DATOS PERSONALES - HOJA DE RUTA ESTRATÉGICA 2019-2021. COMISIÓN NACIONAL DE INFORMÁTICA Y LIBERTADES DE FRANCIA.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Université de Montpellier I Francia.

cferreyros@hotmail.com

PROLOGO

La Comisión Nacional de Informática y Libertades, CNIL, Autoridad de Protección de Datos Personales de Francia, identificó cinco ejes estratégicos para el trienio de 2019-2021:

   1. Dar prioridad a los desafíos digitales de la vida cotidiana.

   2. Asumir una regulación equilibrada de protección de datos a la hora del RGPD.
   3. Promover la diplomacia de datos
   4. Ofrecer un expertise público de vanguardia sobre el ámbito digital y cíberseguridad.
   5. Encarnar un servicio público innovador y reunido en torno a sus valores

Los mismos que establecen prioridades, dentro de un proceso progresivo y colaborativo  con otras autoridades públicas y teniendo como referencia el Reglamento Europeo de Protección de Datos Personales, RGPD.

Esta Hoja de Ruta Estratégica pudiera servir de referencia a autoridades homólogas en Latinoamérica.  

Incluyo el enlace al articulo en francés.  
https://www.cnil.fr/sites/default/files/atoms/files/cnil-feuille-de-route-strategique-2019-2021.pdf

------------------------------------------------------------------------------ 

HOJA DE RUTA ESTRATÉGICA

2019-2021

Comisión Nacional de Informática y Libertades, CNIL- Francia.

Introducción

En 2016, la CNIL adoptó un plan trienal de orientaciones estratégicas y operativas. Este plan tenía dos objetivos principales: hacer de la CNIL, ante una presión cuantitativa y cualitativa muy fuerte debido al cambio de la empresa en la era digital, un regulador completo, ágil e invertido en co-regulación e inter -regulación; Redactar un proyecto para un período inédito para la institución, el de la adopción y luego la entrada en aplicación del Reglamento Europeo de Protección de Datos (RGPD).

Tres años después, la visión propuesta ha demostrado ser relevante: gracias a la inversión de todos sus equipos, la CNIL se ha reposicionado y modernizado en gran medida. Este plan estratégico le permitió mejor preparar y llevar a cabo con eficacia sus misiones durante 2018, un año excepcional debido al cambio hacia un nuevo marco legal y un nuevo modo de gobernanza de los datos personales, en gran parte europeizado, y al considerable incremento de solicitudes dirigidas a la CNIL por particulares y profesionales en esta ocasión.

También se dieron importantes pasos en 2019. El nuevo marco legal ya está en marcha y la cooperación europea se ha convertido en una realidad. Aún queda camino por recorrer para completar la transformación y lograr una cultura de “tecnologías de la información y libertades” que sea plenamente compartida y difundida en el país.

Es en este contexto que, a partir de marzo de 2019, la CNIL se ha embarcado en nuevas orientaciones que abarcan el período 2019-2021. Ha optado por hacerlo a través de un proceso progresivo y colaborativo, asociando a los miembros de la Comisión, a los responsables y a todos sus agentes reunidos en talleres transversales, que han permitido enriquecer la reflexión colectiva y co-construir la orientaciones finales.

Esta hoja de ruta estratégica 2019-2021 establece las prioridades para los próximos años, con el fin de ejercer mejor la misión de servicio público que incumbe a la CNIL, con respecto a sus distintos públicos, cumpliendo mejor sus expectativas, en la medida de los medios de que dispone la institución y de los retos operativos del colectivo europeo.

