El Secretario de Estado de Justicia del Reino Unido ha recibido un aviso de Cumplimiento de la Oficina del Comisionado de Información sobre los retrasos y el manejo deficiente de las solicitudes de registros personales realizadas en virtud de las leyes de protección de datos.

Solicitudes de acceso de sujetos

En el Reino Unido, en virtud de la Ley de protección de datos de 1998, cualquier persona puede solicitar a cualquier organización (denominada "controladores de datos") copias de registros en papel e informáticos e información relacionada que la organización tiene, usa o comparte sobre ellos. . Esto se conoce como 'solicitud de acceso de sujeto' (SAR), y las organizaciones suelen cobrar una tarifa por proporcionar la información, por ejemplo, hasta £ 10 en circunstancias normales. Según el DPA, las organizaciones deben responder a las solicitudes de acceso a datos dentro de los 40 días.

La cartera de pedidos

La emisión del Aviso de Ejecución por parte del ICO al Ministerio de Justicia del Reino Unido (técnicamente, los "controladores de datos en este caso") el 21 de diciembre de 2017 se relaciona con el hecho de que el ICO ha recibido un gran número de solicitudes de evaluación por parte de personas cuyas solicitudes de acceso al sujeto tenían no ha sido tratado con la suficiente rapidez por el Ministerio de Justicia.

El Aviso de Cumplimiento destacó el hecho de que hay una acumulación de 919 SAR de individuos, algunos de los cuales se remontan a 2012.

Dos problemas principales destacados

Los dos problemas principales que destaca la Notificación son que el Secretario de Justicia (controlador de datos) ha infringido la sección 7 de la Ley de Protección de Datos por no actuar "sin demora indebida" y que los "sistemas, procedimientos y políticas internos del controlador de datos para tratar con solicitudes de acceso de sujetos realizadas bajo el DPA era poco probable que lograran el cumplimiento de las disposiciones del DPA”.

Plan para eliminar el trabajo pendiente

Sin embargo, el Aviso de ejecución de ICO reconoció que el Ministerio de Justicia le ha dado a ICO un plan de recuperación que muestra que tiene la intención de eliminar el retraso para octubre de 2018 y responder a nuevas solicitudes sin "demora indebida" a partir de enero de 2018.

De acuerdo con la actualización y el plan publicado en el Aviso de Ejecución, el Ministerio de Justicia cree que tiene 793 solicitudes que tienen más de 40 días de antigüedad y que tenía previsto tratar 14 casos de 2O14 al 31 de diciembre de 2017, 161 casos recibidos de 2015 al 30 de abril de 2018, 357 casos de 2016 al 31 de agosto de 2018 y 261 casos de 2O17 al 31 de octubre de 2018.

¿Qué significa esto para tu negocio?

Esto es una vergüenza para el Ministerio de Justicia, y puede ser un indicio de un problema más amplio al que se enfrentan muchas empresas y organizaciones en el Reino Unido que todavía no están asumiendo sus responsabilidades en virtud de la Ley de Protección de Datos actual, y mucho menos preparándose para la introducción del proyecto de ley de protección de datos del Reino Unido y el RGPD de la UE entrarán en vigor el 25 de mayo de 2018.

Según el RGPD, por ejemplo, las empresas y organizaciones tendrán que atender las solicitudes aún más rápido, es posible que deban proporcionar información adicional y no podrán cobrar una tarifa por cumplir con las solicitudes. También existirán los desafíos de responder al 'derecho al olvido' de un individuo, y la perspectiva de sanciones mucho mayores por incumplimiento que en virtud de la Ley de Protección de Datos actual.

Esta historia es un recordatorio de que todas las empresas y organizaciones deberían aprovechar la oportunidad ahora para asegurarse de que sus prácticas de datos estén en orden y probablemente cumplan con GDPR, y también para considerar que cumplir con GDPR en realidad podría proporcionar ventajas comerciales, ya que esto se convertirá en un factor serio a considerar en las relaciones y alianzas comerciales.