Solicitud de expediente de trabajo por Reglamento General de Protección de Datos (RGPD)

Recibí una solicitud para proporcionar a un cliente todos sus archivos (incluidos los documentos de InDesign) debido al Reglamento General de Protección de Datos (GDPR). Mi cliente también quiere que elimine los archivos de mi máquina. Realmente no me siento cómodo haciendo esto, ya que también se perdería el tiempo involucrado, ya que no querrán pagar.

¿Cómo debo responder a tal solicitud?

Depende de la naturaleza del trabajo que haya almacenado. GDPR solo se aplica a los datos personales.
@Westside, si se trata de cualquier tipo de tarjeta de presentación/volante que incluya un correo electrónico/teléfono/dirección, etc., se considerará PII.
@WELZ Sí, eso es lo que estoy diciendo. Si se trata de etiquetas para latas de sopa, entonces no está dentro del alcance de GDPR. El OP no dice de ninguna manera, por lo que necesitamos más información para ayudar. Tengo entendido que tendrían que ser datos relacionados con individuos, no empresas, para que se aplique el RGPD. Si ese no es el caso, entonces su cliente podría estar probándoselo.
Estoy de acuerdo con @Scott diciendo que su cliente parece incompleto. Me parece que le habrían notificado ANTES de hacer el trabajo si tuviera que tener más cuidado con los datos y el cliente debería haberle pedido que firmara algún tipo de contrato que indique lo que puede y no puede hacer con los datos. De lo contrario, tal vez su cliente se equivocó con el manejo de datos y ahora está luchando para corregir su error, que en realidad es su problema, no el suyo.
Por favor, hable con un abogado. GDPR es un campo minado legal y las sanciones por no cumplir son altas. Es importante destacar que hay algunos datos que está obligado a NO eliminar; incluso hacer exactamente lo que su cliente le pidió podría causarle problemas legales. No es un tema para adivinar.
Consulte también el Artículo 6.1 (b) "el procesamiento es necesario para la ejecución de un contrato" y el 6.1 (f) "el procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador": la retirada del consentimiento del cliente para los datos personales puede ser irrelevante (ignorando el hecho de que la solicitud en sí es cuestionable en este caso).

Respuestas (6)

TL: DR El cliente está fundamentalmente equivocado sobre el tipo de datos cubiertos por GDPR, aunque posiblemente haya cosas en los archivos que estén cubiertos por él. No debe enviarles los archivos, aunque sí debe responder con cualquier información personal en ellos.

Estoy haciendo parte del trabajo de protección de datos para mi empresa, así que he estado leyendo mucho sobre esto. Definitivamente no soy abogado, así que un montón de esto debe tomarse con pinzas. Dicho esto, este ejemplo tiene un curso de acción correcto bastante claro:

  • GDPR cubre solo información personal relacionada con individuos https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en

  • Esto significa que lo único afectado en su diseño por GDPR es la información personal.

  • Por lo tanto, su respuesta debe cubrir solo la información personal contenida en su diseño. ¿Pusiste una dirección de correo electrónico personal de ellos? ¿Hay un nombre de cliente o dirección en el texto? alguna foto de clientes o gente en general? Si es así, envíeles un correo electrónico indicando la información personal que encontró en el diseño y preguntándoles si les gustaría que elimine esos fragmentos específicos.

  • Si dice que sí, elimine las direcciones de correo electrónico/cualquier nombre/fotos de clientes y cualquier otra información personal que pueda encontrar.

  • Recuerde eliminarlo también de cualquier copia de seguridad que tenga y del historial del archivo. Si se siente amistoso, es posible que desee señalar que esto hará que los archivos sean más difíciles de usar para ellos.

  • Absolutamente no pueden obligarlo a entregar la propiedad de los archivos bajo GDPR. A menos que se indique en el contrato, siguen siendo su propiedad intelectual.

Editar: olvidé un bit importante. Esto solo se aplica a los datos personales de la persona que realiza la solicitud. Todo lo demás, incluso los datos de uno de sus empleados, no está cubierto, y probablemente no pueda ni deba entregar ninguno de los datos. Sus empleados tendrán que hacer sus propias solicitudes de sus datos personales. Sin embargo, para protegerse, probablemente valga la pena revisar y eliminar cualquier información personal innecesaria que tenga.

