeme que tengo a este tipo muy concienciado con el tema.
Dicho de otra forma: ni yo ni él puede leer correos de la empresa sin que le den permiso. Así que NADIE en la empresa puede saber qué contienen todos mails.
Nadie, repito, NADIE en la empresa puede conocer el contenido de todos los mails (solo los que le involucren).
Y así, a titulo personal: no entiendo como una persona que parece querer defender la privacidad de las personas puede defender que la empresa tenga acceso al contenido de todos los mails para poder clasificarlos.
Es una puta locura.
Tu dile a google que tiene la obligación de conocer el contenido de todos los mails de su servidor por si fulano pide borrar todos sus datos poder borrar todos los mails en el que aparece.
Primero: una locura.
Segundo: google encantado de que un juez le obligue a mirar el contenido de todos los mails. Vamos se estan meando encima del placer que les causa esa medida.
#48 estás siendo MUY mal asesorado en tu empresa. Ten cuidado. Yo como técnico puedo recuperar cualquier correo tuyo sin necesidad de leerlo ni acceder a su contenido. Es más, se puede establecer la presencia y autorización de DOS oficiales de seguridad (i.e. dos contraseñas de técnicos distintos) como condición para el acceso a esa información o para la desanonimizacion del contenido si fuese necesario (lo puede pedir un juez, por ejemplo) si por Gmail dices cuentas de Gmail personales... En fin. No aplican normas de empresa. Si tú pack de Google business no te da archivado (raro pero no conozco ese producto en profundidad) tendrás que contratarlo con ellos o con un tercero. Si tú técnico no sabe recuperar un correo del archivado: busca otro. De todos modos confundes "poder" con "deber" y la gdpr de hecho hace más énfasis en que se sepa quién como y donde han accedido a qué dato que en el hecho de impedir ese acceso.
Por cierto OBVIO que Google lee tus correos de Gmail. De hecho el año pasado dijeron 'vale, no lo haremos para mostrarte publicidad, pero lo seguiremos haciendo igualmente' y no deberías tener duda de que si borras algo de tu Gmail, la sola orden de un juez encontrará una copia de lo que borraste.
En fin. Lo dicho. Soy un profesional de seguridad informática anónimo. Y creo firmemente que quien te asesora de gdpr solo te está vendiendo humo.
#50 no te he leido entero, la verdad. Disculpame por ello. Solamente las dos primeras líneas.
1. Todo esto ha empezado por que alguien ya dicho que la información personal incluye todos los mails QUE CONTUVIERAN información sobre el sujeto.
2. Yo he dicho que es imposible que la empresa conozca el contenido de los mails.
3. Me dices "Yo como técnico puedo recuperar cualquier correo tuyo sin necesidad de leerlo ni acceder a su contenido"
4. Y yo te dgo: pero sigues sin poder clasifcarlo a partir de la información que contiene. Para eso hay que leerlo.
5. Mi abogado a este respecto y que está estudiando este tema que para nada es trivial, ya me advirtió hace tiempo que NI SE ME OCURRA mirar ningún mail de la empresa que no haya enviado yo o me tenga a mi en los destinatarios.
6. Tambien me ha dicho que si por casualidad me llega (un destinatario imprime un email y me lo enseña), aunque sería legal, que no lo use a no ser que pueda demostrar que he tenido acceso a ese mail por vias legales (por ejemplo, si puedo usarlo si me lo reenvian, pero no si me lo imprimen).
7. Hasta yo, que soy un interesado, entiendo que tener acceso a las comunicaciones de la empresa es una invasión de la privacidad apabullante
8. Realmente no se si el argumento de google te convenció. No te he acabado de leer. Pero no quiero ni imaginar el cristo a nivel legal que se puede montar si yo, como usuario de google le pido que borre todos los datos que tenga sobre mi y de repente se borran la totalidad (o se redactan a mano) todos los mails de mis familiares, amigos y conocidos en los que aparezco en su contenido aunque no sea yo el destinatario o el emisor.
8.1. si borran el mail entero de cualquier mail en el que aparezca un dato personal mio, iban a cabrear a todo Dios. Y estoy casi seguro que sería denunciable por haber borrado datos adicionales.
8.2 si prerenden redactar todos los mails en los que se me menciona, ya pueden tener una buena IA para hacerlo, igual google puede, desde luego si se lo pides a cualquier empresa de tamaño telefónica para abajo la haces quebrar por la mano de obra necesaria.
Para mi la conversación es suficiente. Si para la semana que viene (cuando mi abogado me va a decir todo lo que hay que hacer) me dice que estamos obligados a tener una persona que se lea todos los mails y los clasifique... Pues me sorprenderé mucho y veremos al 50% de las empresas europeas quebrar.
#17 Cuando pongan una multa de 20 mill por no proporcionar los datos de un trabajador... me lo cuentas, de momento, no me lo creo.
#24 de un trabajador o cualquier cliente.
