Prospección política, misiones y recursos de los responsables de la protección de datos, seguridad de los datos, cooperación con la CNIL o respeto de los derechos de las personas: la CNIL sigue desarrollando su acción represiva con quince nuevas sanciones en el marco de su procedimiento simplificado.
Desde enero de 2024, la CNIL ha emitido quince nuevas decisiones sancionadoras en el marco de su procedimiento simplificado por un importe total de 98.500 euros. En comparación, durante todo el año 2023, la CNIL emitió 24 decisiones de este tipo.
Las principales infracciones fueron las siguientes
- infracción relativa a las tareas y recursos del responsable de la protección de datos ;
- falta de cooperación con la CNIL
- incumplimiento de la obligación de garantizar la seguridad de los datos (utilización del protocolo TLS y de suites criptográficas)
- incumplimiento de los derechos de las personas (ejercicio de los derechos de supresión y oposición y del derecho de acceso a un expediente médico)
- incumplimiento del deber de información en materia de proselitismo político
- incumplimiento de las obligaciones del subcontratista.
¿Qué es el procedimiento simplificado?
A diferencia del procedimiento ordinario, el procedimiento simplificado es más ligero: el presidente de la sala restringida (o un miembro designado por él) decide solo y no se celebra ninguna audiencia pública, a menos que el organismo pida ser oído.
Las sanciones que pueden imponerse son una multa de hasta 20.000 euros, un requerimiento con multa de hasta 100 euros por día de retraso o una llamada al orden. Los nombres de las organizaciones afectadas no podrán hacerse públicos.
Este procedimiento permite a la CNIL actuar con rapidez en casos que no presentan dificultades particulares.
Incumplimiento de las obligaciones y recursos del responsable de la protección de datos
Una organización no había hecho participar a su responsable de la protección de datos (RPD) en las reuniones relativas a la protección de datos y la seguridad de los sistemas de información.
Los RPD son responsables de informar y asesorar a los responsables del tratamiento sobre sus obligaciones legales y de supervisar su cumplimiento (artículo 39 del Reglamento general de protección de datos). Por tanto, deben participar en los debates relativos a la protección de datos personales.
Además, los datos de contacto y las funciones del RPD no se habían comunicado a los empleados desde hacía varios años. Por último, el RPD no tenía acceso al sistema de mensajería del sitio web de la organización, que permite a los interesados ejercer sus derechos. Por tanto, no pudo desempeñar correctamente sus funciones, lo que llevó a la CNIL a imponer una multa a la organización.
Falta de información sobre la prospección política
En el marco de una campaña de prospección electoral llevada a cabo durante las elecciones presidenciales y legislativas de 2022, una asociación política incumplió sus obligaciones de información a los particulares.
En particular, la información exigida por los artículos 12, 13 y 14 del RGPD que debía figurar en los distintos sitios de comunicación política publicados por la asociación no era transparente: estaba ausente en la mayoría de los sitios o era incompleta.
Además, en el contexto de la prospección electoral, los mensajes de voz y los mensajes SMS, postales o electrónicos enviados en el marco de la prospección política no contenían sistemáticamente información sobre el ejercicio de los derechos de las personas y, en particular, sobre la posibilidad de ejercer su derecho de oposición. Los candidatos a las elecciones o los partidos políticos están obligados a informar correctamente a los ciudadanos, y pueden inspirarse en el modelo propuesto por la CNIL.
La CNIL ha multado a esta asociación política.
Falta de seguridad de los datos personales
Varias organizaciones habían recibido un requerimiento formal para que pusieran en conformidad sus sitios web porque no utilizaban versiones recientes del protocolo TLS libres de vulnerabilidades o suites criptográficas de última generación.
Al final del plazo de conformidad indicado en los requerimientos, la CNIL efectuó comprobaciones en los sitios web de las organizaciones, algunos de los cuales seguían sin ser conformes.
Se inició un procedimiento sancionador simplificado y la CNIL impuso multas a las organizaciones que seguían utilizando :
- el protocolo TLS 1.0 o 1.1, a pesar de que estas dos versiones no deben utilizarse, según la guía del protocolo TLS publicada por la Agencia Nacional de Sistemas de Información y Seguridad (ANSSI),
- la función hash SHA-1, que ya no se considera segura, pues no puede garantizar la integridad y confidencialidad de los datos durante la transmisión entre el servidor y el navegador del usuario.