Le RGPD un an après : quels enseignements, et quelles perspectives ?

RGPD un año después: ¿qué lecciones y qué perspectivas?

Legal Watch – Junio 2019.

El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos.

Este nuevo texto ha provocado numerosos cambios en las prácticas empresariales, ya sea a nivel de su organización interna o de sus contactos con sus clientes.

Si bien la protección de datos está consagrada en el marco jurídico desde 1978 en Francia y 1995 a nivel europeo, este Reglamento ha dado un nuevo impulso a lo que representa tanto un derecho humano como una cuestión económica. Y las sanciones económicas previstas en el nuevo texto no son ajenas a ello.

¿Cuál es la situación práctica en materia de cumplimiento y de actuación de la CNIL y de sus homólogos europeos?

En Francia, se ha producido un drástico aumento de quejas, notificaciones de seguridad y solicitudes de información a la CNIL. A finales de mayo, la autoridad supervisora publicó un informe estadístico sobre este primer año, que reportó más de 11.900 quejas (+30 %) y 2.044 notificaciones de violación de datos. La CNIL también continúa investigando numerosos casos, algunos de los cuales se llevan a cabo en cooperación con sus vecinos europeos. Por lo tanto, participa en 800 procedimientos transnacionales.

Además de apoyar a las empresas en sus esfuerzos de cumplimiento, la CNIL también ha impuesto numerosas sanciones. Analicemos algunas de ellas:

  • La sanción más espectacular es sin duda la impuesta a Google, por una cantidad récord de cincuenta millones de euros.
  • Sin embargo, otras dos sanciones, mucho más modestas, merecen un interés particular, porque fueron sometidas al Consejo de Estado, que examinó su proporcionalidad.
  • En uno de los casos, con fecha del 17 de abril de 2019, el Consejo de Estado confirmó la multa de 75.000 €: tras un requerimiento formal y varias solicitudes reiteradas de la CNIL, Adef (Asociación para el Desarrollo de Viviendas) aún no había subsanado una falla de seguridad que permitía el acceso en línea a la documentación de los solicitantes de vivienda. El tiempo que tardó la asociación en implementar las medidas correctivas requeridas fue uno de los factores determinantes para el Consejo de Estado.
  • En el segundo caso, también con fecha del 17 de abril de 2019, el Consejo de Estado redujo la cuantía de la sanción impuesta por la CNIL a Optical Center: la empresa había corregido, en efecto, una falla de seguridad dos días después de la notificación de la CNIL que permitía el acceso a las facturas de los clientes a través de su sitio web. La sanción se redujo de 250.000 a 200.000 euros.
  • Concluiremos este breve inventario con la más reciente sanción del 13 de junio de 2019, significativa esta vez porque se trata de una empresa muy pequeña: la empresa Uniontrad había instalado un sistema de videovigilancia que ponía a sus empleados bajo vigilancia constante.

En este caso, la CNIL también había alertado a la empresa en dos ocasiones antes de ordenarle formalmente que modificara sus prácticas, sin que se hubieran adoptado las medidas necesarias dentro del plazo establecido. El 18 de junio, la CNIL impuso una multa administrativa de 20.000 €, teniendo en cuenta el tamaño y la situación financiera de la empresa.

La conclusión extraída de estos diversos casos es que tanto las multinacionales como las pequeñas empresas o asociaciones son propensas a ser sancionadas. Además, todas las decisiones destacan la importancia de la capacidad de respuesta del responsable del tratamiento de datos cuando se descubre una infracción y el impacto de dicha capacidad en la cuantía de cualquier posible sanción.

¿Qué pasa con nuestros vecinos europeos?

Todos los indicadores muestran un aumento de las quejas e investigaciones por parte de las autoridades de protección de datos, así como del importe de las sanciones.

Se han registrado más de 280.000 casos entre todas las autoridades de protección de datos del Espacio Económico Europeo, incluyendo aproximadamente 144.000 quejas y 89 violaciones de seguridad. A finales de mayo, 371 autoridades de protección de datos estaban siendo investigadas.

Una iniciativa para listar las diferentes sanciones a nivel europeo, actualizada por una consultora alemana, ofrece una visión global de la actuación de las autoridades de control: https://www.enforcementtracker.com.

Las sanciones más elevadas, además de la adoptada por la CNIL respecto a Google, fueron impuestas por Portugal, que impuso una multa de 400.000 € a un hospital por no proteger los datos de sus pacientes; por la CNIL, de nuevo, a una agencia inmobiliaria por 400.000 €; y por España por una aplicación para smartphones que utiliza en secreto los micrófonos de los teléfonos de los usuarios. La Liga Española de Fútbol Profesional fue multada con 250.000 € por esta infracción y ha recurrido la decisión.

¿Hacia una coordinación de las autoridades públicas más allá del RGPD?

Una novedad destacable se refiere a la cooperación entre las autoridades públicas para aumentar su coherencia y eficacia. Estas iniciativas afectan especialmente a las autoridades de protección de datos, las responsables de la competencia y las responsables de la protección del consumidor.

Los debates, iniciados en 2016 por el Supervisor Europeo de Protección de Datos en el marco del proyecto "Digital Clearing House", están ahora orquestados por el sector académico y cuentan con el apoyo de una resolución del Parlamento Europeo.

El proyecto reúne ahora a autoridades de Europa y de otros continentes. Las sinergias desarrolladas se centran en la protección de las personas en el contexto de la economía digital y el big data. La reunión del 5 de junio de 2019 reunió a 25 autoridades supervisoras de la Unión Europea y de otros países. Se debatieron dos temas principales: Facebook y Microsoft. Las autoridades también centran sus debates en el desarrollo de servicios con compensación no monetaria. En otras palabras, ¿hasta qué punto podemos aceptar que las personas paguen con sus datos a cambio de un servicio digital?

Se espera que se publiquen directrices concretas sobre este tema en otoño, tras la próxima reunión de las autoridades supervisoras. Esto podría suponer un avance significativo ante los desafíos de la economía digital.

Y además:

• En Francia: La CNIL pone en línea una nueva versión de su herramienta destinada a ayudar al responsable del tratamiento de datos en sus análisis de impacto (AIPD).

• en Europa ¿Hacia una interpretación más estricta de las normas de prospección electrónica? Varias autoridades de control han anunciado que están revisando su interpretación en lo que respecta a la obtención del consentimiento de los interesados y las cookies. Entre ellas se encuentran Bélgica, Francia, el Reino Unido y los Países Bajos. Cabe destacar que el Comité Europeo de Protección de Datos ya se pronunció explícitamente, en un comunicado de prensa de mayo de 2018, contra el uso de "muros de cookies", que condicionan el acceso a un sitio web al consentimiento de los visitantes.

• en el mundo: Para evaluar la necesidad de una ley que regule los algoritmos, el Comité de Comercio del Senado estadounidense examinó, durante una audiencia el 25 de junio, cómo empresas como Google, YouTube y Facebook utilizan la inteligencia artificial para influir

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES