search El medio de comunicación que reinventa la empresa

RGPD y sanciones: ¡no deje de cumplir la normativa!

RGPD y sanciones: ¡no deje de cumplir la normativa!

Por Nathalie Pouillard

El 28 de octubre de 2024

RGPD y sanciones: dos términos que han provocado escalofríos en las empresas desde el 25 de mayo de 2018, cuando entró en vigor el Reglamento General de Protección de Datos. De ámbito europeo, pretende establecer un marco para la seguridad, confidencialidad y trazabilidad de los datos personales en un entorno cada vez más digital. Las empresas ven cómo aumentan sus obligaciones, establecidas de forma muy concreta en una ley, so pena de sanciones administrativas y penales. Pero, ¿cuáles son exactamente estas obligaciones? Y, sobre todo, ¿cómo evitarlas? Veamos de qué se trata y qué puede hacer usted al respecto...

Definiciones y contexto del RGPD

De la Ley de Protección de Datos al RGPD

Ya conoce la ley francesa sobre informática, archivos y libertades, conocida como "Loi Informatique et Libertés " (ley nº 78-17 de 6 de enero de 1978), que regula la libertad de recogida, tratamiento y uso de datos personales, y establece obligaciones en materia de derecho de acceso, derecho a la portabilidad y derecho al olvido.

    El RGPD es una especie de prolongación de esta ley, llevada al ámbito europeo:

    El Reglamento General de Protección de Datos (RGPD) es un texto normativo europeo que regula el tratamiento de datos por igual en toda la Unión Europea.

    le portail de l’Économie, des Finances, de l’Action et des Comptes publics (economie.gouv.fr)

    De hecho, la Ley de Protección de Datos se actualizó el 1 de junio de 2019 para transponer la nueva normativa europea a la legislación francesa. Esta nueva versión está en vigor desde el 16 de julio de 2019.

    Los objetivos de la aplicación del RGPD son los siguientes

    • reforzar los derechos de los consumidores y usuarios
    • responsabilizar a las empresas (responsables del tratamiento) y subcontratistas que traten datos personales (prospectos, clientes, empleados, etc.),
    • armonizar las normativas nacionales en Europa
    • consolidar la cooperación entre las distintas autoridades de protección de datos.

      El RGPD y las autoridades competentes

      El Comité Europeo de Protección de Datos

      La misión del Comité Europeo de Protección de Datos (SEPD) es garantizar la aplicación coherente del RGPD a efectos de :

      • prevención y detección de infracciones penales
      • la investigación, el enjuiciamiento y la ejecución de sanciones penales.

      Está compuesto por los responsables de las autoridades del RGPD de cada Estado miembro, representantes de las autoridades de Noruega, Islandia y Liechtenstein (sin derecho a voto) y representantes de la Comisión Europea. Durante los 5 primeros años, están presididos por la Sra. Andréa Jelinek, jefa de la autoridad austriaca.

      Cada Estado miembro tiene, por tanto, su propia autoridad competente, con las mismas funciones y competencias para garantizar una aplicación uniforme del RGPD en toda Europa, en particular para los litigios transfronterizos. En Francia, sigue siendo la CNIL, una autoridad administrativa pública independiente.

      Las autoridades europeas de protección cooperan actualmente en 345 denuncias transfronterizas. La CNIL interviene en 187 casos y es la autoridad principal en 15 casos. Estas denuncias plantean en particular cuestiones relativas al consentimiento.

      baromètre CNIL/ Ifop 2018.

      Misiones de la CNIL

      Información y prevención

      • Informar a los empleados, particulares y empresas sobre la protección de datos personales,
      • Facilitar documentación,
      • Sensibilización.

      Apoyo y asesoramiento

      • Apoyo a los parlamentarios,
      • Emisión de dictámenes y recomendaciones sobre proyectos legislativos y decretos.

      Controlar

      • Realización de inspecciones in situ, inspecciones de documentos, audiencias o inspecciones en línea,
      • Según un programa preestablecido, pero también sobre la base de informes o denuncias,
      • Se presta especial atención a los establecimientos que ya han recibido un requerimiento formal y a los sistemas de videovigilancia/videoprotección.

      Sanciones

      En caso de incumplimiento observado durante la inspección de una empresa, la CNIL puede, a través de su comité restringido dedicado a las sanciones

      • denunciar la infracción al Ministerio Fiscal
      • imponer una sanción pecuniaria administrativa,
      • decidir publicar las sanciones impuestas.

