Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
Desde marzo de 2024, la Comisión Nacional de Informática y Libertades de Francia,
CNIL ha emitido nuevas sanciones (entre las cuales dos liquidaciones
de multa) en el marco de un procedimiento simplificado por un importe total de 83.000
euros.
Los principales incumplimientos corresponden
a: tratamientos ilícitos, minimización de datos, uso de cookies, falta de cooperación
con la CNIL, falta de seguridad de datos,
incumplimiento de los derechos e informació a las personas.
Este documento fue traducido del francés al
castellano con la ayuda del aplicativo Google Traductor, el enlace al texto original
se encuentra en: https://www.cnil.fr/fr/la-cnil-prononce-neuf-nouvelles-sanctions-procedure-simplifiee
A fin de acceder a normas similares y estándares
europeos, las empresas, organizaciones públicas y privados interesados en asesorías,
consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema,
sírvanse comunicar al correo electrónico: cferreyros@hotmail.com
____________________________________________________________________
La CNIL
pronunció nuevas sanciones en el marco del procedimiento simplificado
05 junio 2024
Minimización de datos, cookies, tratamientos ilícitos,
seguridad de los datos o incluso falta de cooperación y no respuesta a una
demanda de ejercicio de derechos: las nuevas sanciones confirman la diversidad
de operaciones sancionadas por la CNIL en el marco de un procedimiento
simplificado.
Desde marzo de 2024, la CNIL ha
emitido nueve nuevas
decisiones de sanciones (entre
las cuales dos liquidaciones de multa) en el marco de un procedimiento simplificado por un importe total de 83.000 euros.
Los principales incumplimientos son:
· incumplimiento
relativo a tratamientos ilícitos (difusión de un vídeo promocional conteniendo
datos sensibles; publicación en un sitio web de nombres y prenombres de personas separadas de
una Asociación);
·
incumplimiento a la
minimización de datos (comentarios excesivos;
registro de conversaciones telefónicas sistemáticas e integrales en un centro
de llamadas);
· incumplimiento concerniente
al uso de cookies (ausencia de medios que permiten de rehusar las
cookies tan fácilmente como aceptarlas);
· falta de
cooperación con la CNIL;
· falta de seguridad de datos ( contraseña insuficientemente
robustas, almacenamiento de
contraseñas en claro, ausencia de política de habilitación );
·
incumplimiento de
los derechos de personas (ejercicio del derecho de acceso a un expediente
médico);
·
incumplimiento de información a las personas.
Incumplimiento al principio
de minimización
En el marco de la gestión
de un centro de llamadas para asegurar el secretariado de profesionales, una empresa
procedió al registro sistemático de la totalidad de las conversaciones de las
llamadas entrantes y salientes entre las tele secretarias, los pacientes y los
profesionales con fines de formación, de evaluación y en caso de eventual
litigio.
Ahora bien, la implementación de un registro puntual y aleatorio permite de disponer
de los elementos necesarios para la formación de los asalariados. Un registro
sistemático y total de las conservaciones no parece necesario para la buena
ejecución del servicio ni en vista de eventuales solicitudes jurídicas.
La CNIL le impuso una multa a
esta empresa.
Un incumplimiento
relativo a un tratamiento ilícito
Una empresa cuyo objeto se ejerce
en el marco de la programación informática y de la inteligencia artificial difundió sobre su sitio web y sobre
las redes sociales un vídeo promocional que utiliza imágenes de expedientes de
pacientes de sus clientes. Estas imágenes, que comportan el nombre, el prenombre,
el género y a veces la dirección y el número de teléfono de los pacientes, han
sido utilizadas sin el consentimiento de las personas interesadas.
La difusión de la identidad de
los pacientes relacionados con la información médica requiere el consentimiento
explícito de la persona interesada, en aplicación del artículo 9 del RGPD.
Ahora bien, la empresa no solicitó
el consentimiento explícito de las personas. Además, en virtud del artículo L.
1110-4 del Código de salud pública, la empresa se encuentra sometida al secreto
profesional sin poder inhibirse de ello.
Se trata de un tratamiento
ilícito de datos respecto al artículo 5.1 a) del RGPD.
La CNIL le impuso
una multa a esta empresa.
Incumplimiento
relativo a las cookies
A la ocasión de un control en
línea, la CNIL constata que el sitio web de una empresa no propone ningún medio
permitido para que el usuario rechace las cookies
con el mismo grado de simplicidad que las acepta. El sitio permite, por la
presencia de un botón, de aceptar todas las cookies
inmediatamente. Pero para rechazarlas, era necesario pulsar en los parámetros y
luego acceder a un interfaz para activar o desactivar las cookies.
El sitio no presentaba así,
ningún otro medio análogo para rechazar fácilmente con un solo clic en el
depósito de las cookies.
Un tal mecanismo es contrario a las exigencias legales del consentimiento requeridas por el artículo 82 de
la Ley de Informática y Libertades.
La CNIL pronunció una multa
contra esta empresa.
Referencia de texto
Para profundizar
· Los procedimientos de sanción
·
Todos los contenidos de la CNIL sobre la salud
·
Todos los contenidos de la CNIL sobre el trabajo y el reclutamiento
·
Todos los contenidos de la CNIL para los partidos políticos y los
candidatos
·
Todo el contenido de la CNIL sobre la seguridad de los datos.
·
#Sanción #Derecho de personas #Seguridad #Datos de salud #Trabajo
No hay comentarios:
Publicar un comentario