Tras una fase marcada por cambios y transiciones, el hilo conductor de esta hoja de ruta es la apropiación, la realización, para todos - personas, profesionales, colectivo europeo - de todas las promesas y potencialidades del RGPD. El período 2019-2021 será decisivo para dar credibilidad al nuevo marco legal y transformar esta ambiciosa apuesta europea en éxito operativo. Las expectativas de la sociedad civil y los actores económicos son muy altas. Este modelo está llamando la atención y marcando hitos en el diseño de marcos regulatorios en todo el mundo. Para seguir siendo, en este nuevo contexto, un regulador de datos eficiente y pragmático, que desempeña plenamente su papel tanto a nivel nacional como europeo, la CNIL debe continuar, hasta la prueba de la práctica, modernizándose. Por ello, ha identificado cinco ejes estratégicos que deben orientar su actuación en 2021.

1. Dar prioridad a los desafíos digitales de la vida cotidiana.

La protección de los derechos de las personas, reforzada por el RGPD, ha sido el objetivo de la CNIL desde la ley del 6 de enero de 1978. Pero el contexto ha sufrido un cambio profundo, marcado por la multiplicación, masificación y diversificación del procesamiento de datos. personales, así como en la modificación del comportamiento individual. En consecuencia, hay que dar prioridad a lo que afecta más concretamente a la vida de los ciudadanos, para hacer de la CNIL el aliado de confianza de su cotidianidad digital.

Cuatro objetivos permitirán de lograrlo:

1. Facilitar el tratamiento de incoaciones de particulares: la calidad del manejo de estas incoaciones (reclamos, quejas, ejercicio indirecto de derechos, etc.) debe mantenerse y ser más que nunca una prioridad para la CNIL. En un contexto de masificación de estas incoaciones, se debe buscar una mayor efectividad de las acciones en este ámbito, jugando sobre todas las palancas susceptibles de facilitar el recurso a la CNIL, reducir la tramitación interna de estas solicitudes y aumentar el efecto útil, más allá de los casos concretos, de las soluciones obtenidas: mejora de las herramientas informáticas, optimización de la gestión de la tramitación de las reclamaciones, desarrollo continuo de respuestas estándar a preguntas, etc.

2. Enriquecer la oferta editorial destinada a las personas: la CNIL debe fortalecer su pedagogía respecto de las personas, que deben constituir el eje central de sus acciones, y en particular de los jóvenes. Debe reforzarse la posición de las producciones dedicadas a los temas más habituales en la vida cotidiana de las personas. Se desarrollarán nuevos formatos de comunicación (videos, tutoriales, consejos prácticos, etc.) que permitan apropiarse adecuadamente de los temas. Los contenidos sobre los derechos de los niños se enriquecerán y se harán más visible.

3. Ser más legibles: la CNIL debe fortalecer la legibilidad y la simplicidad de las palabras respecto de las personas. Se pondrán a disposición de las personas respuestas llave en mano, recomendaciones prácticas y herramientas digitales sobre los problemas que les afectan más concretamente, a fin de que puedan protegerse eficazmente en su vida digital diaria. La CNIL también debe anticipar, desde el diseño de una producción que lo justifique, la comunicación pública resultante, dirigida a todas las personas que enfrentan los mismos problemas, pero también a los profesionales que procesan sus datos con el fin de solicitarlos y sensibilizarlos más directamente sobre cuestiones que afectan la vida diaria de las personas. La redacción de las producciones debe, en la medida de lo posible, hacerse más simple y accesible sin perder precisión.

4. Fortalecer la posición del cotidiano digital en todas las acciones de la CNIL: más allá de las misiones directamente dirigidas a las personas (información pública, tramitación de referencias), el ejercicio por la CNIL del conjunto de sus misiones. debe estar más centrado en la vida digital diaria de las personas, con el fin de mejorar eficazmente su grado de control sobre sus datos. Sus misiones de acompañamiento a los profesionales, control, vigilancia tecnológica o promoción de tecnologías protectoras de la privacidad, pero también de asesoramiento a las autoridades públicas y reguladoras, deben estar plenamente orientadas a los temas y objetos que más concretamente afectan personas, en su vida privada o profesional.