¡Espero que sea útil!

Creo que el primer punto estaría más completo si dijera "GDPR cubre solo información personal relacionada con personas vivas que no se conserva para fines domésticos". La información de sus amigos en su teléfono, que usted conserva para sus propósitos y no para los de su negocio, no está cubierta.

Realmente no importa POR QUÉ el cliente quiere que elimines tus archivos y les envíes todo.

Me parece que el cliente está usando GDPR como excusa y nada más. Es decir, prácticamente cualquier diseño es material promocional y cualquier posible información personal (nombre, dirección, contacto, correo electrónico, etc.) se hizo pública a través de las propias promociones. No son "datos personales almacenados". Su cliente está siendo terriblemente incompleto aquí, en mi opinión.

Cargo por la entrega del archivo. Después de recibir el pago, envíe los archivos y se eliminará una carta explicando que todos los archivos se eliminarán de sus máquinas y copias de seguridad y ya no conservará ningún archivo relacionado con el cliente, una vez que se le haya notificado que recibió los archivos. Luego ingrese y elimine todo después de obtener la confirmación de recibo (ya que han pagado por esto).

Recuerde, incluso si le pagan , no puede enviarles ninguna fuente o imagen de stock que haya comprado y usado. Por lo general, tiene licencia para usted y compartir esos elementos lo pondría en incumplimiento de cualquier acuerdo de licencia relacionado con ellos. El cliente deberá ir y comprar las fuentes e imágenes necesarias para respaldar los diseños.

Es problema del cliente si luego necesita modificar o crear algo. Simplemente necesita estar seguro de que le pagan por los archivos.

Si el cliente no quiere pagar nada... no le des los archivos, no borres nada . Son sus archivos . Ninguna parte externa puede obligarlo a hacer algo con los activos de su empresa (aparte de la aplicación de la ley).

Si el cliente comienza a balbucear y se vuelve beligerante y exige archivos, simplemente rechácelo cortésmente a menos que se reciba el pago.

En el peor de los casos, pierdes a este cliente (lo que vas a hacer de todos modos por el sonido de las cosas), y el cliente siente que necesita hacer un espectáculo del asunto y presentar una demanda o algo así. El traje, en mi opinión, tiene una probabilidad baja. Sin embargo, pueden mencionar eso como una táctica para intimidarte para que hagas lo que ellos quieren. Si bien no soy abogado , dudo que ganen una demanda que lo obligue a retirar los activos de su empresa.

En resumen, mi postura sería:

Estoy feliz de. El precio de todos los archivos es de $X. Una vez que se reciba el pago, reenviaré todo lo que tengo y luego lo eliminaré todo de mis sistemas una vez que sepa que lo recibió.

Cliente:

no estamos pagando

A mí:

Entonces lo siento. No entregaré archivos ni eliminaré nada sin pago.

Cliente:

¡Vamos a demandar!

A mí:

Bueno. Eres libre de hacer lo que creas necesario. El precio de los activos de mi empresa en relación con el trabajo que he realizado para [nombre de la empresa] es de $x. Estoy muy feliz de cumplir con su solicitud una vez que se reciba el pago. Gracias.

He trabajado en proyectos muy secretos en los que los datos de la empresa eran privados y tenían la intención de permanecer privados dentro de un grupo pequeño. Esto siempre se me presentó como información altamente confidencial que "no se debe compartir con nadie". No estoy hablando de ningún acuerdo de confidencialidad, sino de datos más generales de los que tenía acceso para completar un proyecto (principalmente las finanzas de la empresa). Los clientes de estos proyectos siempre presentaron este asunto por adelantado al inicio de los proyectos. Por lo tanto, estaba al tanto de la confidencialidad. Pero incluso tratando con empresas multimillonarias de esta manera, nunca me han pedido que elimine y elimine mis archivos, simplemente me piden que mantenga la privacidad de los archivos.

Si estos clientes me pidieran que elimine cosas y les envíe todos los archivos, ciertamente entendería la solicitud . Pero también les cobraría por entregar archivos.

Si solo quisieran que borre los archivos sin entregarlos, probablemente negociaría un acuerdo... como en... Elimino los datos privados de las piezas pero mantengo el diseño intacto para usarlo como muestras de cartera. Dándoles la aprobación de los diseños alterados para que pudieran verificar que la información privada había sido eliminada.

