Informe jurídico n.º 88 – Octubre de 2025. 

 

La videovigilancia, principal objetivo de las sanciones de la CNIL.

La CNIL lo ha hecho el punto en octubre sobre su procedimiento de sanción simplificado.

Las 16 sanciones impuestas desde el pasado mes de mayo han ido acompañadas de multas por un total de 108.000 euros, además de los 104.000 euros procedentes de las 10 decisiones anteriores. pronunciado desde enero.

Además de la videovigilancia, las sanciones abarcan las prácticas de prospección comercial realizadas sin el consentimiento de las personas afectadas y la falta de cooperación al solicitar el ejercicio de los derechos previstos por el RGPD (derecho de acceso, rectificación u oposición).

La videovigilancia sigue siendo el principal motivo de sanciones, sobre todo cuando se lleva a cabo en el lugar de trabajo.

La CNIL señala sistemáticamente el incumplimiento por parte de los responsables del tratamiento de datos del principio de minimización de datos.

Una empresa farmacéutica y un hospital han sido sancionados por filmar las instalaciones de un sindicato y por el acceso directo a ellas, en violación del artículo 5.1.c del RGPD, que especifica que los datos deben ser adecuados, pertinentes y limitados a lo necesario para la finalidad perseguida.

La CNIL nos recuerda que las cámaras de videovigilancia instaladas en los lugares de trabajo, estén o no abiertos al público, deben respetar la privacidad de los empleados.

"Bajo ninguna circunstancia las cámaras deben filmar las instalaciones del sindicato ni sus puntos de acceso directo."

Cualquier infracción excesiva de la privacidad de las personas filmadas contraviene este principio de minimización, como también señaló la CNIL en un internado cuyo sistema de videovigilancia grabó a los estudiantes durante los desayunos y en el patio.

No se pueden instalar cámaras en el lugar de trabajo.

• Solo si persiguen un objetivo legítimo como la seguridad de la propiedad y de las personas,
• En zonas delimitadas y no intrusivas, como entradas y salidas de edificios, pasillos o almacenes.

También se exigen obligaciones de seguridad y transparencia:

• El acceso a las imágenes debe ser seguro y estar restringido únicamente al personal autorizado, y los datos deben conservarse durante un período limitado, que en principio oscila entre unos pocos días y un mes.
• La persona responsable deberá informar y consultar con los representantes de los empleados con antelación, y disponer que se exhiba un aviso para los empleados y el público.

En lo que respecta a las obligaciones de transparencia, siguen siendo posibles excepciones: en circunstancias excepcionales y bajo ciertas condiciones, el responsable del tratamiento de datos podrá instalar temporalmente cámaras no visibles para los empleados, siempre que se analice la compatibilidad del dispositivo con el RGPD y se pueda justificar dicha instalación.

Fue debido a la ausencia de dicho análisis de impacto, y a la falta de implicación de su responsable de protección de datos en la implementación de un sistema de videovigilancia encubierto, que La Samaritaine fue sancionada por la CNIL el pasado mes de septiembre.

La empresa había informado de la existencia de robos cometidos en las reservas y explicó que el sistema era temporal, pero no había realizado ningún análisis previo ni documentado el carácter temporal de la instalación.

Esta incapacidad para mantener el equilibrio entre el objetivo perseguido y la protección de la privacidad de los empleados provocó que la empresa fuera multada con 100.000 euros.

Por último, cabe señalar que, para los lugares accesibles al público, el dispositivo debe estar autorizado por el prefecto del departamento o por el prefecto de policía en París.

 

      

El Tribunal de Cuentas publicó un informe el 31 de octubre sobre "las cuestiones de soberanía de los sistemas de información civil del Estado".

Ella hace varias observaciones:

• Algunos ministerios utilizan soluciones informáticas no europeas, a veces para datos sensibles, en detrimento de la soberanía digital.

El informe cita a este respecto la plataforma de datos sanitarios, que lleva más de cinco años alojada en una empresa estadounidense.

También señala que los operadores privados ofrecen aplicaciones de servicio público sin estar sujetos a las mismas obligaciones que el Estado.

• No existe un mapeo de datos sensibles por administración, lo que constituiría un marco de referencia que permitiría identificar a aquellos cuya soberanía debe preservarse como prioridad.
• La adopción de la computación en la nube soberana por parte de los organismos gubernamentales sigue siendo limitada, las nubes estatales internas tienen dificultades para alcanzar una escala suficiente y conciliar los requisitos de soberanía con los imperativos de rendimiento resulta complejo.
• DINUM gestiona dos infraestructuras soberanas: la red interministerial del Estado (RIE) y el sistema de identidad digital (FranceConnect), consideradas un éxito si bien aún se necesita avanzar, sobre todo en términos de resiliencia.
• Más allá del control de los datos sensibles, el Estado no busca la soberanía total, sino establecer un nivel de confianza suficientemente alto mediante la contratación pública, la agrupación de compras y la validación por parte de la ANSSI para limitar los riesgos.

