Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
La Comisión Nacional de Informática y Libertades, CNIL, Francia ha pronunciado once nuevas sanciones simplificadas desde junio de 2024 y recuerda las normas y medidas represivas que pueden tomarse en caso de incumplimiento.
Los principales incumplimientos constatados se refieren a:
- Incumplimiento del principio de minimización de datos
- Ausencia de registro de tratamiento
- Ausencia de medios permitidos para rechazar tan fácilmente como aceptar los cookies
- Defecto de cooperación con la CNIL
- Incumplimiento de los derechos de las personas
- Incumplimiento a la obligación de información de las personas (clientes y asalariados)
Algunas normas transpuestas del RGPD a la Ley 78° de Protección de Datos Personales de Francia, no han sido aún evaluadas, ni menos incluidas en la mayoría de fuentes legislativas sudamericanas de protección de datos personales. Entre ellas, el cumplimiento del principio de minimización de datos o las recomendaciones para compartir datos a fin de proteger el medio ambiente o de menor impacto sobre la huella ambiental que fueron recogidos en un artículo de este Blog de julio de 2023 Cuaderno 9° de la CNIL
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com
_______________________________________________________________ |
En los últimos tres meses, la CNIL ha impuesto once nuevas sanciones en el marco del procedimiento simplificado1.
8 de octubre de 2024
Colecta excesiva de datos, ausencia de registro, incumplimiento de los derechos de las personas o falta de cooperación: la CNIL ha pronunciado once nuevas sanciones simplificadas desde junio de 2024. Recuerda las normas y medidas represivas que puede tomar en caso de incumplimiento .
Desde junio de 2024, la CNIL ha emitido once nuevas decisiones sancionadoras en el marco de su procedimiento simplificado por una multa acumulada de 129.000 euros.
Las principales deficiencias identificadas se refieren a:
- incumplimiento del principio de minimización de datos (videovigilancia de los empleados y grabaciones de conversaciones telefónicas de forma sistemática e integralmente);
- la ausencia de un registro de tratamiento;
- la falta de medios para rechazar las cookies tan facilmente como aceptarlos;
- falta de cooperación con la CNIL;
- incumplimiento de los derechos de las personas (falta de respuesta en los plazos estipulados);
- Falta de información a las personas (clientes y empleados).
Incumplimientos del principio de minimización de datos
Varias sanciones adoptadas en el marco del procedimiento simplificado identificaron violaciones del principio de minimización de datos , ya sea tratándose de la videovigilancia de los empleados o de la grabación sistemática e integral de conversaciones telefónicas entre teleasesores telefónicos y de prospectos o clientes potenciales.
Como recuerda periódicamente la CNIL, la videovigilancia permanente de empleados en su puesto de trabajo, no justificados por circunstancias excepcionales relacionadas con la seguridad o el robo, viola el principio de minimización de datos.
Asimismo, un sistema de registro y escucha de llamadas telefónicas debe ser proporcional con respecto al objetivo perseguido y no debe vulnerar excesivamente la intimidad de las personas grabadas.
Así, la finalidad (u objetivo) de mejorar las ventas y la formación de los empleados no justifica grabar de forma sistemática e integralmente las conversaciones telefónicas, mientras que se puede implementarse la grabación ocasional y aleatoria de las llamadas realizadas.
Lo mismo se aplica si el objetivo es recoger “pruebas”: salvo en los casos en que la ley lo exige, la grabación sistemática de conversaciones telefónicas sólo se justifica si es necesaria, a menos que constituya la prueba de un contrato o de un acto de ejecución de un contrato. un contrato celebrado con un consumidor (por ejemplo, la compra de un servicio).
Infracciones relativas al registro de actividades de tratamiento
La CNIL sancionó a dos empresas con menos de 250 empleados por falta de registro de actividades de tratamiento, ya que el tratamiento en cuestión no era ocasional.
Se exige llevar un registro de las actividades de tratamiento según lo dispone el artículo 30 del RGPD. Permite identificar, en particular, qué datos se recogen, por qué motivo o aún quién tiene acceso a ellos. Es una herramienta para controlar y demostrar el cumplimiento del RGPD por parte del responsable del tratamiento , que debe actualizarse periódicamente en función de la evolución funcional y técnica del tratamiento de datos.
