Informe jurídico n.º 91 – enero de 2026. 

 

Garantizar la seguridad de los datos en el contexto de las sanciones impuestas en el marco del programa "France Travail".

La sanción adoptada el 29 de enero por la CNIL contra France Travail es ejemplar, ya que nos recuerda los elementos esenciales de una política de seguridad eficaz.

En un contexto de crecientes filtraciones masivas de datos, la CNIL destaca tres aspectos fundamentales de la protección de datos:

• Autenticación robusta,
• Registro efectivo,
• Una política de autorización adaptada a las responsabilidades de los agentes.

La sanción impuesta por la CNIL, que asciende a 5 millones de euros, es el último acto en un caso que comenzó en 2024 cuando unos hackers lograron acceder a las cuentas de asesores de Cap Emploi.

Este acceso les permitió conectarse a los datos de todas las personas registradas en France Travail, o que se hayan registrado en los últimos 20 años, así como a las personas con un espacio de candidata en francetravail.fr.

Esto significa que los piratas informáticos pudieron descargar los datos de más de 36 millones de personas.

En lo que respecta a la responsabilidad, cabe señalar que, si bien la CNIL no elude la de los asesores de Cap Emploi, insiste en que la responsabilidad principal recae en France Travail.

• France Travail es responsable de "la iniciativa para desplegar y gestionar las medidas destinadas a garantizar la seguridad del sistema de información, al que ha abierto el acceso a Cap Emploi (...)".
• Fue también France Travail quien decidió desestimar las recomendaciones previas del análisis de impacto en materia de autenticación.

Las limitaciones de tiempo, ligadas a dificultades técnicas en la implementación, le habrían llevado a ignorar estas precauciones.

En este sentido, la CNIL reitera su doctrina sobre autenticación y especifica que el uso de contraseñas debe complementarse con medidas adicionales (captcha, retardo de tiempo de acceso o bloqueo de cuenta después de un máximo de diez intentos incorrectos), a menos que la contraseña esté compuesta por: un mínimo de 12 caracteres que incluyan letras mayúsculas, minúsculas, números y caracteres especiales; o un mínimo de 14 caracteres que incluyan letras mayúsculas, minúsculas y números, sin caracteres especiales obligatorios; o una frase que incluya un mínimo de 7 palabras.

En este caso concreto, la contraseña tenía tan solo ocho caracteres, y la política de autenticación estipulaba un límite de 50 intentos fallidos antes de bloquear el acceso a las máquinas virtuales de los asesores. 

France Travail, que procesa una gran cantidad de datos sensibles, relacionados por ejemplo con el origen de la discapacidad, las limitaciones de un puesto de trabajo, la evolución de la situación de la discapacidad y las condiciones de acceso, debería haber sido mucho más estricta.

En particular, deberían haber previsto la autenticación multifactor, una doctrina que, según la CNIL, es esencial, sobre todo para el tratamiento de datos sensibles y para los tratamientos u operaciones que supongan un riesgo para las personas afectadas.

“La dificultad de utilizar el teléfono como segundo factor, debido a la independencia de Cap Emploi, podría haberse superado con otras medidas, por ejemplo, distribuyendo calculadoras de OTP (contraseña de un solo uso) a los empleados (…).”

La CNIL también subraya el papel fundamental de las medidas de registro.

Estas medidas no permitieron detectar comportamientos anómalos en el sistema de información, en este caso, volúmenes anormales de descarga de datos.

El ponente de la CNIL critica a France Travail por la falta de un control automático y regular de los registros para detectar y analizar incidentes de seguridad y proporcionar una respuesta rápida y eficaz.

“Las operaciones realizadas fueron altamente anómalas a la luz del momento y la frecuencia de las solicitudes, el considerable volumen de datos extraídos (25 GB de datos de tipo “texto”), la tasa de error de ciertas solicitudes (69 % en una de las cuentas comprometidas (…), y el hecho de que los datos se extrajeron a pesar de que la actividad de los asesores de Cap Emploi no requiere un consumo significativo de recursos ni una extracción significativa de datos (por ejemplo, solo el martes 6 de febrero de 2024, se extrajeron 9 GB de datos, lo que correspondería a más de 13 millones de registros para un solo asesor en un solo día).”

Por último, la CNIL insiste en la importancia de limitar las autorizaciones de acceso a las necesidades y funciones de los empleados.

Señala que la configuración de las cuentas de los asesores se había definido de forma demasiado amplia, lo que les permitía acceder a los datos de personas a las que no prestaban apoyo, lo que aumentaba el volumen de datos accesibles a los atacantes.