2. Asumir una regulación equilibrada de protección de datos a la hora del RGPD.

Las acciones “represivas” de la CNIL adquieren una nueva dimensión con la RGPD y la CNIL debe invertir plenamente en ella. Al mismo tiempo, ella debe definitivamente hacer  entrar la protección de datos en  las costumbres y la cultura cotidianas de los profesionales, condición imperativa para el éxito del RGPD y la seguridad jurídica de las acciones de la CNIL.  La CNIL, seguirá caminando de esta manera sobre sus dos pies, equilibrados y coordinados, acompañamiento y acción represiva.

Cuatro objetivos permitirán de garantizar este equilibrio en el nuevo contexto jurídico:

1. Mejor focalización y valorización de la oferta de acompañamiento: para optimizar la eficacia de sus acciones de acompañamiento teniendo en cuenta los recursos asignados, esta misión debe basarse en una estrategia claramente definida y hecha pública, asumiendo un acompañamiento jerarquizado y priorizado sobre colectivos, profesionales o sociedad civil, así como en los tipos de tratamiento de datos con mayor impacto, por su naturaleza o escala, sobre las personas y el mundo de mañana. Las posiciones tomadas por la CNIL en este contexto deben luego ser transmitidas más ampliamente (al público, a las "cabezas de redes", a los delegados, etc.). Es necesario reforzar la visibilidad  y las acciones de la CNIL para aumentar los efectos, buscando en el día a día alianzas con los actores más cercanos a las empresas, de todos las tallas.

2. Adaptarse a la madurez y las necesidades variables de los profesionales: para brindar seguridad jurídica a todos los actores profesionales y facilitar su interpretación del RGPD, sin por lo tanto asesorarlos individualmente, la CNIL debe adecuar su discurso a nivel de la experiencia y de las necesidades de estos profesionales. Sus producciones deben ser más legibles para los actores pequeños y medianos en particular y deben dedicarse a ellos nuevas herramientas de cumplimiento más prácticas. Teniendo en cuenta la especificidad de determinadas organizaciones - les PMETPE, las autoridades locales y sus agrupaciones, asociaciones, etc. - constituye en adelante un eje aparte. El recorrido usuario sobre  su sitio también se re-diseñará para tener en cuenta la variedad de necesidades. En última instancia, los organismos deberían poder auto-evaluar su nivel de preparación para poder extraer ellos mismos las consecuencias sobre las acciones de cumplimiento a implementar.

3. Visibilizar la acción represiva: en el contexto del fortalecimiento de los poderes represivos de la CNIL,  un mejor conocimiento, por parte de los organismos, procedimientos de control y sanción se hace imprescindible. Las numerosas actuaciones de la CNIL en el marco de la tramitación de denuncias y misiones de control deben ser más capitalizadas (en la web y ante las federaciones profesionales) con el fin de transmitir las buenas y malas prácticas observadas y así maximizar el efecto útil de las soluciones encontradas en los expedientes individuales.

4. Mejor articular sanción y acompañamiento:  el fortalecimiento de estos poderes represivos también implica un mayor riesgo de litigio. Más aún que hoy, este contexto impone una fina y flexible coordinación entre servicios, sobre muchos expedientes como sobre los programas de trabajo, a fin de asegurar las acciones de la CNIL. Esta articulación también debe integrar las expectativas de los profesionales, quienes deben ser capaces de comprender fácilmente la postura y el enfoque de la CNIL en sus diversos intercambios con ella.

3. Promover la diplomacia de datos

El RGPD requiere una inversión plena y entera de la CNIL en la cooperación europea. La participación activa en los trabajos del colectivo europeo es una necesidad tanto jurídica como política: el éxito del nuevo modelo de gobernanza de datos europea es la clave para una auténtica soberanía europea en este ámbito y también refuerza el peso de las acciones emprendidas en el nivel nacional. La CNIL debe contribuir al éxito del colectivo europeo portando su propia visión , basada en una larga experiencia de su profesión como regulador. Más allá del círculo europeo, la CNIL debe participar activamente, en la medida de sus posibilidades, en la geopolítica internacional de los datos, en relación con la diplomacia francesa.