      Anticipación

      La CNIL ha creado un comité de expertos de los sectores público y privado para anticipar las nuevas tendencias tecnológicas y su impacto potencial en las libertades (cuestiones emergentes).

      Obligaciones de las empresas

      Cumplimiento del RGPD: ¿a quién afecta?

      Todas las empresas :

      • privadas o públicas
      • que recojan o traten datos personales,
      • independientemente de su sector de actividad o tamaño,
      • situadas en la Unión Europea o cuya actividad afecte a residentes europeos.

      Deben proteger "a las personas físicas, con independencia de su nacionalidad o lugar de residencia".

      4 pasos para cumplir la normativa

      Como responsable del tratamiento, la empresa debe poder aportar todas las pruebas del cumplimiento de la protección de datos, como el registro de tratamiento, el análisis de impacto (en caso de gestión de datos muy sensibles, a veces a petición de las autoridades de control) y la prueba del consentimiento.

      📑 El registro de actividades de tratamiento de datos

      Previsto en el artículo 30 del RGPD, este documento de inventario y análisis centraliza su tratamiento de datos en varios departamentos: contratación, gestión de nóminas, formación, gestión de credenciales y accesos, estadísticas de ventas, gestión de clientes y prospectos, etc.
      Enumera

      • las partes implicadas en el tratamiento de datos (responsable del tratamiento, RPD en su caso, subcontratistas, corresponsables del tratamiento),
      • las herramientas y servicios informáticos que interactúan en cada fase del tratamiento de datos,
      • las categorías de datos tratados (edades, categorías socioprofesionales, correos electrónicos, etc.)
      • los medios de recogida (GPS, cookies, formularios, etc.)
      • la finalidad para la que se recogen los datos (fidelización, prospección, etc.),
      • cómo se utilizan los datos (por quién), se comunican (a quién), quién más tiene acceso a los datos (anfitriones, proveedores de servicios intermediarios, etc.),
      • cuánto tiempo se conservan,
      • las medidas de seguridad establecidas para el almacenamiento de los datos.

      ☞ El nombramiento de un responsable de la protección de datos (RPD) es obligatorio para los organismos públicos y para los que tratan datos, sobre todo sensibles, que requieren un control regular a gran escala. El RPD apoya a la organización dirigiendo la gobernanza de los datos personales, que es responsabilidad de la empresa.
      Puede ser externo a la empresa (por ejemplo, un abogado) o interno (esta tarea puede ser desempeñada por el Corresponsal de Protección de Datos ya existente, por ejemplo).

      ☞ Debe contar con el consentimiento de las personas cuyos datos recopila. Lo ideal es llevar un registro de los consentimientos en el que se documenten las condiciones de la recogida y las pruebas.

      ♻️ Clasificación de datos

      • Elimine toda la información innecesaria de sus formularios de recogida y bases de datos;
      • Define reglas de eliminación o archivado automático tras un periodo determinado en tus aplicaciones y programas informáticos;
      • Comprueba que los derechos de acceso a los datos están limitados a determinadas personas, enumeradas en el registro.

      Puedes ayudarte respondiendo a estas preguntas:

      • ¿Son los datos necesarios para su negocio?
      • ¿Son sensibles (origen racial o étnico, opiniones políticas, creencias religiosas, afiliación sindical, datos genéticos, biométricos, sanitarios o sexuales)?
      • ¿Cumple la gestión de los derechos de acceso?
      • Tiene datos antiguos que ya no deberían estar en su poder?
        → Datos personales de personas inactivas desde hace 3 años o más (antiguos empleados, antiguos clientes),
        → Consentimientos de visitantes de tu web para procesar cookies que llevan 13 meses o más sin renovarse, etc.

      💡 Respeto a los derechos de las personas.

      Los interesados son:

      • informados de quién recoge sus datos, quién tiene acceso a ellos, a quién se comunican, por qué motivos y durante cuánto tiempo se conservan,
      • libres de oponerse, fácilmente, gracias a procedimientos claramente establecidos (a través de un espacio personal, por correo electrónico, etc.),
      • ver atendidas sus solicitudes de modificación o supresión en el plazo máximo de un mes.

      El 66% de los franceses se declaran "más sensibles que en los últimos años a la protección de sus datos personales". Sus preocupaciones: robo de datos, pirateo de redes sociales, spam/prospección.

      baromètre CNIL/ Ifop 2018.