La CNIL justifica el importe de la sanción por la decisión de France Travail de no aplicar las recomendaciones de su análisis de impacto, lo que provocó la vulneración de los datos personales de más de 36,8 millones de personas, incluidos datos sujetos a protección especial como el NIR, que presenta riesgos específicos de usurpación o interconexión debido a su carácter significativo, único y permanente.

Puede parecer obvio concluir que no se debe esperar a que se produzca una filtración de datos para garantizar la seguridad de un sistema.

Cabe señalar también que la CNIL sanciona habitualmente las infracciones de la obligación de seguridad, aunque estas no sean necesariamente la causa de una violación de datos, como por ejemplo una política de contraseñas insuficientemente sólida.

La seguridad de los datos también figuró entre los principales temas de las sanciones impuestas por la autoridad supervisora en 2025, tal como se indica en su informe publicado a principios de febrero.

 

Una filtración de datos que pasó desapercibida durante dieciocho meses ha afectado a una de las principales empresas de confianza digital de Francia.

La plataforma de verificación de identidad y prevención de fraudes Sumsub informa haber sufrido "un incidente de seguridad" en julio de 2024.

La empresa se percató de la intrusión tras una auditoría de seguridad realizada en enero de 2026. El ciberataque se basa, al igual que en el caso de France Travail, en la vulneración de la seguridad de un tercero.

Los datos comprometidos incluyen nombres, direcciones de correo electrónico y números de teléfono.

El 30 de diciembre de 2025, la CNIL impuso una multa de 3,5 millones de euros. a una empresa cuyo nombre lamentablemente no revela, por haber transmitido, a intervalos regulares durante seis años, los datos de los miembros de su programa de fidelización a una red social con fines de segmentación publicitaria, sin consentimiento válido.

Tras una consulta pública, la CNIL publicó sus recomendaciones sobre la obtención del consentimiento para el uso de múltiples dispositivos el 16 de enero. (entre dispositivos) en el contexto del uso de cookies y otros rastreadores.

El objetivo es ayudar a las partes interesadas a obtener un consentimiento que cumpla con los requisitos del RGPD y, en particular, garantizar una recopilación de consentimiento transparente.

La Comisión también publicó el 14 de enero dos mapas que enumeran las certificaciones y los códigos de conducta aprobados. por las autoridades nacionales o por el Comité Europeo de Protección de Datos (CEPD) desde la entrada en vigor del RGPD, para facilitar la identificación de las herramientas de cumplimiento disponibles.

Finalmente, en el contexto de las elecciones municipales del 15 y 22 de marzo, la CNIL nos recuerda las buenas prácticas en la captación de votos y reactiva su observatorio electoral.

Creada en 2012, su objetivo es garantizar que los partidos políticos y los candidatos tengan en cuenta la legislación sobre protección de datos en sus prácticas.

En particular, permite el seguimiento de las solicitudes dirigidas a la CNIL en el contexto de las campañas electorales, como las solicitudes de asesoramiento a los candidatos o las denuncias de malas prácticas.

A principios de febrero, el Estado asumió tres compromisos en favor de la soberanía digital:

• En lo que respecta a los datos sanitarios, lanzó una convocatoria de licitación para confiar los datos sanitarios de los ciudadanos franceses a una "plataforma europea segura".
• En términos más generales, el Estado está comprometido a orientar masivamente sus compras públicas hacia soluciones francesas y europeas, invirtiendo en ellas 4.500 millones de euros.

Según David Amiel, Ministro Delegado para la Función Pública, "existe una necesidad urgente de desintoxicarnos de las soluciones estadounidenses".

• Por último, una circular publicada recientemente por el Primer Ministro especifica que las administraciones deben favorecer las soluciones de mercado (en lugar de desarrollarlas internamente) siempre que cumplan los criterios de soberanía y seguridad.

El Consejo de Estado falló a favor de la CNIL el 30 de enero de 2026, en el marco de una disputa relativa a la vigilancia algorítmica que la enfrentaba a la ciudad de Niza.

Confirma que el procesamiento algorítmico de imágenes procedentes de cámaras de videovigilancia instaladas en la entrada de los colegios, implementado por el municipio, no está autorizado por la legislación vigente. 

Si bien el Código de Seguridad Interna permite la instalación de sistemas de videovigilancia en espacios públicos, su silencio al respecto impide interpretar que autoriza la realización de procesamientos algorítmicos que permitan el análisis sistemático y automatizado de las imágenes captadas en espacios públicos mediante dichos sistemas. Ninguna otra disposición autoriza la realización de tales procesamientos.

Ciudadanos estadounidenses que, por error, solicitaron a la CNIL que suspenda la transferencia de sus datos bancarios a Estados Unidos.