Estos imperativos estarán garantizados por la consecución de tres objetivos:

1. Anclar la cooperación europea en el día a día de la CNIL: la europeización de las actividades de la CNIL, ya ampliamente implementada, debe completarse definitivamente. En lo sucesivo, los procedimientos y métodos operativos internos deben adaptarse perfectamente a la hora europea. Una estrategia de cooperación reforzada con otras autoridades nacionales de control debe también guiar este nuevo enfoque cooperativo, para facilitar el trabajo conjunto, la emergencia de una cultura común y una mayor eficiencia visible para todos.

2. Desempeñar un rol motor dentro del colectivo europeo: el expertise de la CNIL es unánimemente reconocido en Europa. Para mantener y profundizar su valor añadido y su contribución a los trabajos europeos, la CNIL debe optimizar su estrategia de inversión a nivel europeo y dirigir mas eficazmente las actividades orientadas al CEPD. Ella también debe igualmente mejor dar conocer el trabajo del colectivo europeo en Francia, ante los poderes públicos, las organizaciones y el público.

3. Portar la voz de la CNIL a nivel internacional: más allá del único colectivo europeo, la CNIL debe seguir influyendo a nivel internacional donde se jugarán, en los próximos años, los principales equilibrios geopolíticos en materia de protección de datos. Dentro de los límites de sus recursos, la CNIL debe por tanto desarrollar nuevos relevos y palancas de influencia en este ámbito, con otras autoridades públicas, en particular la diplomacia francesa, otras redes (francofonía, por ejemplo), sobre temas jurídicos y técnicos de alto riesgo.

4. Ofrecer un expertise público de vanguardia sobre el ámbito digital y ciberseguridad.

La CNIL debe participar activamente en la implementación de nuevas formas de regulación digital, de las cuales la protección de datos es una parte esencial. Ella dispone de una experiencia de primer plano en el panorama de esta regulación que debe profundizar. Para dar una respuesta más completa a los desafíos que ella enfrenta y para dotar al Estado en su conjunto de una capacidad de respuesta global efectiva, debe promover y participar a la implementación de una red  de expertises y herramientas en los demás componentes del Estado digital. Por último, la regulación no puede basarse exclusivamente en conocimientos jurídicos y tecnológicos: la CNIL seguirá invirtiendo en otros enfoques, económicos y éticos en particular.

Cuatro objetivos definen este eje estratégico:

1. Profundizar los conocimientos técnicos de la CNIL: para seguir siendo capaz de controlar, legal y técnicamente, un ecosistema cada vez más complejo, la CNIL debe fortalecer aún más su nivel de expertise, que debe permanecer continuamente al nivel de los grandes actores privados. Se deben activar todas las palancas para fortalecer estas competencias, en términos de formación, de herramientas de investigación o de cooperación con las autoridades homologas, las otras autoridades públicas competentes en materia digital y el mundo de la investigación.

2. Promover la visión de la CNIL sobre la tecnología digital y la innovación: la CNIL no tiene el monopolio de esta regulación y no tiene tal vocación. Ella tiene, sin embargo, una singularidad a valorizar, por su antigüedad y su experiencia como regulador, por el carácter horizontal y diversificado de su ámbito de intervención y del objeto que regula, los datos personales, hilo conductor del mundo digital. Por tanto, ella debe contribuir a los debates que configuran la visión de la tecnología digital y de su regulación. La CNIL promoverá su visión de la innovación y de las experimentaciones en la era del RGPD, así como las acciones concretas que está implementando a fin de sostener a los emprendedores, privados como públicos, en este sentido.