      🔒 Seguridad de los datos

      La empresa está obligada a garantizar la integridad de tus activos de datos reduciendo los riesgos de pérdida y piratería informática. Para ello, debe:

      • asegurarse de que el acceso a sus instalaciones es seguro,
      • asegurarse de que las cuentas de usuarios externos e internos están protegidas con la suficiente complejidad
      • mantener actualizados sus programas informáticos y antivirus
      • cambiar con frecuencia las contraseñas
      • cifrar los datos sensibles,
      • establezca un procedimiento de copia de seguridad y recuperación de datos.

        El papel de la CNIL

        En función del resultado de la inspección de la CNIL, pueden adoptarse una serie de medidas.
        Si la inspección :

        • es satisfactoria, el Presidente de la CNIL enviará una carta a la empresa para cerrar el expediente;
        • revela infracciones leves (por ejemplo, se ha superado ligeramente el periodo de conservación de datos), el Presidente de la CNIL enviará una carta a la empresa para cerrar el expediente con recomendaciones;
        • detecta infracciones más graves, el Presidente de la CNIL puede enviar un requerimiento formal a la organización para que cumpla en un plazo determinado, y/o remitir el caso a la Sección Restringida de la CNIL, que impondrá las sanciones previstas en los artículos del RGPD ;
        • observa la ausencia de respuesta o de medidas correctoras tras un requerimiento formal, el comité restringido de la CNIL encargado de las sanciones puede ocuparse del caso, hacer públicas sus decisiones y notificarlas al Ministerio Fiscal en los casos más graves.

        Sanciones aplicables

        Sanciones administrativas

        El comité restringido de la CNIL puede decidir imponer sanciones administrativas, en orden ascendente:

        • una llamada al orden
        • un requerimiento de cumplimiento, eventualmente con sanciones por retraso basadas en un plazo (sujeto a multa)
        • restricción temporal o permanente del tratamiento de datos,
        • suspensión de los flujos de datos,
        • un requerimiento de cumplimiento de las solicitudes de los titulares de derechos, con sanciones por demora en función de un plazo,
        • multa administrativa.

        Dependiendo de la duración, gravedad y naturaleza de la infracción, la multa administrativa puede representar :

        • hasta el 2% del volumen de negocios anual mundial de la empresa en N-1 o 10 millones de euros* (por no llevar un registro de las operaciones de tratamiento, por ejemplo),
        • hasta el 4% del volumen de negocios anual mundial de la empresa en N-1 o 20 millones de euros* (por no obtener el consentimiento de los interesados, negativa a cooperar con la CNIL, etc.).

        * Entre el cálculo del porcentaje y la suma, se utiliza el importe más elevado.

        A partir de la fecha de notificación de la decisión de la CNIL, la empresa dispone de dos meses para presentar un recurso ante el Conseil d'État.

        Sanciones penales

        Los Estados miembros pueden decidir aplicar una sanción penal, además de la sanción administrativa, para castigar las infracciones no contempladas en el artículo 83 del RGPD.

        No tratar correctamente los datos personales, incluso por negligencia, se castiga con 5 años de cárcel y una multa de 300.000 euros (artículos 226 16 a 226 24 del Código Penal).

        Daños y perjuicios

        Las personas cuyos derechos hayan sido vulnerados también pueden presentar una denuncia y reclamar una indemnización en forma de daños y perjuicios. Esta sanción, en caso de acción judicial, se añade a las posibles sanciones administrativas y penales.

        Algunos artículos clave del RGPD

        Como hemos mencionado anteriormente, he aquí un breve resumen...

        Artículos 45 y 46 del RGPD

        Tratan de las transferencias de datos personales a terceros países u organizaciones internacionales.

        Un responsable del tratamiento no necesita solicitar autorización a la CNIL y no puede ser sancionado por transferir datos personales a un tercer país u organización internacional, si las condiciones de seguridad aplicadas allí son satisfactorias en términos del RGPD.
        La CNIL publica una lista de terceros países y organizaciones internacionales validados o en la lista negra en el Diario Oficial de la Unión Europea y en su sitio web.

        Si el destinatario no está verificado, el responsable o encargado del tratamiento no podrá transferir datos personales a un tercer país o a una organización internacional, a menos que haya ofrecido garantías contractuales y las personas afectadas dispongan de "derechos exigibles y vías de recurso efectivas".

        Extractos del artículo 83 del RGPD

        Este artículo establece las condiciones generales para imponer multas administrativas.

        Se tienen en cuenta varios criterios a la hora de decidir si se impone una multa administrativa y cuál debe ser su cuantía:

        • la naturaleza, gravedad y duración de la infracción,
        • si ha sido deliberada o negligente
        • las medidas correctoras aplicadas
        • el grado de responsabilidad
        • los incumplimientos anteriores,
        • el grado de cooperación con la autoridad de control
        • el tipo de datos afectados
        • cómo tuvo conocimiento de la infracción la autoridad competente,
        • circunstancias agravantes (beneficios financieros obtenidos o pérdidas evitadas, directa o indirectamente).

