Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
RESUMEN
El informe anual de la CNIL de 2025 confirma que las sanciones casi se han duplicado, alcanzando un total de casi 487 millones de euros, lo que refleja una estrategia de aplicación proactiva y selectiva.
La ciberseguridad se está convirtiendo en la piedra angular de la regulación: 6.167 infracciones notificadas, un tercio de las auditorías y el 30 % de las sanciones están relacionadas con fallos de seguridad, de conformidad con el artículo 32 del RGPD.
La CNIL sigue reforzando el principio de responsabilidad exigiendo más pruebas del cumplimiento de las medidas técnicas y organizativas, especialmente entre los subcontratistas.
Las principales sanciones se refieren a las cookies, la trazabilidad de empleados, la videovigilancia y la seguridad, y se utiliza cada vez más un procedimiento simplificado para agilizar la tramitación.
En cuanto a la IA, la CNIL se está preparando para la implementación del Reglamento Europeo de IA, publicando recursos para desarrolladores y desarrollando herramientas de trazabilidad (PANAME Privacy Auditing of AI Models con ANSSI, Inria y PEReN). El informe marca un claro replanteamiento estratégico: la seguridad y la regulación de los usos digitales sensibles se convierten en prioridades para 2026 (el 50 % de las auditorías y sanciones se dedicarán a la seguridad).
Desde el punto de vista legal, esto implica una mayor carga de la prueba para los responsables del tratamiento de datos y una mayor responsabilidad a lo largo de toda la cadena de subcontratación.
Finalmente, los profesionales deben revisar sus Evaluaciones de Impacto en la Protección de Datos (EIPD), registros y cláusulas contractuales para anticiparse a los controles y evitar sanciones.
A fin de acceder a normas similares y estándares europeos,
las empresas, organizaciones públicas y privadas interesadas en asesorías,
consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema,
sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com
________________________________________________________
Informe anual: Logros y acciones clave de la CNIL en 2025
18 de mayo de 2026
Apoyar a los profesionales, controlar sus prácticas, sensibilizar a la ciudadanía, pero también regular la IA, la ciberseguridad y la cooperación europea… la CNIL hace el balance de un intenso 2025, dedicado a la protección de los datos personales y la privacidad de todos.
Cada año, la CNIL publica su informe de actividades para hacer el balance de sus acciones en torno a sus cuatro misiones principales: informar y proteger público en general, apoyar y asesorar a profesionales y autoridades públicas, anticipar e innovar para construir el mundo digital del mañana y, por último, controlar y sancionar las infracciones a las exigencias de protección de datos, que se derivan en particular del Reglamento General de Protección de Datos (RGPD).
2025 estuvo marcado notablemente por un alza muy importante de las quejas recibidas , un monto total de multas inéditas, pero también un número récord de notificaciones de violación de datos . A pesar de los recursos limitados debido a su mayor carga de trabajo, la CNIL se está organizando y transformando, particularmente para apoyar la implementación gradual del reglamento sobre la(RIA) .
También innova en las herramientas queella propone , como las dirigidas a jóvenes y familias, incluida la aplicación FantomApp, dedicada a los adolescentes y financiada por la Comisión Europea.
Descargue el informe anual de la CNIL de 2025.
Acompañamiento: una gama de herramientas para todos los profesionales
Para elaborar recomendaciones que reflejen fielmente las prácticas y expectativas de los profesionales, en 2025 se pusieron en marcha 7 consultas públicas sobre diversos temas: vehículos conectados, historiales médicos, otorgamiento de créditos, dispositivos de trazabilidad en Internet y vivienda social.
Además, la CNIL ha publicado guías prácticas que describen las normas y las mejores prácticas para diversas situaciones, como la publicación de listas escolares o el uso de cámaras de realidad umentada, la reutilización de bases de datos y para candidatos y partidos políticos durante las elecciones. Asimismo, ha apoyado seis proyectos innovadores en la economía plateada (la economía de las personas mayores) como parte de su programa de "sandbox".
Además, la CNIL tramitó 539 solicitudes de autorización sanitaria (para investigaciones, estudios o evaluaciones que no entran dentro del ámbito de aplicación de ninguno de sus marcos de referencia), incluidos 406 expedientes de investigación sanitaria.
Finalmente, la CNIL tramitó 1.351 solicitudes de asesoramiento de profesionales y emitió 90 dictámenes sobre proyectos de ley o textos reglamentarios, principalmente a petición del gobierno.
Quejas: un aumento récord de las solicitudes
En 2025, la CNIL (Autoridad Nacional de Informática y Libertades de Francia) registró un nuevo récord de quejas, alcanzando las 20.150, lo que supone un aumento del 10 % con respecto a 2024. Los principales problemas detectados fueron las infracciones de la normativa de protección de datos y privacidad en el ámbito laboral, comercial, inmobiliario y en las redes sociales. Aproximadamente 1.900 quejas se referían directamente a violaciones de datos.
La CNIL colabora diariamente con otras autoridades europeas de protección de datos. Ella ha transmitido así más de 230 quejas transfronterizas y ha respondido a 600 solicitudes de sus homólogas .
Controles y sanciones: una cantidad de multas sin precedentes
Como cada año, la CNIL realizó controles antes organizaciones públicas y privadas a raíz de quejas, de señalamientos, en función de la actualidad o en el marco de sus temas de control prioritarios. Los temas tratados fueron variados: respeto a los derechos fundamentales, ciberseguridad, sistemas de videovigilancia y uso de rastreadores en línea.
En total, la CNIL realizó 323 controles y emitió 259 resoluciones, incluidas 83 sanciones , por un monto total de casi 487 millones de euros (recaudados por el Tesoro francés). Si bien dos sanciones significativas explican este total sin precedentes para la institución, la CNIL también impuso numerosas multas a empresas de todos los tamaños y sectores, en particular gracias a su procedimiento simplificado implementado en 2022, que le permite actuar con mayor rapidez en ciertos casos menos complejos.
Además, la CNIL participa activamente en la regulación a nivel europeo mediante un diálogo constante con sus homólogos en el marco de la ventanilla única de contacto. Así, en 2025, se presentaron cerca de 80 decisiones de la CNIL a otras autoridades europeas, se adoptaron 4 sanciones en cooperación y, paralelamente, la CNIL examinó 9 proyectos de decisión de sus homólogos.
Sensibilización: una estrategia multicanal para conectar con todos los públicos.
Para interactuar con el público, en particular con los menores, que son más vulnerables, la CNIL se apoya en numerosas colaboraciones con: Radio France (el segmento "Vida digital, vida privada" en Radio ICI), France Télévisions (el vídeo "Piensa antes de publicar") y la revista Geek Junior.
Paralelamente, la CNIL está presente en numerosos eventos: la Feria de la Tercera Edad en marzo, el Festival de Juegos Digitales de Hauts-de-Seine en abril y Paris Plage durante el verano… Además, realiza numerosas presentaciones en escuelas. En total, las l266 acciones llevadas a cabo en este ámbito han sensibilizado a más de 20 000 personas sobre la protección de datos .
El año 2025 también estuvo marcado por el lanzamiento de la aplicación FantomApp , diseñada para ayudar a los adolescentes a protegerse en las redes sociales.
Finalmente, a lo largo del año, la CNIL respondió a 35.403 llamadas y 14.654 solicitudes de información por escrito .
La ciberseguridad es una de las principales preocupaciones de la CNIL.
Todas las organizaciones, tanto públicas como privadas, están preocupadas por los problemas de ciberseguridad: asociaciones y empresas, pymes y multinacionales, autoridades locales y ministerios gubernamentales.