3. Hacer más concreta la interregulación: más allá de ciertos logros efectivos, la interregulación de la tecnología digital, con otras autoridades públicas, debe fortalecerse aún más. Solo este método es capaz, por lo tanto, de naturaleza a afrontar los retos que plantea el advenimiento de la tecnología digital, que afecta a todas las personas y organizaciones y en todas sus actividades y no puede reducirse a una única política pública o un solo marco regulatorio. La fuerte convicción de la CNIL es que la interregulación debe realizarse de forma mas concreta, mediante debates sobre proyectos específicos y de trabajos conjunto más profundos entre los reguladores.

4. Difundir el enfoque ético: así como la regulación digital solo puede ser eficaz que mutualizando y enlazando en red las autoridades públicas, los enfoques legales y técnicos, el core principal de la CNIL, no pueden ser suficientes por ellos mismos a aprehender los cambios que se están produciendo y a proteger eficazmente las personas. En consecuencia, la CNIL debe fortalecer el carácter multidisciplinario de su enfoque. En la continuidad de la tendencia iniciada después de varios años, ella continuará su inversión en el campo de la ética, en conjunto con otros actores públicos del debate, y valorizando aún más las reflexiones éticas ya presentes en sus producciones.

5. Encarnar un servicio público innovador y reunido en torno a sus valores

En el ejercicio de sus misiones frente a sus agentes, la CNIL debe ser ejemplar. Responsable de proteger los derechos fundamentales, sus formas de hacer las cosas deben, en el momento en que la tecnología digital trastoca las relaciones sociales y profesionales, creando oportunidades sin precedentes y viendo emerger nuevos riesgos, reflejar los valores humanistas que la portan. Ella también debe profundizar en las ventajas que ofrece la tecnología digital en sus herramientas internas y en su relación con sus públicos. Estos imperativos constituyen la piedra angular de la actuación de la CNIL, condición para el ejercicio de su misión de servicio público.

De estos requisitos se derivan cuatro objetivos:

1. Escuchar aún más a sus públicos: la regulación de los datos personales en el mundo digital no se puede hacer "en la habitación" e impone por el contrario, una dinámica continua de confrontación con la realidad, de verificación de los méritos de las acciones. y decisiones con respecto a sus efectos en el tiempo. La evaluación del impacto de las acciones de la CNIL y la medida de satisfacción de los públicos a las que ella sirve constituyen desde ese momento imperativos. Sus modalidades de acciones deben ser, finalmente, más innovantes y estar más enfocados sobre los usos de sus públicos, gracias a un creciente uso de los señalamientos y las múltiples señales débiles que recibe.

2. Conocernos mejor, integrarse mejor: más allá de las herramientas y procedimientos, el fortalecimiento de la identidad colectiva de la CNIL también requiere un trabajo reforzado de integración alrededor de un zócalo de valores comunes, por una mas grande capacidad de la institución a integrar los nuevos agentes y por el mantenimiento de vínculos profesionales y humanos conviviales y benevolentes, en un contexto de evolución acelerada del marco de acción.

3. Mejorar el trabajo colectivo dentro de la CNIL: la cohesión interna de la institución es más que nunca una necesidad, para garantizar la seguridad jurídica necesaria a sus acciones, para facilitar el trabajo de sus agentes o para mantener y fortalecer la vínculos que los unen, en un contexto de aumento y de renovación de sus efectivos. Las herramientas prácticas de transversabilidad  (gestión del conocimiento, intranet, circulación de la información, etc.) deben ser modernizadas, en el marco de un ambicioso plan de transformación digital.

4. Crear una “marca empleadora” CNIL: esta identidad colectiva y sus formas de trabajo deben constituir la especificidad del empleador público que es la CNIL, así como su gestión previsional eficiente de las competencias y recorridos  internos y externos de su personal, que debe formalizarse más. Sobre estas bases, que garantizan la calidad del grupo de trabajo en el seno de la CNIL , se debe implementar una verdadera estrategia de marca empleadora, que contribuya al atractivo de la contratación.