Ai sensi della Carta dei diritti fondamentali dell’UE, tutti gli Stati membri erano tenuti a creare un’autorità per la protezione dei dati. Queste agenzie hanno il compito di proteggere i diritti dei dati dei cittadini dell’UE negli Stati membri. L’autorità francese per la protezione dei dati in Francia è la CNIL.
In questo articolo parleremo di cos’è la CNIL, quali sono le sue responsabilità e i suoi effetti generali sulle imprese.
Che cos'è la CNIL?
A differenza delle più recenti agenzie per la protezione dei dati, come l’AEPD spagnola, la Commission Nationale de l’informatique et des Libertés (CNIL) è stata creata nel 1978 e ha iniziato le sue attività principali nel 1980. L’organizzazione è stata formalizzata in risposta al programma SAFARI, un tentativo del governo francese di creare un database centralizzato di tutti i cittadini francesi. Oggi è l’organo amministrativo e di regolamentazione francese responsabile dell’attuazione della legge sulla privacy dei dati. Garantisce che la raccolta, la conservazione e l’utilizzo dei dati personali dei cittadini francesi siano conformi sia alla legge francese che al GDPR.
La CNIL è composta da diciassette membri provenienti da diversi enti governativi, quattro dei quali devono essere membri del parlamento francese. Gli altri dodici membri sono eletti dalle loro organizzazioni rappresentative.
Quali sono le responsabilità della CNIL?
Le competenze della CNIL sono state originariamente descritte nella legge francese sulla protezione dei dati (1978). La missione della CNIL è di:
- Informare i cittadini francesi dei diritti alla privacy dei dati
- Proteggere i diritti alla privacy dei cittadini francesi in materia di dati
- Regolamentare e consigliare il governo francese
- Proporre e attuare certificazioni e regole aziendali che creano conformità
- Collaborare e partecipare al Comitato europeo per la protezione dei dati (EDPB).
- Ispezionare la raccolta dei dati e amministrare le sanzioni
- Valutare le nuove tecnologie che possono influire sui diritti alla privacy dei cittadini francesi
Quali sono i rapporti tra la CNIL e l'UE?
La Carta dei diritti fondamentali dell’UE ha formalizzato per la prima volta il diritto dei cittadini dell’UE alla protezione dei propri dati personali. Ai sensi della direttiva europea sulla protezione dei dati, alle agenzie di protezione dei dati di ogni Stato membro è stata fornita una serie di standard con cui guidare la stesura della legislazione.
Tuttavia, di recente tali norme comuni sono state sostituite dal quadro generale del regolamento generale sulla protezione dei dati. Il GDPR è gestito dall’EDPB, composto da rappresentanti delle autorità nazionali per la protezione dei dati degli Stati membri dell’UE, tra cui la CNIL.
Pertanto, mentre la legislazione viene approvata a livello europeo, l’applicazione e l’orientamento sono condotti in Francia dalla CNIL.
Pertanto, la CNIL è responsabile dell’applicazione di tre leggi:
- Legge francese sulla protezione dei dati
- Il GDPR
- Direttiva ePrivacy
Quest’ultima legge è stata emanata nel 2002 per legiferare sulla riservatezza delle comunicazioni e sulle norme che riguardano il tracciamento e il monitoraggio.
In caso di violazioni delle leggi di cui sopra, la CNIL ha il potere di emettere multe. In caso di violazione del GDPR, le organizzazioni possono essere multate fino a 20 milioni di euro o al 4% del fatturato globale annuo, a seconda di quale sia il valore più alto.
Chi è soggetto alla CNIL?
Chiunque abbia familiarità con il GDPR saprà che qualsiasi organizzazione che rivolge i propri beni e servizi (a pagamento o gratuiti) ai cittadini dell’UE o monitora l’attività online dei cittadini dell’UE è soggetta al regolamento. Ciò significa che qualsiasi organizzazione che raccoglie, utilizza o divulga i dati dei cittadini dell’UE dovrebbe farlo secondo il GDPR.
Sono esclusi i siti web che non si rivolgono ai cittadini dell’UE, ma ai quali possono accedere i cittadini dell’UE: ad esempio, un ristorante locale a Londra.
Tuttavia, la Francia ha anche numerosi territori d’oltremare, che sono considerati parte integrante dello stato francese. Pertanto, tutte le aziende che rientrano nelle seguenti due categorie sono tenute a rispettare la CNIL:
- Aziende con sede in Francia o nei territori francesi d’oltremare
- Aziende che raccolgono o trattano dati personali di cittadini francesi (nella metropoli o nei territori d’oltremare)
Quali sono le conseguenze della non conformità della CNIL?
La conseguenza più evidente del mancato rispetto è una multa. La CNIL ha in particolare multato Google in un caso del 2016 (vedi sotto).
In genere, la CNIL emette una multa:
- A seguito di un reclamo o di una segnalazione di violazione
- A seguito di un’indagine condotta dalla CNIL
In entrambi i casi, il presidente della CNIL può nominare un relatore tra i commissari della CNIL. L’organizzazione incriminata viene informata e gli viene fornita la relativa documentazione. Quindi, il comitato ristretto – composto da cinque commissari della CNIL e da un presidente – esamina il caso.
Se giudicata colpevole, l’organizzazione è costretta a pagare una multa come descritto nel GDPR.
Casi notevoli della CNIL
Come l’AEPD spagnola, il caso più importante della CNIL ha riguardato Google e il concetto di “diritto all’oblio”. La CNIL ha sostenuto che Google dovrebbe rispettare le sentenze francesi in tutto il mondo sul diritto all’oblio. Google ha sostenuto, tuttavia, che ciò potrebbe portare ad abusi in stati “meno aperti e democratici”.
In precedenza, mentre i cittadini francesi potevano vedere i loro risultati di ricerca cancellati nella versione europea di Google, questi sarebbero comunque apparsi a livello globale. La CNIL ha ordinato a Google di applicare la stessa politica per tutti i risultati globali. Il gigante della tecnologia è stato multato di 100.000 euro per non conformità.
Tuttavia, Google ha presentato ricorso contro la decisione, affermando che:
“Se la legge francese si applica a livello globale, quanto tempo ci vorrà prima che altri paesi – forse meno aperti e democratici – inizino a chiedere che le loro leggi che regolano l’informazione abbiano una portata globale”.
In effetti, critiche simili sono state sollevate riguardo agli “effetti extraterritoriali” del GDPR dell’UE.
Conclusione
Poiché il GDPR è ancora la legislazione più rigorosa in materia di protezione dei dati al mondo, è fondamentale comprendere il braccio di applicazione per gli Stati membri dell’UE. Negli ultimi quarant’anni, la CNIL è stata responsabile della difesa dei diritti alla privacy dei cittadini francesi a livello globale.
Per ulteriori informazioni sulle loro responsabilità e attività, si prega di consultare il sito web della CNIL.
Fonti:
https://www.cnil.fr/en/home
https://en.wikipedia.org/wiki/Commission_nationale_de_l%27informatique_et_des_libert%C3%A9s
https://www.bbc.co.uk/news/technology-36332150
https://edps.europa.eu/data-protection/our-work/subjects/eprivacy-directive_en