El 15 de octubre, el Consejo de Estado confirmó la multa de 8.000.000 de euros impuesta por la CNIL a Apple por procesar datos de usuarios franceses con fines de publicidad personalizada sin su consentimiento.

• El Consejo de Estado consideró que la sanción no era desproporcionada, teniendo en cuenta el número de personas afectadas —casi 27,5 millones de usuarios entre julio de 2020 y julio de 2021— y el peso económico del grupo.
• Asimismo, confirmó la jurisdicción de la CNIL para pronunciarse sobre sus actividades en Francia, rechazando así el argumento de la empresa de que solo su entidad irlandesa estaba bajo la jurisdicción del regulador europeo.

El Ministerio de Trabajo y Solidaridad, la CNIL y la AFCDP han encomendado a la Afpa la realización de una nueva encuesta del observatorio profesional de los DPO, relativa al impacto de la IA en esta profesión.

La encuesta analiza los modelos de gobernanza de la IA en las organizaciones, el rol del Responsable de Protección de Datos (RPD), los principales desafíos que enfrentan los RPD y sus necesidades en cuanto a herramientas y capacitación. Los resultados se publicarán en el primer semestre de 2026.

El 28 de octubre, la CNIL publicó el informe de su evento del 20 de mayo, "RGPD: ¿qué impacto económico?". 

El evento reunió a economistas, así como a reguladores franceses (CNIL) y europeos (Autoridad de Protección de Datos del Reino Unido, Comisión Europea), que contribuyeron a la evaluación ex post de la implementación del RGPD.

Ante la preocupación de los agentes del sector de la distribución por la portabilidad de los datos relacionados con los programas de fidelización, la autoridad reguladora especificó a mediados de octubre qué información debe transmitirse, en particular en lo que respecta al código de barras y los datos relacionados con las promociones a las que los clientes han tenido acceso.

 

instituciones y organismos europeos

Según una versión informal del documento difundida por la prensa, las modificaciones al RGPD previstas en la Ley Ómnibus Digital podrían ir más allá de lo anunciado inicialmente.

La propuesta, cuya publicación oficial está prevista para el 19 de noviembre, aclararía (aunque con limitaciones) ciertas definiciones clave, flexibilizaría ciertas normas relativas a la confidencialidad y autorizaría el uso de datos personales para el entrenamiento de la IA.

La sociedad civil ya ha reaccionado, destacando los peligros de tal simplificación de los derechos fundamentales.

El jueves 9 de octubre, la Comisión Europea anunció el inicio de una consulta pública sobre su proyecto de directrices relativas a la interacción entre el Reglamento de Mercados Digitales (DMA) y el RGPD.

Este proyecto se desarrolló en colaboración con el Comité Europeo de Protección de Datos (CEPD).

El artículo 5(2) es fundamental para estas directrices: la DMA exige que los "guardianes" obtengan el consentimiento del usuario para compartir sus datos entre diferentes servicios, pero no define las condiciones precisas de este consentimiento.

El texto especifica ahora que este consentimiento debe ser válido en el sentido del RGPD, pero sobre todo que debe solicitarse por separado para cada finalidad de tratamiento distinta (personalización de contenidos y publicidad dirigida).

El periodo de consulta estará abierto hasta el 4 de diciembre.

El 24 de octubre, la Comisión Europea concluyó, de forma preliminar, que Meta y TikTok habían infringido la Ley de Servicios Digitales (DSA, por sus siglas en inglés).

Las empresas no permiten a los investigadores un acceso adecuado a los datos disponibles públicamente.

La Comisión también concluye, de forma preliminar, que Facebook e Instagram han incumplido sus obligaciones (1) de proporcionar a los usuarios mecanismos sencillos para denunciar contenido ilegal, como pornografía infantil o contenido terrorista, y (2) de permitir a los usuarios impugnar eficazmente las decisiones de moderación de contenido tomadas por Meta.

TikTok y Meta tienen la capacidad de acceder al archivo de la investigación y responder a él.

La Comisión Europea ha publicado su marco para una nube soberana destinada a las autoridades de contratación pública.

El documento se basa en varias iniciativas europeas, incluido el marco europeo de certificación de ciberseguridad (ENISA, NIS2, DORA).