        Si el responsable o el encargado del tratamiento infringe más de una norma del RGPD, "el importe total de la multa administrativa no podrá superar el importe fijado para la infracción más grave".

        Primeras sanciones del RGPD y empresas sancionadas

        Entre los casos más destacados figuran:

        • Bouygues Telecom: 250.000 euros por insuficiente protección de datos de clientes de B&You, con contratos y facturas de clientes accesibles simplemente cambiando una dirección URL en la web (más de 2 millones de clientes afectados durante 2 años) ;
        • Facebook y su filial WhatsApp están bajo la amenaza de una denuncia de la Sociedad de Internet (ISOC): a pesar de haber sido condenada por la CNIL en 2017 (150.000 euros), la empresa sigue recopilando información sensible;
        • Google: 50.000.000 de euros por falta de transparencia, información insatisfactoria y ausencia de consentimiento válido para la publicidad personalizada, tras las denuncias colectivas de None Of Your Business y La Quadrature du Net.

        RGPD y software: algunos puntos a tener en cuenta

        Aplicaciones de terceros no cubiertas por el RGPD

        En términos jurídicos, un editor de software es un subcontratista a efectos del RGPD. Trata datos personales en nombre de un cliente, al que se denomina responsable del tratamiento.

        En ocasiones, el editor de software ofrece funciones adicionales, a través de aplicaciones de terceros, para las que debe verificarse el cumplimiento del reglamento europeo. Por ejemplo, las tecnologías OCR (reconocimiento óptico de caracteres) proceden a veces de soluciones estadounidenses o rusas, que no están sujetas al RGPD. Los editores de software franceses que las integran en sus soluciones deben proponer una cláusula de conformidad con el RGPD.

        El RGPD permite a la CNIL llevar a cabo controles de los subcontratistas encargados de la ejecución del tratamiento por cuenta de una organización responsable del tratamiento (por ejemplo, alojamiento, mantenimiento).

        CNIL



        ⚠️ Los editores de fuera de la zona GDPR, especialmente en EE.UU., a veces ofrecen "anexos de procesamiento de datos" para garantizar el cumplimiento del GDPR, pero estos no garantizan el cumplimiento.

        El principio de privacidad desde el diseño

        Desde el momento en que se diseña un sitio web o un CRM, debe aplicarse el principio de privacidad desde el diseño, para satisfacer la necesidad de proteger la privacidad desde el momento en que se crea la herramienta.

        ¿Qué soluciones debe adoptar para garantizar el cumplimiento del RGPD?

        Las ventajas del software de cumplimiento

        Un departamento de sistemas de información (DSI) irreprochable, un DPO designado, abogados consultados: todas estas partes interesadas pueden resultar indispensables gracias a sus conocimientos jurídicos e informáticos.
        Pero si quiere asegurarse de que su cumplimiento es completo, fluido y sencillo, el apoyo de una plataforma de software puede marcar realmente la diferencia, ahorrándole tiempo y canas.

        Una solución RGPD puede, por ejemplo, permitirle :

        • llevar un registro obligatorio, un auténtico mapa del tratamiento de los datos personales de los usuarios,
        • gestionar las auditorías de conformidad realizadas periódicamente por el RPD,
        • almacenar pruebas del consentimiento de los usuarios o clientes,
        • categorizar los datos, como los sensibles y su finalidad,
        • aplicar la gestión de riesgos para evitar fugas de datos,
        • verificar los procedimientos y tecnologías de cifrado para garantizar la seguridad de los datos,
        • proporcionar herramientas y modelos de información a los consumidores
        • identificar cualquier transferencia de datos a países fuera de la Unión Europea,
        • comprobar que los contratos con subcontratistas dentro y fuera de la zona RGPD son conformes y están actualizados,
        • mantenerse al corriente de las últimas novedades sobre la normativa europea,
        • gestionar y mostrar los resultados de las Evaluaciones de Impacto sobre la Protección de Datos ( EIPD ).
          La CNIL ha desarrollado un software de código abierto, PIA (por Privacy Impact Assessment), para guiar a las empresas en esta particular tarea.

        Hemos seleccionado varias soluciones para ayudarle con su gobierno de datos.

        Capitán DPO

        Captain DPO es una solución de colaboración para los DPO que permite una gestión ágil y fluida de los proyectos.

