Recopilación excesiva de datos, ausencia de registro, incumplimiento de los derechos de las personas o falta de cooperación: la CNIL ha pronunciado once nuevas sanciones simplificadas desde junio de 2024. Recuerda las normas y medidas represivas que puede tomar en caso de incumplimiento .
Desde junio de 2024, la CNIL ha emitido once nuevas decisiones sancionadoras en el marco de su procedimiento simplificado por una multa acumulada de 129.000 euros.
Las principales deficiencias identificadas se refieren a:
- incumplimiento del principio de minimización de datos (videovigilancia de los empleados y grabaciones de conversaciones telefónicas de forma sistemática y completa);
- la ausencia de un registro de tratamiento;
- la ausencia de medios que le permitan rechazar las cookies con la misma facilidad que aceptarlas;
- falta de cooperación con la CNIL;
- incumplimiento de los derechos de las personas (falta de respuesta en los plazos estipulados);
- Falta de información a las personas (clientes y empleados).
Violaciones del principio de minimización de datos
Varias sanciones adoptadas en el marco del procedimiento simplificado identificaron una violación del principio de minimización de datos, ya se trate de la videovigilancia de los empleados o de la grabación sistemática y completa de conversaciones telefónicas entre asesores telefónicos y clientes potenciales.
Como recuerda periódicamente la CNIL, la videovigilancia permanente de los empleados en su puesto de trabajo, no justificada por circunstancias excepcionales relacionadas con la seguridad o el robo, viola el principio de minimización de datos.
Asimismo, un sistema de grabación y escucha de llamadas telefónicas debe ser proporcionado al objetivo perseguido y no debe vulnerar excesivamente la intimidad de las personas grabadas.
Así, la finalidad (u objetivo) de mejorar las ventas y la formación de los empleados no justifica la grabación sistemática y completa de las conversaciones telefónicas, mientras que sí se puede implementar la grabación puntual y aleatoria de las llamadas realizadas.
Lo mismo se aplica si el objetivo es recoger “pruebas”: salvo en los casos en que la ley lo exige, la grabación sistemática de conversaciones telefónicas sólo se justifica si es necesaria, a menos que constituya la prueba de un contrato o de un acto de ejecución de un contrato. un contrato celebrado con un consumidor (por ejemplo, la compra de un servicio).
Infracciones relativas al registro de actividades de tratamiento
La CNIL sancionó a dos empresas con menos de 250 empleados por falta de registro de actividades de tratamiento, ya que el tratamiento en cuestión no era ocasional.
Llevar un registro de las actividades de tratamiento está exigido por lo dispuesto en el artículo 30 del RGPD. Permite identificar, en particular, qué datos se recogen, por qué motivo o quién tiene acceso a ellos. Es una herramienta para controlar y demostrar el cumplimiento del RGPD por parte del responsable del tratamiento, que debe actualizarse periódicamente en función de la evolución funcional y técnica del tratamiento de datos.
Cada vez más organizaciones sancionadas
El procedimiento sancionador simplificado es una de las herramientas represivas de que dispone la CNIL para garantizar el cumplimiento del RGPD y responder a las numerosas denuncias recibidas cada año (16.000 en 2023). Este procedimiento simplificado, consagrado por ley desde 2022 por iniciativa de la CNIL, permite imponer sanciones rápidas a expedientes que no presentan ninguna dificultad particular, a diferencia de las sanciones llamadas “ordinarias”. Las sanciones simplificadas no son públicas y el importe de las multas que se pueden imponer no puede superar los 20.000 euros.
Desde enero de 2024, durante 9 meses, la CNIL ha dictado 28 sanciones simplificadas por un importe total de 290.500 euros. En comparación, a lo largo de todo el año 2023 se impusieron 24 sanciones simplificadas por un importe total de 229.500 euros que se sumaron a las 18 sanciones ordinarias (88.950.000 euros).
Más allá de las sanciones financieras, los requerimientos también contribuyen al cumplimiento del RGPD: la CNIL emitió 168 requerimientos contra organizaciones públicas y privadas en 2023. Esta cifra no ha dejado de aumentar desde hace varios años (135 en 2021, 147 en 2022).
Además, la CNIL coopera activamente con las autoridades europeas de protección de datos. Esta cooperación ha dado lugar a un refuerzo de las medidas correctoras en los últimos años, como lo ilustra, por ejemplo, la sanción de 290 millones de euros impuesta por la autoridad holandesa, en cooperación con la CNIL, a la empresa UBER el 22 de julio de 2024.
Finalmente, cabe recordar que el cumplimiento también se puede lograr sin avisos formales ni sanciones. En el marco de la tramitación de las reclamaciones, la intervención de los servicios de la CNIL con los responsables del tratamiento puede permitir así obtener el cumplimiento, por ejemplo durante un intercambio con el delegado de protección de datos destinado a satisfacer una solicitud de ejercicio de derechos.
Apoyo de profesionales para un mejor cumplimiento
Paralelamente a las medidas represivas, la CNIL apoya a los responsables del tratamiento en el cumplimiento del RGPD respondiendo a sus solicitudes de asesoramiento (más de 15.000 en 2023), a través de varios sistemas específicos (soporte reforzado, “sandbox”) que especifica en su apoyo. carta, o mediante la publicación periódica de numerosos recursos temáticos y sectoriales en su sitio web.
Estos elementos están en línea con las conclusiones del segundo informe de la Comisión Europea sobre la aplicación del RGPD, que pide a las autoridades europeas que promuevan el diálogo con los responsables del tratamiento reforzando las medidas de apoyo para permitir una regulación eficaz.
https://www.cnil.fr/fr/onze-nouvelles-sanctions-procedure-simplifiee