Trabajo por contrato : si tiene un acuerdo de trabajo por contrato, o un "empleado", entonces en realidad son dueños de todo. Cumplir con su solicitud sin pago ni emisión. Los archivos no son tuyos.

¿Significa esto que uno tiene un incentivo perverso para usar fuentes y complementos muy caros;) Solo digo.
En realidad, @Joojaa, para mí significa que no me importa. Compro y uso fuentes que creo que funcionan bien, si cuestan $5 o $500, no importa. Nunca planeo proporcionar mis archivos de diseño después del hecho, por lo que la carga del cliente nunca es un factor decisivo.:)
sí, de acuerdo, no sabes si el cliente va a ser un problema o no :) Pero realmente es una situación perversa que me hace pensar.
También cambié las fuentes en un diseño si una negociación para la entrega del archivo se produjo más tarde, dándole opciones al cliente: dejar las fuentes e incurrir en una tarifa adicional de $x para respaldar el diseño actual o pagar $x para que modifique las fuentes a "gratis". " o fuentes "Typekit" que el cliente ya tiene (y yo también).

Esto no es un consejo legal, así que no lo tomes como tal. Es posible que desee leer sobre GDPR. Pero no solo busque en Google, vaya directamente a la fuente:

  1. Lo que la comisión europea tiene que decir sobre GDPR
  2. La regulación real también está disponible.

Ahora GDPR no dice nada sobre la liberación de archivos fuente. En cambio, es bastante razonable en su alcance. Básicamente lo que dice es:

  • Los datos personales son importantes
  • Necesita tener una razón para almacenar datos personales
  • Debe documentar qué datos almacena, por qué, con qué propósito y por cuánto tiempo. De la forma más sencilla posible, con el documento a disposición de tus clientes.
  • La persona a la que pertenecen los datos personales tiene derecho a solicitar la revisión de los datos. Esto se puede hacer de muchas maneras, pero no especifica lo que significa que debe proporcionarlo en la forma exacta en que lo almacenó.
  • La persona tiene derecho a hacer correcciones a los datos personales.
  • La persona tiene derecho a solicitar la eliminación de los datos personales.
  • También le dice que no puede usar los datos sin restricciones
    • Así que no puedes simplemente dárselo a terceros.
  • Debe proteger dichos datos de terceros y del mal uso.

También aborda algunas cosas sobre cómo recopilar el consentimiento, etc.

Por lo que tu cliente puede solicitar revisar los datos que tienes almacenados y la política de retención de datos que tienes (para fines de pago por ejemplo). Este no tiene que ser el archivo de inDesign, puede copiar las partes relevantes del texto, por ejemplo, y enviarlo al cliente, si y solo si son los datos del cliente para empezar.

Pero no soy abogado, no sé casi nada acerca de cómo un abogado europeo interpretaría las definiciones relativamente vagas.

PD: Si crees que GDPR es realmente estricto y de mano dura. Sí, es solo un síntoma de tener que legalizar un comportamiento razonable. Cuando algo que debería haber estado haciendo de todos modos se escribe en una ley, todo tipo de comportamiento razonable se pierde, ya que una ley es un instrumento muy contundente que se aplica a todos en su alcance, razonable o no.

GDPR es una situación complicada y todo depende del tipo de contrato que tenga con su cliente. Entonces, esto es principalmente un problema legal antes de llegar a la parte de InDesign.

Además, el RGPD es un problema legal importante para las empresas y que implica múltiples costos y el RGPD no lo obliga a usted, como proveedor externo, a entregar los archivos de forma gratuita.

En teoría, pueden tomar medidas para proteger el trabajo propietario realizado por terceros, pero en la práctica, por otro lado, usted puede establecer un precio por la entrega de los archivos.

Sin embargo, si hizo el trabajo como empleado, probablemente no tendrá mucho con lo que jugar y necesitará proporcionar todo y eliminar todo de su computadora personal.