Modo Juez dredd: Es la leyyyy
#24 yo tampoco.
Además es irrealizable. ¿Que van a hacer las empresas? Mantener una base de datos que relacione a cada trabajador con cada mención que se haya hecho del mismo?.
Esta ley es razonable para los datos generales del trabajador o los clientes de la empresa, pero ¿"todos"?.
Para empezar obliga a la empresa a leer el contenido de todos los mails que estén en su sistema de correo loquesea@estaempresa.es.
Lo que es ilegal en mayoría de los casos. Y tendría que darle acceso a cada trabajador a los mails que le mencionen aunque no sea el receptor ni el emisor... Posiblemente sea ilegal tambien.
Tambien obliga (en teoría) a preguntar a la empresa a todos los trabajadores para que reunan en ese "dosier" todos los datos personales que tengan del solicitante... Más vale que su mujer no tenga un amante en la empresa...
#30 lo que viene a ser opinar sin tener ni idea de cómo funcionan las cosas. En serio, la empresa DEBE tener eso localizado accesible indexado, archivado y protegido de miradas internas y externas. La información que pueda tener un trabajador de la empresa, debe estar securizada en una BBDD o repositorio similar. No escrita en un postit en el monitor. Y si es así: multa.
Ya, esto es como cuando te graban en la calle y hay un cartelito que dice "tiene derecho a rectificación y cancelación". A saber si por preguntar que me borren un día no llamo más la atención de quien sea.
#26 yo trabajo en una empresa en la que 20 millones son calderilla y aún así nos estamos cuidando muyyyyy mucho de no meter la gamba.
20 millones duelen. Antes las multas por LOPD eran 600.000€
Yo tengo claro que todos mis exjefes hablan maravillas sobre mí, no necesito buscarlo
Además, la opinión de un jefe es siempre fiable y súper-objetiva..
pues sabes que LUKS con guacamole en el server thin clients en la oficina y asunto resuelto
#26 no, el mínimo es 20 millones. O un 4% del volumen total de la empresa si supera los 20 millones (en el caso de la multa mas gorda).
Up to €20 million, or 4% of the worldwide annual revenue of the prior financial year, whichever is higher
Fuente: https://www.gdpreu.org/compliance/fines-and-penalties/
#35 Esa frase en inglés dice, literalmente: "Hasta 20 millones o el 4% del ingreso anual del año financiero anterior, el que sea mayor". De ahí no se deduce que el mínimo sean 20 millones ni que si lo supera entonces se multa con el 4%.
Tanto la multa correspondiente como el ingreso anual es variable en todo caso, ya que depende de la gravedad del suceso y del estado financiero de la propia entidad sancionada.
#38 evidentemente, por eso he dicho en el caso de "multa más gorda" refiriéndome al "caso más extremo". Pero lo que no es verdad es lo que han dicho en #26. Cito: "El maximo es un porcentaje de volumen de negocio con máximo de 20 millones de euros", eso es mentida, el máximo es un porcentaje de volumen de negocio (4%) O 20 millones de euros (el que sea más grande). Hay una diferencia ya que para las empresas grandes 20m no supone nada, 4% de sus ingresos globales si.
#39 Correcto.
Empresas públicas también?
Antes era querer montar un sindicato, ahora es pedir los datos que tengan de uno...
"Se va a ve un follón..."
De verdad que vivís en los mundos de yupi.
Esto es ridículo, una mención de tu nombre en un correo no lo convierte en datos personales tuyos, además puedes tener el mismo nombre que un compañero, o puede estar mal escrito y entonces no lo incluirían y estarían cometiendo una ilegalidad, y otros mil supuestos absurdos más que se me ocurren si eso fuera así
> “It can cost the company tens of thousands of pounds because it’s incredibly resource intensive,” said Jack Carvel, general counsel at Qubit, which provides personalisation software to e-commerce sites.
Implementar las medidas adecuadas para extraer toda la información no es baladí. Supongo que tiene que ver con que diesen dos años para que se implementasen.
Aún así, si no se hacen "bien" y los procesos requieren de cierto grado de participación manual, van a salir unos cuantos escaldados de tanto trabajo.
Estamos llegando a un nivel de estupidez e inoperabilidad díficil de superar ^^
Artículo 2
El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al
tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Ya si claro... en mi empresa (4k trabajadores) vas con esta petición y estarían riéndose una semana
#2 Les pones una demanda y se les atraganta la risa.
#9 20 millones de euros la broma ¿no?
#17 El maximo es un porcentaje de volumen de negocio con máximo de 20 millones de euros . Para algunas empresas una propina. Frente a las grandes cifras del titular parece que se legisla para limitar la responsabilidad de las empresas con el tráfico de datos.
#9 Te crees que no tienen nada más que una! ainsss.
#2 Estarían riéndose hasta que les llegue la sanción de varios cientos de miles de euros por la vía ejecutiva.