En virtud de la Carta de los Derechos Fundamentales de la UE, todos los Estados miembros estaban obligados a crear una autoridad de protección de datos. Estas agencias se encargan de proteger los derechos de los datos de los ciudadanos de la UE en el Estado miembro. La Autoridad Francesa de Protección de Datos en Francia es la CNIL.
En este artículo, discutiremos qué es la CNIL, cuáles son sus responsabilidades y sus efectos generales en las empresas.
¿Qué es la CNIL?
A diferencia de las nuevas agencias de protección de datos, como la AEPD española, la Comisión Nacional de Informática y Libertades (CNIL) se creó en 1978 y comenzó sus actividades principales en 1980. La organización se formalizó en respuesta al programa SAFARI, un intento del gobierno francés de crear una base de datos centralizada de todos los ciudadanos franceses. Hoy en día, es el organismo administrativo y regulador francés responsable de promulgar la ley de privacidad de datos. Garantiza que la recopilación, el almacenamiento y el uso de los datos personales de los ciudadanos franceses se ajusten tanto a la legislación francesa como al RGPD.
La CNIL está compuesta por diecisiete miembros de varias entidades gubernamentales, cuatro de los cuales deben ser miembros del parlamento francés. Los otros doce miembros son elegidos por las organizaciones que los representan.
¿Cuáles son las responsabilidades de la CNIL?
Las responsabilidades de la CNIL se describieron originalmente en la Ley francesa de protección de datos (1978). La misión de la CNIL es:
- Informar a los ciudadanos franceses de los derechos de privacidad de datos
- Proteger los derechos de privacidad de los datos de los ciudadanos franceses
- Regular y asesorar al gobierno francés
- Proponer y promulgar certificaciones y normas corporativas que generen conformidad
- Servir de enlace y participar en el Comité Europeo de Protección de Datos (CEPD).
- Inspeccionar la recopilación de datos y administrar sanciones
- Evaluar las nuevas tecnologías que pueden afectar a los derechos de privacidad de los ciudadanos franceses
¿Cómo se relaciona la CNIL con la UE?
La Carta de los Derechos Fundamentales de la UE formalizó por primera vez el derecho de los ciudadanos de la UE a la protección de sus datos personales. En virtud de la Directiva Europea de Protección de Datos inicial, las agencias de protección de datos de cada estado miembro dispusieron de un conjunto de normas para guiar la redacción de la legislación.
Sin embargo, recientemente esos estándares comunes han sido reemplazados por el marco general del GDPR. El RGPD es gestionado por el CEPD, que está compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros de la UE, incluida la CNIL.
Por lo tanto, mientras que la legislación se aprueba a nivel europeo, la CNIL se encarga de la aplicación y la orientación en Francia.
Así, la CNIL se encarga de hacer cumplir tres leyes:
- Ley francesa de protección de datos
- El RGPD
- Directiva sobre la privacidad y las comunicaciones electrónicas
Esta última ley se promulgó en 2002 para legislar sobre la confidencialidad de las comunicaciones y las normas relativas al seguimiento y la vigilancia.
En caso de violación de las leyes mencionadas, la CNIL tiene la facultad de imponer multas. En caso de violaciones del RGPD, las organizaciones pueden ser multadas con hasta 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor.
¿Quién está sujeto a la CNIL?
Cualquiera que esté familiarizado con el GDPR sabrá que cualquier organización que ofrezca sus bienes y servicios (de pago o gratuitos) a ciudadanos de la UE o que supervise la actividad en línea de los ciudadanos de la UE está sujeta a la regulación. Eso significa que cualquier organización que recopile, use o divulgue datos de ciudadanos de la UE debe hacerlo de acuerdo con el GDPR.
Esto no incluye los sitios web que no atienden a ciudadanos de la UE, pero a los que pueden acceder los ciudadanos de la UE: por ejemplo, un restaurante local en Londres.
Sin embargo, Francia también tiene numerosos territorios de ultramar, que se consideran parte integral del estado francés. Por lo tanto, cualquier empresa que se encuentre en las dos categorías siguientes está obligada a cumplir con la CNIL:
- Empresas con sede en Francia o en los territorios franceses de ultramar
- Empresas que recopilan o procesan datos personales de ciudadanos franceses (en la metrópoli o en los territorios de ultramar)
¿Cuáles son las consecuencias del incumplimiento de la CNIL?
La consecuencia más obvia del incumplimiento es una multa. En particular, la CNIL multó a Google en un caso de 2016 (véase más abajo).
Normalmente, la CNIL impondrá una multa:
- A raíz de una queja o denuncia de una infracción
- A raíz de una investigación dirigida por la CNIL
En cualquier caso, el presidente de la CNIL puede nombrar un ponente de entre los comisarios de la CNIL. Se informa a la organización incriminada y se le proporciona la documentación pertinente. A continuación, el comité restringido, compuesto por cinco comisarios de la CNIL y un presidente, revisa el caso.
Si es declarada culpable, la organización se ve obligada a pagar una multa como se describe en el GDPR.
Casos notables de la CNIL
Al igual que la AEPD española, el caso más notable de la CNIL fue el de Google y el concepto de «derecho al olvido». La CNIL argumentó que Google debería respetar las sentencias francesas en todo el mundo sobre el derecho al olvido. Google argumentó, sin embargo, que esto podría conducir a abusos en estados «menos abiertos y democráticos».
Anteriormente, mientras que los ciudadanos franceses podían ver eliminados sus resultados de búsqueda en la versión europea de Google, seguían apareciendo a nivel mundial. La CNIL ordenó a Google que promulgara la misma política para todos los resultados globales. El gigante tecnológico fue multado con 100.000 euros por incumplimiento.
Sin embargo, Google apeló la decisión, afirmando que:
«Si la ley francesa se aplica a nivel mundial, ¿cuánto tiempo pasará hasta que otros países, tal vez menos abiertos y democráticos, comiencen a exigir que sus leyes que regulan la información también tengan un alcance global?»
De hecho, se han planteado críticas similares con respecto a los «efectos extraterritoriales» del GDPR de la UE.
Conclusión
Dado que el GDPR sigue siendo la legislación de protección de datos más estricta del mundo, es fundamental comprender el brazo de aplicación de los estados miembros de la UE. Durante los últimos cuarenta años, la CNIL se ha encargado de defender los derechos de privacidad de los datos de los ciudadanos franceses en todo el mundo.
Para más información sobre sus responsabilidades y actividades, consulte el sitio web de la CNIL.
Fuentes:
https://www.cnil.fr/en/home
https://en.wikipedia.org/wiki/Commission_nationale_de_l%27informatique_et_des_libert%C3%A9s
https://www.bbc.co.uk/news/technology-36332150
https://edps.europa.eu/data-protection/our-work/subjects/eprivacy-directive_en