Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
Desde marzo de 2024, la Comisión Nacional de Informática y Libertades de Francia, CNIL ha emitido nuevas sanciones (entre las cuales dos liquidaciones de multa) en el marco de un procedimiento simplificado por un importe total de 83.000 euros.
Los principales incumplimientos corresponden a: tratamientos ilícitos, minimización de datos, uso de cookies, falta de cooperación con la CNIL, falta de seguridad de datos, incumplimiento de los derechos e informació a las personas.
Este documento fue traducido del francés al castellano con la ayuda del aplicativo Google Traductor, el enlace al texto original se encuentra en: https://www.cnil.fr/fr/la-cnil-prononce-neuf-nouvelles-sanctions-procedure-simplifiee
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com
____________________________________________________________________
La CNIL pronunció nuevas sanciones en el marco del procedimiento simplificado
05 junio 2024
Minimización de datos, cookies, tratamientos ilícitos, seguridad de los datos o incluso falta de cooperación y no respuesta a una demanda de ejercicio de derechos: las nuevas sanciones confirman la diversidad de operaciones sancionadas por la CNIL en el marco de un procedimiento simplificado.
Desde marzo de 2024, la CNIL ha emitido nueve nuevas decisiones de sanciones (entre las cuales dos liquidaciones de multa) en el marco de un procedimiento simplificado por un importe total de 83.000 euros.
Los principales incumplimientos son:
- incumplimiento relativo a tratamientos ilícitos (difusión de un vídeo promocional conteniendo datos sensibles; publicación en un sitio web de nombres y prenombres de personas separadas de una Asociación);
- incumplimiento a la minimización de datos (comentarios excesivos; registro de conversaciones telefónicas sistemáticas e integrales en un centro de llamadas);
- incumplimiento concernienteal uso de cookies (ausencia de medios que permiten de rehusar las cookies tan fácilmente como aceptarlas);
- falta de cooperación con la CNIL;
- falta deseguridad de datos ( contraseña insuficientemente robustas, almacenamiento de contraseñas en claro, ausencia de política de habilitación );
- incumplimiento de los derechos de personas (ejercicio del derecho de acceso a un expediente médico);
- incumplimiento de información a las personas.
Incumplimiento al principio de minimización
En el marco de la gestión de un centro de llamadas para asegurar el secretariado de profesionales, una empresa procedió al registro sistemático de la totalidad de las conversaciones de las llamadas entrantes y salientes entre las tele secretarias, los pacientes y los profesionales con fines de formación, de evaluación y en caso de eventual litigio.
Ahora bien, la implementación de un registro puntual y aleatorio permite de disponer de los elementos necesarios para la formación de los asalariados. Un registro sistemático y total de las conservaciones no parece necesario para la buena ejecución del servicio ni en vista de eventuales solicitudes jurídicas.
La CNIL le impuso una multa a esta empresa.
Un incumplimiento relativo a un tratamiento ilícito
Una empresa cuyo objeto se ejerce en el marco de la programación informática y de la inteligencia artificial difundió sobre su sitio web y sobre las redes sociales un vídeo promocional que utiliza imágenes de expedientes de pacientes de sus clientes. Estas imágenes, que comportan el nombre, el prenombre, el género y a veces la dirección y el número de teléfono de los pacientes, han sido utilizadas sin el consentimiento de las personas interesadas.
La difusión de la identidad de los pacientes relacionados con la información médica requiere el consentimiento explícito de la persona interesada, en aplicación del artículo 9 del RGPD.
Ahora bien, la empresa no solicitó el consentimiento explícito de las personas. Además, en virtud del artículo L. 1110-4 del Código de salud pública, la empresa se encuentra sometida al secreto profesional sin poder inhibirse de ello.
Se trata de un tratamiento ilícito de datos respecto al artículo 5.1 a) del RGPD.
La CNIL le impuso una multa a esta empresa.
Incumplimiento relativo a las cookies
A la ocasión de un control en línea, la CNIL constata que el sitio web de una empresa no propone ningún medio permitido para que el usuario rechace las cookies con el mismo grado de simplicidad que las acepta. El sitio permite, por la presencia de un botón, de aceptar todas las cookies inmediatamente. Pero para rechazarlas, era necesario pulsar en los parámetros y luego acceder a un interfaz para activar o desactivar las cookies.
El sitio no presentaba así, ningún otro medio análogo para rechazar fácilmente con un solo clic en el depósito de las cookies.
Un tal mecanismo es contrario a las exigencias legales del consentimiento requeridas por el artículo 82 de la Ley de Informática y Libertades.
La CNIL pronunció una multa contra esta empresa.
Referencia de texto
Para profundizar
- Los procedimientos de sanción
- Todos los contenidos de la CNIL sobre la salud
- Todos los contenidos de la CNIL sobre el trabajo y el reclutamiento
- Todos los contenidos de la CNIL para los partidos políticos y los candidatos
- Todo el contenido de la CNIL sobre la seguridad de los datos.