También hace referencia a políticas nacionales como "la nube en el centro" en Francia con el SecNumCloud de Anssi, y la Nube Soberana alemana.

La Comisión propone una puntuación de soberanía para las ofertas en la nube, basada en diferentes criterios, lo que está generando reacciones encontradas.

Este método no satisface especialmente a los proveedores europeos de servicios en la nube agrupados en la asociación Cispe, que lo consideran poco transparente y, tal como está planteado, favorece a los operadores extranjeros.

Los miembros del Parlamento Europeo están pidiendo una investigación de la DSA sobre Shein, Temu y AliExpress.

Tras la apertura de una investigación por parte de la fiscalía de París contra estas cuatro empresas por la venta de "muñecas sexuales con apariencia infantil", más de 40 eurodiputados han instado a la Comisión a que inicie una investigación, según un informe de Euractiv.

La propuesta de la CSAM para un reglamento destinado a prevenir y combatir el abuso sexual infantil volvió a figurar en la agenda de la reunión del Consejo Europeo del 14 de octubre.

Alemania, que anteriormente había sido una firme defensora del proyecto de ley, retiró su apoyo al borrador del reglamento, por lo que la votación fue aplazada.

La controvertida propuesta contemplaba el análisis de las comunicaciones en el terminal del usuario antes de enviarlas, un elemento que la Presidencia danesa del Consejo eliminó para obtener el apoyo suficiente de los Estados miembros.

No obstante, Dinamarca tiene la intención de prorrogar indefinidamente la autorización temporal actual para los análisis “voluntarios” de CSAM y “a los proveedores de servicios de alto riesgo […] se les podría exigir que tomen medidas para desarrollar tecnologías pertinentes para mitigar el riesgo de abuso sexual de los niños identificados en sus servicios”.

Los ministros del Interior de la UE tienen previsto reunirse de nuevo a principios de diciembre.

En su reunión plenaria de octubre, el CEPD eligió el tema de su quinta acción coordinada sobre controles, que se centrará en el cumplimiento de las obligaciones de transparencia e información previstas en el RGPD.

El reglamento garantiza que las personas interesadas sean informadas cuando se traten sus datos (conforme a los artículos 12, 13 y 14).

El CEPD reitera que este derecho a la información es un elemento central de la transparencia y garantiza a las personas un mayor control sobre sus datos.

Las autoridades de protección de datos participantes se sumarán a esta iniciativa de forma voluntaria en las próximas semanas, y la acción propiamente dicha se pondrá en marcha durante 2026.

Una investigación sobre intermediarios de datos personales, llevada a cabo por el diario belga L'Echo, la publicación especializada alemana Netzpolitik.org, la emisora de radio holandesa BNR, la emisora de radio alemana BR y Le Monde, muestra el alcance de la vigilancia que permiten los datos publicitarios geolocalizados.

Estos datos, obtenidos por "Le Monde" y sus socios, permitieron identificar y localizar a varios dignatarios de la Unión Europea, en ocasiones incluso hasta sus domicilios.

 

Noticias procedentes de los países miembros de la Unión Europea.

El estado alemán de Schleswig-Holstein ha abandonado sus sistemas gubernamentales de correo electrónico y calendario en favor del software de código abierto.

La migración, que duró seis meses, sustituyó Microsoft Exchange y Outlook por Open-Xchange y Mozilla Thunderbird.

La transferencia involucró a más de 40.000 cuentas de correo electrónico y más de 100 millones de mensajes y entradas de calendario.

En Austria, la ONG Noyb informa de que la autoridad de protección de datos ha emitido un dictamen en el que concluye que Microsoft 365 Education rastrea ilegalmente a los estudiantes y utiliza sus datos para los propios fines de Microsoft.

El gigante del software tampoco respondió a una solicitud de acceso relacionada con Microsoft 365 Education, que se utiliza ampliamente en las escuelas europeas.

Un tribunal austriaco ha confirmado la multa de 1.500.000 euros impuesta a IKEA por la videovigilancia ilegal y excesiva en una de sus sucursales y sus alrededores, en la que se grababa, entre otras cosas, a los clientes introduciendo sus códigos PIN.

De este modo, revocó una decisión de la APD que responsabilizaba únicamente al vendedor por las infracciones cometidas durante la compra.

En Bélgica, la Autoridad Belga de Protección de Datos (APD) también amonestó a una empresa por conservar ilegalmente la dirección de correo electrónico y el número de teléfono de un exempleado tras la finalización de su contrato laboral. La APD determinó que el responsable del tratamiento de datos había infringido varias disposiciones del RGPD, entre ellas el principio de limitación de la finalidad, los principios de minimización y limitación del plazo de conservación de los datos, el principio de informar al interesado y el derecho de supresión.