De conformidad con la Ley de Cumplimiento Tributario de Cuentas Extranjeras (FATCA, por sus siglas en inglés), las entidades bancarias francesas deben transmitir una gran cantidad de datos confidenciales sobre sí mismas a las autoridades fiscales estadounidenses para combatir posibles fraudes; de hecho, los estadounidenses deben declarar sus ingresos en Estados Unidos independientemente de dónde residan en el mundo.

La Asociación de Estadounidenses Accidentales denuncia el acuerdo vigente entre Estados Unidos y Francia que regula las condiciones para compartir esta información.

 

instituciones y organismos europeos

El 20 de enero de 2026, la Comisión Europea propuso un nuevo paquete de medidas de ciberseguridad destinadas a reforzar la resiliencia de la UE y mejorar su capacidad para gestionar las amenazas.

El proyecto incluye una propuesta para revisar el reglamento de ciberseguridad, que refuerza la seguridad de las cadenas de suministro de tecnologías de la información y la comunicación (TIC) de la UE.

Garantiza que los productos destinados a los ciudadanos de la UE sean ciberseguros desde la fase de diseño mediante un proceso de certificación simplificado.

Asimismo, facilita el cumplimiento de las normas de ciberseguridad vigentes en la UE y refuerza la función de la Agencia Europea de Ciberseguridad (ENISA) en su labor de apoyo a los Estados miembros y a la UE en la gestión de las amenazas a la ciberseguridad.

La Comisión Europea y Brasil adoptaron dos decisiones de adecuación mutua el 27 de enero, confirmando que sus niveles de protección de datos son comparables.

"Reconociendo los altos estándares de protección de datos que salvaguardan a los consumidores y ciudadanos de ambas partes, estos acuerdos permiten ahora a las empresas, las autoridades públicas y los investigadores intercambiar datos libremente entre la UE y Brasil."

La Comisión abrió una nueva investigación formal contra X el 26 de enero en virtud del Reglamento de Servicios Digitales (DSA).

Sospecha que las funciones de Grok integradas en X conllevan riesgos no evaluados ni mitigados de generar y distribuir contenido ilegal, como imágenes manipuladas de contenido sexualmente explícito, incluido contenido que puede constituir pornografía infantil.

También prorrogó el procedimiento formal iniciado en diciembre de 2023 contra X para determinar si la empresa ha evaluado y mitigado adecuadamente todos los riesgos sistémicos relacionados con sus sistemas de recomendación de contenido.

Asimismo, el 26 de enero, la Comisión Europea designó oficialmente a WhatsApp como una plataforma en línea de gran tamaño (VLOP, por sus siglas en inglés) en virtud de la Ley de Servicios Digitales (DSA, por sus siglas en inglés), ya que su función "Canales" alcanza el umbral requerido de al menos 45 millones de usuarios en la UE.

Meta dispone de cuatro meses, hasta mediados de mayo de 2026, para garantizar que WhatsApp cumpla con las obligaciones adicionales impuestas por la DSA.

Estas obligaciones incluyen evaluar y mitigar cualquier riesgo sistémico, como violaciones de los derechos humanos fundamentales y la libertad de expresión, manipulación electoral, difusión de contenido ilegal y problemas de privacidad, derivados de sus servicios.

El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) adoptaron el 21 de enero un dictamen conjunto sobre la propuesta de la Comisión Europea relativa al "Ómnibus Digital sobre IA", cuyo objetivo es simplificar la aplicación de determinadas normas armonizadas previstas en el Reglamento sobre IA para garantizar su aplicación efectiva.

Ambas autoridades respaldan el objetivo de abordar los desafíos prácticos relacionados con la implementación de la legislación, pero recalcan que la simplificación administrativa no debe menoscabar la protección de los derechos fundamentales. Los reguladores consideran que algunas de las enmiendas propuestas podrían comprometer la protección de las personas en el contexto de la IA.

 

Noticias procedentes de los países miembros de la Unión Europea.

En Grecia, la Autoridad de Protección de Datos (APD) ha emitido una advertencia contra la implementación de un sistema de "policía inteligente" que utiliza dispositivos portátiles inteligentes por parte de las patrullas para determinar y verificar la identidad de los ciudadanos sometidos a controles in situ mediante datos biométricos. La APD considera que este procesamiento es ilegal, ya que no está específicamente contemplado en la legislación vigente.

La Autoridad Española de Protección de Datos (APD) ha multado al grupo IDCQ Hospitals and Health con 1.200.000 euros. por eliminar los datos de los pacientes con demasiada rapidez, lo que le impidió cumplir con su obligación de informar a las personas afectadas.