También vea esta pregunta: El cliente a largo plazo quiere archivos de trabajo

Este es un slient mío durante unos 3 años. Tengo una cantidad promedio de datos. La mayoría de los cuales probablemente supongo que no tienen nada que ver con la protección de datos, ya que no hay detalles de los clientes. Les haré saber que eliminé la información de los clientes, ya que será una solución más rápida que recopilar todo para la salida y enviar todo. Gracias por el consejo y la opinión.
@Whiteleaf: tenga en cuenta que puede conservar los datos de los clientes con fines de mantenimiento de registros. De hecho, probablemente deba conservar estos datos por motivos fiscales. Dado que se trata de una obligación legal, no necesita consentimiento y no necesita cumplir con la solicitud de eliminación. Por supuesto, debe respetar los derechos de consulta y corrección de datos.

No entiendo qué tiene que ver el RGPD con sus archivos.

Si está trabajando con los datos personales que su cliente proporcionó, elimine esos archivos y otros que contengan los datos (por ejemplo, archivos de trabajo) y emita una declaración al cliente de que lo ha hecho.

Esto protege al cliente en caso de que surja algo; pueden mostrar que los datos fueron destruidos.

Proporcionarles archivos es algo totalmente diferente y requiere una tarifa. Ya sea descrito en el contrato o establecido en uno completamente nuevo solo para el manejo de los archivos.

Esas dos cosas no están conectadas entre sí. Incluso en GDPR, las guías de "buenas prácticas" establecen que los archivos de datos deben destruirse, no devolverse al proveedor.

Gracias por esto. Para ser honesto, no esperaba este tipo de solicitud, ya que tampoco parecía estar vinculada a mí. Puedo hacer eso. Borraré los datos personales y enviaré un correo electrónico para decir que lo he hecho.
@Whiteleaf ¡Probablemente no pueda eliminar todos los datos personales del cliente porque violaría las leyes fiscales!
Re leyes fiscales: si necesita conservar los datos personales del cliente para este u otros fines similares, puede hacer referencia al artículo 6.1 (f) "el procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador". GDPR NO requiere consentimiento en todos los casos.
@Josef Datos personales solo si tu cliente es persona particular. Si es empresa no hay datos personales. También GDPR establece que para las necesidades descritas por facturas o acuerdos no es necesario solicitar el derecho de procesamiento.

Según el RGPD, debe eliminar los datos personales. No dice nada sobre sus archivos comerciales o sus productos. No los regales. No estás obligado a dar esos archivos.

Solo está obligado a proporcionar una descripción general de los datos recopilados, esto podría ser un archivo de texto que describa qué datos tiene y dónde. También está obligado cuando se le solicite actualizar los datos o eliminarlos.

Además, no se olvide de las leyes fiscales. Según la mayoría de las leyes fiscales, debe conservar los datos durante X años si recibió dinero con fines de auditoría. Eliminar esta información en realidad puede ser ilegal u ocasionar muchos problemas cuando se realiza una auditoría.

Lo que tendrás que hacer es auditar qué información personal tienes del cliente dónde (que ya deberías tener)

Envía capturas de pantalla de los datos personales de los documentos que has creado. Envía un resumen de qué datos tienes dónde. Haga una lista de los datos que no puede eliminar legalmente (facturas impresas, extractos de cuentas bancarias, etc.) pero infórmele cuándo se eliminarán cuando haya vencido el plazo de auditoría. Puede anonimizarlo en el software de auditoría, tome nota de que la información real está en los documentos archivados impresos para la auditoría.

Documente también la solicitud de eliminación. Guárdelo impreso en una carpeta en algún lugar, notifique a la entidad privada que ese también es un lugar donde se almacenarán sus datos, solo para que pueda cubrir su trasero.

Recuerde que puede anonimizar los datos en lugar de eliminarlos directamente. Por lo tanto, cambie los correos electrónicos a none@example.com para preservar la estabilidad del software de contabilidad, etc.)

Específicamente en el correo electrónico anónimo, no puedo encontrar ningún registro de none.com, por lo que es muy posible que sea un dominio de correo electrónico real. Use nadie@ejemplo.com, ya que ejemplo.com es un dominio reservado (los correos electrónicos enviados a cualquier lugar ejemplo.com nunca llegarán a una persona)
Solicitud de expediente de trabajo por Reglamento General de Protección de Datos (RGPD)
RespuestasAquíPolítica de privacidad1y, 0v