Finalmente, ya no existía ninguna base legal para continuar procesando estos datos.

En España, la APD multó a una empresa de servicios financieros (Servicios Financieros Carrefour) con 1.500.000 euros por no garantizar la seguridad y la confidencialidad del tratamiento de datos en el contexto de una brecha de seguridad que dio lugar al envío de numerosos correos electrónicos de phishing.

En Irlanda, el nombramiento de Niamh Sweeney, ex lobista de Meta, como comisionada de la autoridad irlandesa de protección de datos ha vuelto a suscitar interés recientemente.

El Consejo Irlandés de Libertades Civiles (ICCL, por sus siglas en inglés) presentó una queja contra Irlanda ante la Comisión Europea el 25 de octubre, alegando que Irlanda no había proporcionado garantías suficientes con respecto a la independencia e imparcialidad de su proceso de nominación.

Según se informa, la Comisión Europea respondió afirmando que no tenía competencia en materia de nombramientos nacionales relacionados con las AOD (Asistencias Oficiales para el Desarrollo).

La Autoridad de Protección de Datos de los Países Bajos (APD) ha multado a Experian Nederland con 2,7 millones de euros por múltiples infracciones del RGPD.

Hasta el 1 de enero de 2025, Experian proporcionaba a sus clientes evaluaciones de solvencia crediticia para las que recopilaba datos sobre, por ejemplo, comportamientos de pago negativos, deudas impagadas o quiebras.

La APD señaló la falta de una base legal válida para la recopilación de información y el hecho de no haber informado a las personas afectadas.

La empresa tuvo que cesar sus operaciones en el país y se comprometió a eliminar toda su base de datos personal antes de que finalice el año.

 

 

La Autoridad de Protección de Datos del Reino Unido (DPA, por sus siglas en inglés) ha multado a un proveedor de servicios empresariales especializado en la administración de pensiones, y a su subcontratista, con 8.000.000 de libras esterlinas y 6.000.000 de libras esterlinas respectivamente, tras un ciberataque que permitió a terceros no autorizados acceder a los datos de más de 6 millones de personas.

El Departamento de Policía de Austin (APD) señaló la falta de medidas de seguridad adecuadas.

La IAPP informa que, por primera vez desde 2019, la Organización Internacional de Normalización ha actualizado su norma internacional para la gestión de programas de cumplimiento de la privacidad, la ISO 27701.

Actualmente, la norma constituye un sistema de gestión autónomo, lo que significa que las organizaciones ya no necesitarán contar con un sistema de gestión de seguridad de la información certificado según la norma ISO 27001.

Sin embargo, quienes cuenten con un SGSI podrán integrar ambos sistemas de gestión.

La norma detalla los requisitos de alto nivel para la implementación de un PIMS, que deben ser cumplidos e implementados por cualquier organización que busque la certificación.

Si bien no puede considerarse un sustituto de la legislación, sigue estando estrechamente alineado con el RGPD de la UE y del Reino Unido.

En Estados Unidos, la policía de inmigración escanea los rostros de las personas en la calle para verificar su ciudadanía.

Según el medio de comunicación estadounidense 404, unos vídeos que circulan en las redes sociales muestran a agentes del ICE (Servicio de Inmigración y Control de Aduanas) y del CBP (Oficina de Aduanas y Protección Fronteriza) utilizando tecnología de reconocimiento facial en transeúntes.

La aplicación utilizada, Mobile Fortify, vincularía los rostros con una base de datos de 200 millones de imágenes procedentes de las bases de datos del FBI, el Departamento de Estado y otras agencias.

La aplicación también podría realizar búsquedas cruzadas en vehículos, teléfonos, direcciones y armas de fuego.

Si bien el Departamento de Seguridad Nacional se niega a confirmar o desmentir las capacidades de "Mobile Fortify", la CBP reconoce, según se informa, que recurre a "diversas herramientas tecnológicas para mejorar la eficacia de los agentes".

La competencia por integrar la IA en los navegadores de internet está creciendo y por desafiar la posición dominante del ahora clásico Google Chrome.

De este modo, Microsoft ha integrado su herramienta de inteligencia artificial Copilot en el navegador Edge.

Las "acciones" propuestas permiten a Copilot rellenar formularios o reservar hoteles, y los "Viajes" permiten a Copilot rastrear los vínculos entre las pestañas abiertas por el usuario.

El anuncio de Microsoft se produjo dos días después de un lanzamiento similar por parte de OpenAI, que presentó su nuevo navegador Atlas, visualmente muy similar al de Microsoft.