Minimización de datos, cookies, tratamiento ilícito, seguridad de los datos y falta de cooperación o de respuesta a una solicitud de ejercicio de derechos: las nueve nuevas sanciones confirman la diversidad de infracciones sancionadas por la CNIL en el marco de su procedimiento simplificado.

Desde marzo de 2024, la CNIL ha emitido nueve nuevas decisiones sancionadoras (incluidas dos multas coercitivas) en el marco de su procedimiento simplificado, por un importe total de 83.000 euros.

Las principales infracciones fueron las siguientes

• una infracción relativa a un tratamiento ilícito (difusión de un vídeo promocional que contenía datos sensibles; publicación en un sitio web de los nombres y apellidos de personas dadas de baja en una asociación) ;
• incumplimiento relativo a la minimización de datos (comentarios excesivos; grabación sistemática y completa de conversaciones telefónicas en un centro de llamadas)
• incumplimiento del uso de cookies (falta de medios para rechazar las cookies con la misma facilidad que para aceptarlas);
• falta de cooperación con la CNIL
• no garantizar la seguridad de los datos (contraseñas insuficientemente robustas, almacenamiento no cifrado de las contraseñas, ausencia de una política de autorización)
• incumplimiento de los derechos de las personas (ejercicio del derecho de acceso al expediente médico);
• falta de información a las personas.

Incumplimiento del principio de minimización

En el marco de la gestión de un centro de atención telefónica para prestar servicios de secretaría a profesionales, una empresa grabó sistemáticamente todas las conversaciones entrantes y salientes entre las telesecretarias, los pacientes y los profesionales con fines de formación y evaluación y en caso de litigio.

Sin embargo, el establecimiento de un sistema de registro ad hoc y aleatorio proporciona la información necesaria para la formación de los empleados. El registro sistemático de todos los datos almacenados no parece necesario ni para la correcta prestación del servicio ni con vistas a posibles citaciones judiciales.

Por ello, la CNIL ha impuesto una multa a la empresa.

Una infracción relativa a un tratamiento ilícito

Una empresa que opera en el ámbito de la programación informática y la inteligencia artificial publicó un vídeo promocional en su sitio web y en las redes sociales utilizando imágenes de expedientes de pacientes de uno de sus clientes. Estas imágenes, que incluían el apellido, el nombre, el sexo y a veces la dirección y el número de teléfono de los pacientes, se utilizaron sin el consentimiento de las personas afectadas.

La difusión de identidades de pacientes que revelen información médica requiere el consentimiento explícito de la persona afectada, de conformidad con el artículo 9 del RGPD.

Sin embargo, la empresa no había obtenido el consentimiento explícito de las personas afectadas. Además, en virtud del artículo L. 1110-4 del Código de Salud Pública, la empresa estaba obligada al secreto profesional sin poder renunciar a él.

Esto constituye un tratamiento de datos ilícito en virtud del artículo 5.1 a) del RGPD.

Por tanto, la CNIL ha impuesto una multa a la empresa.

Una infracción relativa a las cookies

Durante una inspección en línea, la CNIL constató que el sitio web de una empresa no ofrecía a los usuarios la posibilidad de rechazar las cookies con la misma sencillez que aceptar su uso. Un botón en el sitio permitía a los usuarios aceptar todas las cookies inmediatamente. Pero para rechazarlas, había que hacer clic en la configuración y luego acceder a una interfaz para activar o desactivar las cookies.

Por tanto, el sitio no ofrecía ningún medio similar para rechazar fácilmente el depósito de cookies con un solo clic.

Tal mecanismo es contrario a los requisitos legales de consentimiento establecidos en el artículo 82 de la Ley francesa de Protección de Datos.

La CNIL ha impuesto una multa a esta empresa.

https://www.cnil.fr/fr/la-cnil-prononce-neuf-nouvelles-sanctions-procedure-simplifiee