De las 6.167 violaciones de datos notificadas a la CNIL, uno de cada dos incidentes registrados en 2025 fueron ataques informáticos, que siguen siendo el tipo de incidente más frecuente. Las violaciones de datos también pueden provenir del envío de datos personales a un destinatario no autorizado o la pérdida de material.
Ante estas amenazas, la CNIL actúa: las brechas de ciberseguridad, responsables en parte del aumento del número de quejas, representan un tercio de sus controles y casi el 30 % de sus sanciones. Asimismo, la CNIL colabora con la Agencia Nacional de Ciberseguridad de Francia (ANSSI) y la fiscalía de delitos cibernéticos de París en los procesos penales, especialmente en los casos más graves.
Tres enseñanzas pueden ser exgtraidas de la violaciones de datos hechas a la CNIL en 2025 : nadie esta libre; las violacciones son cada vez más masivas; y ellas involucran a menudo a proveedores de servicios.
Marie-Laure Denis, presidenta de la CNIL
Para 2026, la CNIL dedicará el 50% de sus controles y acciones represivas a las violaciones en materia de ciberseguridad.
Los dos últimos años se han caracterizado por numerosas violaciones de datos a gran escala, que han afectado a un número considerable de personas. La CNIL (Autoridad Nacional de Informática y Libertades de Francia) abordó este problema desde las primeras alertas, extrayendo lecciones de las violaciones y formulando recomendaciones para proteger las grandes bases de datos antes de la primavera de 2025. Además, convirtió la ciberseguridad de las administraciones locales en una de sus áreas prioritarias de supervisión.
Además, cuando ello se justificaba, sancionaba a actores públicos y privados, tanto procesadores de datos como subcontratistas, cuyas prácticas de seguridad eran insuficientes.
A pesar de la fuerte implicación, la situación sigue siendo muy preocupante y exige que la CNIL refuerce sus medidas.
Por eso, en 2026, dedicará la mitad de sus controles y medidas represivas a la seguridad de los datos.
De este modo, la CNIL verificará el estricto cumplimiento de los requisitos de seguridad, al mismo tiempo que seguirá difundiendo mensajes de sensibilización y consejos a particulares y profesionales, porque la seguridad de nuestros datos es responsabilidad de todos.
Los controles pueden comprender a organizaciones involucradas en una violación de seguridad, sujetas a quejas o pertenecientes a sectores que propician el procesamiento masivo de datos, incluidos datos sensibles o altamente personales (datos de ubicación, datos bancarios, archivos estatales, etc.).
Estos controles se articularán con los demás temas prioritarios definidos para 2026 .
Recordatorio: La seguridad de los datos personales es una obligación estipulada, en particular, por el artículo 32 del RGPD (además de otros textos, como la Directiva NIS2 para determinados sectores críticos). Deben adoptarse todas las medidas adecuadas para limitar los riesgos: la CNIL ofrece una guía específica, recomendaciones oficiales y asesoramiento sobre el tema.
Numerosas acciones para una IA innovadora y responsable.
Según las regulaciones sobre la la CNIL ha sido ya designada como la autoridad de control de usos prohibidos y pronto debería ser designada como la autoridad de vigilancia del mercado para ciertos sistemas de IA de alto riesgo (por ejemplo, en lo que respecta a la, migración, usos represivos, el empleo o la educación.
Mientras se preparaba para estas nuevas responsabilidades, la CNIL ha estado apoyando el uso de la inteligencia artificial en cumplimiento del RGPD. Por ejemplo, en 2025, tras consultas públicas, publicó una serie de recursos para diseñadores y desarrolladores, que ahora han sido traducidos al inglés. También participó en la Cumbre de Acción sobre IA del 6 al 11 de febrero .
Con una visión más orientada al futuro, ha publicado una herramienta de trazabilidad de los modelos de IA de código abierto y participa, en cooperación con ANSSI, Inria y PEReN, en el proyecto PANAME: una biblioteca de software que permite verificar si un modelo de IA procesa datos personales.
No hay comentarios:
Publicar un comentario