        El responsable de la protección de datos, ya sea interno o externo a una estructura, supervisa la conformidad de su organización o la de sus clientes, controla la protección de datos y documenta las medidas aplicadas en caso de auditoría.
        Todas las partes interesadas (responsable del tratamiento de datos, responsable de la seguridad de los sistemas de información, etc.) están llamadas a garantizar un cumplimiento pleno y efectivo. Los subcontratistas también pueden acceder a la plataforma para recibir instrucciones de su empresa y presentar sus propios informes de tratamiento.

        Características

        • Cuadro de mandos interactivo,
        • múltiples registros de tratamiento
        • mapeo de aplicaciones
        • cartografía de riesgos
        • gestión de las solicitudes de rectificación
        • integración de los programas informáticos de la CNIL para los análisis de impacto,
        • autodiagnóstico del RGPD,
        • espacio documental y versionado,
        • indicadores de seguimiento del rendimiento,
        • directorio de empresas, etc.

        Data Legal Drive

        Especialmente adaptado a las PYME y a las PYMES, Data Legal Drive está diseñado para ofrecer un software seguro, intuitivo y colaborativo, tanto si dispone de un RPD interno o externo, como si no dispone de ninguno.

        La solución se desarrolló gracias a la amplia experiencia jurídica en tecnologías de la información de nuestros editores y abogados asociados. Fue nombrada mejor Legal Tech en los premios Trophées du Droit y Victoires de l'innovation juridique en 2019.

        Ayuda a las empresas a acelerar su cumplimiento desde un punto de vista jurídico, organizativo y técnico. Puede centralizar sus procedimientos al tiempo que tiene acceso a documentación de vanguardia. Las listas de tareas pendientes, las alertas y los informes de progreso le ofrecen una guía práctica para cumplir todos los criterios legales.

        Las funciones incluyen

        • cartografía de tratamientos y riesgos
        • elaboración de registros
        • diagnóstico del cumplimiento mediante cuestionarios interactivos
        • gestión y seguimiento de contratos, modificaciones y otros documentos de cumplimiento del RGPD,
        • gestión de las solicitudes de los interesados
        • gestión de las violaciones de datos personales, identificadas internamente o comunicadas por sus subcontratistas,
        • seguimiento de la formación para sensibilizar sobre cuestiones relacionadas con el RGPD,
        • base de datos de documentos con cláusulas y contratos modelo, avisos legales,
        • vigilancia jurídica,
        • chat de asistencia jurídica y técnica con un abogado, etc.

        Compliance Booster (antes Smart GDPR)

        Compliance Booster es una solución personalizable y escalable que utiliza la automatización para facilitar las tareas de los DPO y los responsables del tratamiento.

        Permite al RPD realizar auditorías del RGPD y análisis de impacto, y sensibilizar a todos los empleados y subcontratistas mediante cursos de formación, en particular sobre la prevención de riesgos internos y externos.

        Sea cual sea su nivel de cumplimiento, la herramienta le apoyará durante todo el proceso y le ayudará a mantener las buenas prácticas después.
        Diseñada por responsables de protección de datos, está preconfigurada para 55.000 empresas y 700 sectores, y puede ampliarse para cubrir las 10 principales normativas de protección de datos del mundo.

        Entre sus funciones se incluyen

        • importación del trabajo de cumplimiento existente
        • interoperabilidad con su software empresarial
        • mantenimiento de un registro de tratamientos y datos
        • automatización de tareas recurrentes,
        • asignación semiautomática de operaciones de tratamiento,
        • auditorías inteligentes y estudios de impacto,
        • análisis de lagunas de conformidad con priorización automática y modificable,
        • documentación especializada exportable,
        • departamento jurídico integrado,
        • cobertura del riesgo financiero en caso de errores imputables a la plataforma, etc.

        Presente una copia fiel

        El cumplimiento del RGPD por parte de su empresa no es algo que deba tomarse a la ligera. No sólo es obligatorio, sino que su incumplimiento puede acarrear importantes sanciones, que no sólo afectarán a su bolsillo, sino también a la imagen de marca de su empresa.

        La asociación ADEF, que gestiona alojamientos para estudiantes, familias monoparentales e inmigrantes, fue multada con 75.000 euros dos meses después de la entrada en vigor de la normativa.

        Sea cual sea el tamaño de su organización y sus recursos, recurra a la ayuda de expertos en la materia. Una solución de cumplimiento del RGPD le ayudará a establecer y supervisar la normativa. La tranquilidad es suya.

        Artículo traducido del francés