Multa de 200.000 euros para SAF Logística

La Comisión Nacional de Tecnologías de la Información y Libertades (CNIL) ha encargado a la empresa SAF Logistics que multa de 200.000 euros por haber recogido una cantidad excesiva de datos personales de sus empleados, violando su privacidad y no haber cooperado suficientemente con los servicios de la CNIL.

La CNIL señaló que SAF Logistics recopiló una gran cantidad de información sobre los familiares de los empleados, en particular su identidad, datos de contacto, puesto, empleador y estado civil. Estos datos se recopilaron como parte del reclutamiento interno para un puesto dentro de la empresa matriz de SAF Logistics, con sede en China.

La CNIL consideró que esta recaudación era excesiva y provocaba un ataque desproporcionado a la privacidad de los empleados. La autoridad también señaló que SAF Logistics no había implementado suficientes medidas de seguridad para proteger estos datos.

Estas son las deficiencias específicas observadas por la CNIL:

Artículo 5.1.c RGPD – Minimización de la recogida: SAF Logistics recogió una gran cantidad de datos personales de familiares de empleados, datos que eran excesivos en relación con la finalidad del tratamiento anunciado. Esta información se recopiló para enumerar los contactos de emergencia de cada empleado.

Artículo 9 RGPD – Tratamiento de datos sensibles: La empresa recopiló datos sensibles como tipo de sangre, etnia y afiliación política sin las excepciones del artículo 9.2 del RGPD aplicable.

Artículo 10 RGPD – Tratamiento de datos relativos a infracciones: SAF Logistics conservó extractos de los antecedentes penales de los empleados sin justificar algunos de ellos.

Artículo 31 – Cooperación con la CNIL: Hubo una traducción incompleta del formulario de recogida de datos, con la supresión de determinados campos al comunicarse con la CNIL.

La sanción impuesta a SAF Logistics por la CNIL subraya la importancia de respetar los principios de protección de datos personales, en particular el principio de minimización de datos, y cómo la plataforma Data Comply One (anteriormente Mission RGPD) podría haber ayudado a evitar estas sanciones proporcionando soluciones específicas a cada infracción.

• Artículo 5.1.c RGPD – Minimización de la recaudación : Con Data Comply One (anteriormente Mission RGPD), SAF Logistics podría haber documentado en el registro de propósitos, realizado un análisis automático de los riesgos asociados con el procesamiento de datos y utilizado análisis de impacto integrados para evaluar la relevancia de la recopilación de datos.
• Artículo 9 RGPD – Tratamiento de datos sensibles : La plataforma Data Comply One (anteriormente Mission RGPD) ofrece documentación en el registro de datos recopilados, análisis automático de riesgos asociados con el procesamiento de datos confidenciales y análisis de impacto para la recopilación de datos confidenciales.
• Artículo 10 RGPD – Tratamiento de datos relativos a infracciones : Data Comply One (anteriormente Mission RGPD) habría permitido documentar el registro de datos recopilados, realizar un análisis automático de los riesgos asociados al procesamiento e integrar análisis de impacto para la recopilación de datos confidenciales.
• Artículo 31 – Cooperación con la CNIL : Con Data Comply One (anteriormente Mission RGPD), SAF Logistics podría haberse preparado para una inspección por parte de la CNIL gracias a a hoja práctica dedicado a este tema y a Simulaciones de control realizadas durante el apoyo de expertos.