Cada vez más organizaciones sancionadas
El pprocedimiento de sanción simplifcado es una de las herramientas represivas de que dispone la CNIL para garantizar el cumplimiento del RGPD y responder a las numerosas denuncias recibidas cada año (16.000 en 2023). Este procedimiento simplificado, consagrado por ley desde 2022 por iniciativa de la CNIL, permite imponer sanciones rápidas para casos que no presentan ninguna dificultad particular, a diferencia de las sanciones llamadas “ordinarias”. Las sanciones simplificadas no son públicas y el importe de las multas que se pueden imponer no puede superar los 20.000 euros.
Desde enero de 2024, durante 9 meses, la CNIL ha dictado 28 sanciones simplificadas por un importe total de 290.500 euros. En comparación, a lo largo de todo el año 2023 se impusieron 24 sanciones simplificadas por un importe total de 229.500 euros que se sumaron a las 18 sanciones ordinarias (88.950.000 euros).
Más allá de las sanciones financieras, los requerimientos también contribuyen al cumplimiento del RGPD: la CNIL emitió 168 requerimientos contra organizaciones públicas y privadas en 2023. Esta cifra no ha dejado de aumentar desde hace varios años (135 en 2021, 147 en 2022).
Además, la CNIL coopera activamente con las autoridades europeas de protección de datos. Esta cooperación ha dado lugar a un refuerzo de las medidas correctoras en los últimos años, como lo ilustra, por ejemplo, la sanción de 290 millones de euros impuesta por la autoridad holandesa, en cooperación con la CNIL, a la empresa UBER el 22 de julio de 2024.
Finalmente, cabe recordar que el cumplimiento también se puede lograr sin avisos formales ni sanciones. En el marco de la tramitación de las reclamaciones, la intervención de los servicios de la CNIL con los responsables del tratamiento puede permitir así obtener el cumplimiento, por ejemplo durante un intercambio con el delegado de protección de datos destinado a satisfacer una solicitud de ejercicio de derechos.
Apoyo de profesionales para un mejor cumplimiento
Paralelamente a las medidas represivas, la CNIL apoya a los responsables del tratamiento en el cumplimiento del RGPD respondiendo a sus solicitudes de asesoramiento (más de 15.000 en 2023), a través de varios sistemas específicos (soporte reforzado, “sandbox”) que especifica en su carta de apoyo, o mediante la publicación periódica de numerosos recursos temáticos y sectoriales en su sitio web.
Estos elementos se inscriben en la línea de las conclusiones del Segundo informe de la Comisión Europea sobre la aplicación del RGPD , que apela a las autoridades europeas a la promoción del diálogo con los responsables del tratamiento reforzando las medidas de apoyo para permitir una regulación eficaz.
Texto de referencia
Para profundizar
- El procedimiento sancionador simplificado
- Procedimientos sancionadores
- Todo el contenido de la CNIL sobre trabajo y contratación.
- Videovigilancia en el trabajo
- El registro de actividades de tratamiento.
Texto de referencia
Textos de referencia
- Artículo 5.1.c del Reglamento General de Protección de Datos – RGPD (minimización de datos)
- Artículo 30 del RGPD (registro de actividades de tratamiento)
_____________________
1 En respuesta a inspecciones o denuncias, en caso de incumplimiento de las disposiciones del RGPD o de la ley por parte de los responsables del tratamiento y de los subcontratistas, la formación restringida de la CNIL o su presidente podrá imponer sanciones a los responsables del tratamiento que No respete estos textos.
En cuanto al procedimiento simplificado, la Ley de Protección de Datos prevé sanciones menos numerosas y menos severas que las que se aplican en el procedimiento ordinario. Estas sanciones nunca podrán hacerse públicas.
En este contexto, el presidente de la formación restringida podrá:
- emitir una llamada al orden;
- ordenar la conformidad del tratamiento, incluida una sanción de un importe máximo de 100 € por día de retraso;
- imponer una multa administrativa de un importe máximo de 20.000 euros.