La Autoridad Noruega de Protección de Datos (APD) ha multado a Timegrip AS con 250.000 coronas noruegas (aproximadamente 25.000 euros) por denegar ilegalmente a antiguos empleados el acceso a sus registros de horas de trabajo después de que su empleador quebrara y por presentarse falsamente como un simple subcontratista cuando ejercía un control efectivo sobre los datos personales.

En concreto, Timegrip asumió la condición de responsable tras la quiebra, siendo la única entidad que ejercía el control técnico y práctico sobre los datos.

El presidente de la Autoridad Polaca de Protección de Datos (APD) impuso una multa administrativa de 978.000 PLN (250.000 €) a Poczta Polska SA por no garantizar la independencia del responsable de protección de datos (DPO).

La autoridad supervisora determinó que la empresa había permitido un conflicto de intereses en el desempeño de las funciones del responsable de protección de datos.

En el Reino Unido, la APD multó a ZMLUK Limited, una empresa de intermediación financiera y agencia de publicidad, con 105.000 libras esterlinas (120.000 euros) por enviar más de 67 millones de correos electrónicos de marketing directo no solicitados sin el consentimiento de las personas afectadas o sin una excepción válida.

La Autoridad Sueca de Protección de Datos (APD) ha multado a un subcontratista, Sportadmin i Skandinavien AB, con 6.000.000 SEK (560.000 €). Proveedor de servicios digitales para clubes y asociaciones deportivas, tras un ciberataque que expuso los datos personales de más de 2,1 millones de personas.

El subcontratista fue declarado culpable de no implementar medidas de seguridad suficientes, en violación del artículo 32 del RGPD.

El gobierno suizo quiere ampliar la vigilancia en línea mediante la revisión de una ordenanza sobre la vigilancia de la correspondencia postal y las telecomunicaciones.

La propuesta aumentaría significativamente la cantidad de datos personales que se almacenan, al exigir a los grandes proveedores de servicios de comunicaciones que conserven los metadatos e imponer requisitos de identificación de usuario a prácticamente todos los proveedores de servicios.

Estas organizaciones deberían conservar estos datos durante al menos seis meses y ayudar a las fuerzas del orden a descifrar su contenido. Diecinueve organizaciones de la sociedad civil han enviado una carta al Departamento Federal de Justicia y Policía de Suiza expresando su preocupación.

 

En el Reino Unido, la APD multó a ZMLUK Limited, una empresa de intermediación financiera y agencia de publicidad, con 105.000 libras esterlinas (120.000 euros) por enviar más de 67 millones de correos electrónicos de marketing directo no solicitados sin el consentimiento de las personas afectadas o sin una excepción válida.

El gobierno suizo quiere ampliar la vigilancia en línea. mediante la revisión de una orden relativa a la vigilancia de la correspondencia postal y las telecomunicaciones.

La propuesta aumentaría significativamente la cantidad de datos personales que se almacenan, al exigir a los grandes proveedores de servicios de comunicaciones que conserven los metadatos e imponer requisitos de identificación de usuario a prácticamente todos los proveedores de servicios.

Deben conservar estos datos durante al menos seis meses y ayudar a las fuerzas del orden a descifrar su contenido.

Diecinueve organizaciones de la sociedad civil han enviado una carta al Departamento Federal de Justicia y Policía de Suiza para expresar su preocupación.

El 3 de febrero de 2026, el Comité Judicial de la Cámara de Representantes de Estados Unidos publicó un informe en el que atacaba la Ley Europea de Servicios Digitales (DSA, por sus siglas en inglés), calificándola de herramienta de censura. "La amenaza de la censura extranjera, parte II: La campaña de diez años de Europa para censurar internet a nivel mundial y sus consecuencias perjudiciales para la libertad de expresión en Estados Unidos"

En este informe, varias ONG europeas, entre ellas Bits of Freedom y Justice for Prosperity, son descritas como "ONG de censura".

Ya se han impuesto cinco sanciones, previamente comunicadas en este boletín, en forma de prohibiciones de entrada a Estados Unidos contra ciudadanos europeos implicados en la aplicación de la DSA, la investigación y la crítica del poder de las plataformas.

La Comisión Europea respondió a través de su portavoz recordando que la Ley de Servicios Digitales (DSA) sitúa la responsabilidad donde corresponde, es decir, en las plataformas en línea.

La prohibición australiana del uso de redes sociales para menores de 16 años se ha convertido en un modelo internacional. A pesar de las deficiencias detectadas en las primeras etapas de su implementación, la Unión Europea, el Reino Unido y Estados Unidos siguen de cerca la experiencia australiana. Algunos países ya han presentado propuestas legislativas similares, como señaló la IAPP (Asociación Internacional de Profesionales de la Privacidad) en un artículo del 5 de febrero.