Solicitud de borrado de datos denegada por la APD de Dinamarca | Establecimiento de motivos legales para el tratamiento de datos personales. La Autoridad de Protección de Datos (APD) de Dinamarca investigó una denuncia contra una empresa danesa, alegando que el tratamiento de datos personales infringía el RGPD. El interesado alegaba que la empresa no había atendido una solicitud de borrado de sus datos personales, que aparentemente:
a) incluyó información del Registro Central de Empresas (RCE) relativa a afiliaciones anteriores con varias empresas; y
b) era de acceso público en el sitio web de la empresa.
¿Cuál es la base legal para el tratamiento de datos personales?
El ICO ha proporcionado una lista de condiciones "de un vistazo", que definen la base legal para el tratamiento datos personales. En primer lugar, debe tener una base legal válida para tratar los datos personales de una persona. Hay seis bases legales disponibles para el tratamiento. La base más adecuada dependerá de la finalidad y la relación con la persona. La mayoría de las bases legales requieren que el tratamiento sea "necesario". Si se puede conseguir razonablemente la misma finalidad sin el tratamiento, no habrá base legal. Es esencial que determine su base legal antes de comienza la tramitación. También debe documentar sus bases legales. Tenga mucho cuidado de hacerlo bien a la primera. Sobre todo si quiere evitar problemas de solicitud de borrado de datos más adelante. No debe cambiar a una base legal diferente en una fecha posterior sin una buena razón. En particular, normalmente no se puede pasar del consentimiento a una base diferente. Asegúrese de que su aviso de privacidad incluya la base legal para el tratamiento, así como los fines del mismo. Si los fines cambian, puede continuar el tratamiento con la base legal original. Pero sólo si la nueva finalidad es compatible con la inicial (a menos que la base legal original fuera el consentimiento). Si está tratando datos de categoría especial, debe identificar tanto una base legal para el tratamiento general como una condición adicional para el tratamiento de este tipo de datos. Si está tratando datos de condenas penales o datos sobre delitos, debe identificar tanto una base legal para el tratamiento general como una condición adicional para el tratamiento de este tipo de datos.
¿Por qué la DPA ha rechazado esta solicitud de borrado de datos?
La denuncia se presentó contra una empresa que proporciona información sobre los propietarios y accionistas de empresas danesas. Cuando se realizan búsquedas en el sitio web de la empresa, la información resultante se muestra en tiempo real desde el Registro Mercantil Central. La información no se almacena en el sitio web de la empresa. El sitio web del Registro Mercantil Central es de acceso público. Del mismo modo, la información sobre los propietarios y directores de empresas del Reino Unido está disponible al público directamente desde el Cámara de Comercio e Industria sitio web. Los servicios de registro de empresas no están obligados a atender una solicitud de supresión de los datos personales de un individuo relativos a la afiliación de la empresa. El denunciante no dio ninguna razón específica para justificar la supresión, que superara el interés legítimo de la empresa en el tratamiento de sus datos. En este caso concreto, el tratamiento de la empresa era legítimo. Por lo tanto, la solicitud de supresión de datos fue denegada por la APD. En virtud de la legislación del RGPD, los residentes de la UE tienen derechos legales en relación con las solicitudes de supresión de datos. Fuentes y créditos: Oficina del Comisario de Información (ICO), Autoridad de Protección de Datos (DPA) Dinamarca
