Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
Desde enero de
2025, la Comisión Nacional de Informática y Libertades, CNIL, de Francia, ha
impuesto diez nuevas sanciones según el procedimiento simplificado, por un
importe acumulado de 104.000 euros en multas. Estas decisiones ilustran la
voluntad de la CNIL de reforzar la protección de datos personales, en
particular en el ámbito profesional, favoreciendo al mismo tiempo un
procedimiento rápido adaptado a los casos considerados menos complejos.
Las violaciones
observadas se refieren principalmente a:
- Falta de minimización de datos: Varias sanciones se han
dirigido contra dispositivos de vigilancia (videovigilancia o
geolocalización) considerados excesivos respecto al principio de
minimización.
- Falta de información a las personas: Algunas organizaciones
no han informado suficientemente a las personas afectadas (en particular a
los empleados) sobre la existencia y los procedimientos de los
dispositivos de vigilancia o de recopilación de datos.
- Plazos de conservación excesivos: La CNIL ha sancionado
la conservación excesiva de imágenes de videovigilancia o de datos de
geolocalización, más allá de lo necesario para la finalidad prevista.
- Falta de cooperación:
Se han sancionado organizaciones por no responder o no cooperar con la
CNIL durante inspecciones o denuncias, en particular en lo que respecta a
los dispositivos de vigilancia en el lugar de trabajo.
- Violación de seguridad
y violación de datos: Algunos casos
involucraron violaciones de seguridad o violaciones de datos personales.
- Recopilación y almacenamiento continuo de datos
de geolocalización de los vehículos de los empleados, mientras existen medios
menos intrusivos para lograr los objetivos establecidos (control del
tiempo de trabajo, lucha contra el robo, etc.).
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
_____________________________________________________
Diez nuevas sanciones impuestas por la CNIL en 2025 según el procedimiento simplificado
Falta de minimización de datos, falta de información a las personas, períodos de conservación excesivos, falta de cooperación, violaciones de seguridad y violaciones de datos: la CNIL ha emitido diez nuevas sanciones simplificadas desde enero de 2025, incluidas varias relacionadas con la vigilancia de los empleados.
Desde enero de 2025, la CNIL ha emitido diez nuevas decisiones de sanción en el marco de su procedimiento simplificado por una multa acumulada de 104.000 euros.
El seguimiento de los empleados está en el centro de las sanciones adoptadas
Seis sanciones se referían a la vigilancia de empleados, en la que se detectaron varias infracciones.
Ya se trate de videovigilancia o de geolocalización de vehículos de empleados, el incumplimiento del principio de minimización de datos ha sido sancionado por la CNIL.
En principio, el empleador no puede supervisar continuamente a sus empleados.
En efecto, como recuerda periódicamente la CNIL, la videovigilancia permanente de los empleados en sus puestos de trabajo , no justificada por circunstancias excepcionales relacionadas, por ejemplo, con cuestiones de seguridad o de lucha contra el robo, vulnera el principio de minimización de datos.
De igual modo, la recopilación y el almacenamiento continuos de datos de geolocalización de los vehículos de los empleados contradicen el principio de minimización de datos. El control del horario laboral, la imposición de multas a los conductores o la lucha contra los robos no justifican este tipo de vigilancia, ya que estos objetivos pueden alcanzarse con medios menos intrusivos. Por ejemplo, en caso de robo, el dispositivo debería limitarse a registrar únicamente la última posición conocida del vehículo.
También se han detectado otras deficiencias relacionadas con la vigilancia de los empleados, como el período de conservación excesivo de las imágenes de vídeo o de los datos de geolocalización, la falta de información o la información incompleta sobre los dispositivos utilizados o la falta de cooperación del empresario con la CNIL tras una denuncia relativa al uso de cámaras en el lugar de trabajo.
Violaciones de seguridad de datos
La CNIL también sancionó a una empresa por la falta de robustez de las contraseñas y por la mala gestión de las autorizaciones de acceso al dispositivo de vídeo.
La contraseña para acceder al dispositivo de vídeo constaba de 10 caracteres (letras y números) y no tenía medidas de seguridad adicionales. Esta contraseña nunca había sido renovada y era idéntica a la utilizada por el anterior gerente de la tienda.
Las disposiciones de acceso al dispositivo de vídeo permitieron que personas no autorizadas, como empleados o incluso personas ajenas a la empresa, pudieran ver las imágenes del dispositivo acudiendo a la oficina del gerente de la tienda.
La empresa fue sancionada por no haber implementado las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo relativo a las modalidades de acceso a su sistema de videovigilancia.
No notificar ni comunicar una violación de datos a las personas afectadas
La CNIL ha sancionado a un sitio de citas que había sufrido una violación de datos porque no había notificado a la CNIL esta violación ni había informado a los interesados, lo que debería haber hecho lo antes posible (artículos 33 y 34 del RGPD). Esta violación probablemente crearía un alto riesgo para los derechos y libertades de muchos usuarios.
No hay comentarios:
Publicar un comentario