sábado, 24 de mayo de 2025

NUEVAS SANCIONES POR INCUMPLIMIENTO A LA PROTECCION DE DATOS - CNIL, FRANCIA.

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

Desde enero de 2025, la Comisión Nacional de Informática y Libertades, CNIL, de Francia, ha impuesto diez nuevas sanciones según el procedimiento simplificado, por un importe acumulado de 104.000 euros en multas. Estas decisiones ilustran la voluntad de la CNIL de reforzar la protección de datos personales, en particular en el ámbito profesional, favoreciendo al mismo tiempo un procedimiento rápido adaptado a los casos considerados menos complejos.

Las violaciones observadas se refieren principalmente a: 

  • Falta de minimización de datos: Varias sanciones se han dirigido contra dispositivos de vigilancia (videovigilancia o geolocalización) considerados excesivos respecto al principio de minimización.
  • Falta de información a las personas: Algunas organizaciones no han informado suficientemente a las personas afectadas (en particular a los empleados) sobre la existencia y los procedimientos de los dispositivos de vigilancia o de recopilación de datos.
  • Plazos de conservación excesivos: La CNIL ha sancionado la conservación excesiva de imágenes de videovigilancia o de datos de geolocalización, más allá de lo necesario para la finalidad prevista.
  • Falta de cooperación: Se han sancionado organizaciones por no responder o no cooperar con la CNIL durante inspecciones o denuncias, en particular en lo que respecta a los dispositivos de vigilancia en el lugar de trabajo.
  • Violación de seguridad y violación de datos: Algunos casos involucraron violaciones de seguridad o violaciones de datos personales.
  • Recopilación y almacenamiento continuo de datos de geolocalización de los vehículos de los empleados, mientras existen medios menos intrusivos para lograr los objetivos establecidos (control del tiempo de trabajo, lucha contra el robo, etc.).

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

_____________________________________________________



Diez nuevas sanciones impuestas por la CNIL en 2025 según el procedimiento simplificado

22 de mayo de 2025

Falta de minimización de datos, falta de información a las personas, períodos de conservación excesivos, falta de cooperación, violaciones de seguridad y violaciones de datos: la CNIL ha emitido diez nuevas sanciones simplificadas desde enero de 2025, incluidas varias relacionadas con la vigilancia de los empleados.


Desde enero de 2025, la CNIL ha emitido diez nuevas decisiones de sanción en el marco de su procedimiento simplificado por una multa acumulada de 104.000 euros.

El seguimiento de los empleados está en el centro de las sanciones adoptadas

Seis sanciones se referían a la vigilancia de empleados, en la que se detectaron varias infracciones.

Ya se trate de videovigilancia o de geolocalización de vehículos de empleados, el incumplimiento del principio de minimización de datos ha sido sancionado por la CNIL.

En principio, el empleador no puede supervisar continuamente a sus empleados.

En efecto, como recuerda periódicamente la CNIL, la videovigilancia permanente de los empleados en sus puestos de trabajo , no justificada por circunstancias excepcionales relacionadas, por ejemplo, con cuestiones de seguridad o de lucha contra el robo, vulnera el principio de minimización de datos.

De igual modo, la recopilación y el almacenamiento continuos de datos de geolocalización de los vehículos de los empleados contradicen el principio de minimización de datos. El control del horario laboral, la imposición de multas a los conductores o la lucha contra los robos no justifican este tipo de vigilancia, ya que estos objetivos pueden alcanzarse con medios menos intrusivos. Por ejemplo, en caso de robo, el dispositivo debería limitarse a registrar únicamente la última posición conocida del vehículo.

También se han detectado otras deficiencias relacionadas con la vigilancia de los empleados, como el período de conservación excesivo de las imágenes de vídeo o de los datos de geolocalización, la falta de información o la información incompleta sobre los dispositivos utilizados o la falta de cooperación del empresario con la CNIL tras una denuncia relativa al uso de cámaras en el lugar de trabajo.

Violaciones de seguridad de datos

La CNIL también sancionó a una empresa por la falta de robustez de las contraseñas  y por la mala gestión de las autorizaciones  de acceso al dispositivo de vídeo.

La contraseña para acceder al dispositivo de vídeo constaba de 10 caracteres (letras y números) y no tenía medidas de seguridad adicionales. Esta contraseña nunca había sido renovada y era idéntica a la utilizada por el anterior gerente de la tienda.

Las disposiciones de acceso al dispositivo de vídeo permitieron que personas no autorizadas, como empleados o incluso personas ajenas a la empresa, pudieran ver las imágenes del dispositivo acudiendo a la oficina del gerente de la tienda.

La empresa fue sancionada por no haber implementado las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo relativo a las modalidades de acceso a su sistema de videovigilancia.

No notificar ni comunicar una violación de datos a las personas afectadas

La CNIL ha sancionado a un sitio de citas que había sufrido una violación de datos porque no había notificado a la CNIL esta violación ni había informado a los interesados, lo que debería haber hecho lo antes posible (artículos 33 y 34 del RGPD). Esta violación probablemente crearía un alto riesgo para los derechos y libertades de muchos usuarios.

 

    No hay comentarios:

    Publicar un comentario