La creciente digitalización de la vida económica y social, junto con la aparición de la pandemia, ha aumentado los riesgos para la privacidad. Además, la omnipresencia de los grandes servicios digitales plantea nuevos desafíos en materia de regulación. En este contexto, los datos personales son, más que nunca, el hilo conductor de nuestra vida digital cotidiana.
Ante estos desafíos, es fundamental que el RGPD, a través de la cooperación europea entre autoridades, desempeñe plenamente su papel como palanca ofensiva de cumplimiento, garantizando el respeto efectivo de los derechos de las personas y la igualdad competitiva entre los actores económicos. Es en esta dinámica que se inscriben las nuevas orientaciones estratégicas de la CNIL para el período 2022-2024.
Este plan desarrolla las orientaciones estratégicas de la CNIL en tres ejes, cada uno con objetivos específicos.
Eje 1: Favorecer el control y los derechos de las personas en el ámbito digital, a través de cuatro objetivos:
Reforzar la información y la sensibilización de las personas para fomentar el ejercicio de sus derechos:
La CNIL busca mejorar su comunicación y poner a disposición herramientas que faciliten el ejercicio de los derechos, lo que podría llevar a un aumento en las solicitudes y, por ende, a un mayor riesgo para las empresas que no cumplan con la normativa.
Aumentar la eficacia de las acciones de cumplimiento:
Esto implicará la adaptación de los procedimientos de control, advertencias y sanciones. La tramitación de quejas será una prioridad, con una reducción en los tiempos de instrucción. Recientemente, se ha lanzado una licitación para externalizar la gestión de casos más sencillos.
Fortalecer el papel europeo de la CNIL y la eficacia del colectivo europeo:
Se busca mejorar la eficiencia de la ventanilla única y las relaciones entre las autoridades de control, especialmente en el tratamiento de datos transfronterizos, asegurando un interlocutor único para las empresas establecidas en varios países europeos.
Priorizar acciones para proteger los usos cotidianos y sensibilizar a los ciudadanos sobre herramientas digitales, libertades y privacidad:
Se proporcionarán herramientas concretas para ayudar a los usuarios a comprender los riesgos asociados.
Una parte importante de las advertencias se ha centrado en el tema prioritario de las cookies: 89 decisiones han identificado incumplimientos relacionados con el uso de rastreadores (84 de ellas específicamente sobre este tema).
Eje 2: Promover el RGPD como un activo de confianza para los responsables del tratamiento de datos (RT), mediante cinco objetivos:
Reforzar la seguridad jurídica de los RT con directrices prácticas y claras:
Se busca clarificar la legislación para que las empresas puedan entender mejor la protección de datos.
Desarrollar herramientas de certificación y códigos de conducta:
Permitirán a los RT gestionar su cumplimiento de manera adaptada a su sector. Esto implica simplificar herramientas y fortalecer relaciones con los socios de cumplimiento.
Hacer del cumplimiento del RGPD la mejor prevención contra riesgos cibernéticos:
La CNIL reforzará su papel en la respuesta gubernamental a los riesgos cibernéticos y en la asesoría técnica y regulatoria.
Fortalecer y evolucionar la estrategia de acompañamiento:
Se crearán herramientas más accesibles y adaptadas a las necesidades de los RT.
Asumir un rol regulador con impacto económico:
Se tomarán en cuenta los modelos de negocio y el impacto económico de las acciones de la CNIL.
Eje 3: Prioridades de la CNIL ante el aumento del uso de datos personales
Cámaras aumentadas y su uso con algoritmos predictivos:
Se abordarán los problemas de vigilancia masiva con acciones dirigidas a servicios estatales y actividades comerciales, evitando un uso desproporcionado de estos sistemas.
Transferencias de datos en la computación en la nube (“cloud”):
Se busca asegurar la transferencia de datos personales a países fuera de la UE, basándose en la sentencia “Schrems II”.
Recolección de datos personales en aplicaciones móviles:
Ante la falta de transparencia y la heterogeneidad de prácticas, la CNIL quiere mejorar la visibilidad de los flujos de datos y garantizar el cumplimiento normativo en aplicaciones móviles.
Comprender las decisiones de adecuación: clave para transferencias de datos fluidas:
Una decisión de adecuación, tomada por la Comisión Europea, evalúa si un país no perteneciente a la UE ofrece un nivel suficiente de protección de datos personales, alineado con los estándares de la UE.
Importancia de las decisiones de adecuación
Si un país recibe esta evaluación positiva, significa que cuenta con:
Legislación nacional sólida sobre privacidad.
Autoridades independientes de protección de datos.
Compromisos internacionales en protección de datos.
Esto simplifica las transferencias de datos personales de la UE hacia dicho país, eliminando barreras legales y facilitando operaciones transfronterizas.
¿Cómo permite el consentimiento explícito la transferencia de datos fuera de la UE?
El consentimiento explícito de la persona interesada es clave para simplificar este proceso. Debe ser claro y voluntario, y la persona debe comprender los riesgos asociados con la transferencia.
Medidas adicionales si existen riesgos en la transferencia de datos
Si las garantías de protección de datos son insuficientes, el exportador debe implementar medidas adicionales como:
Cifrado robusto de datos.
Auditorías de seguridad periódicas.
Controles de acceso estrictos.
Minimización de datos recopilados.
Capacitación de empleados sobre seguridad de datos.
Contratos con cláusulas estrictas de protección de datos.
Evaluaciones de impacto de transferencias de datos.
Monitoreo en tiempo real de posibles violaciones de seguridad.
Implementando estas medidas, los exportadores de datos pueden reforzar la seguridad y garantizar la protección de la información sensible.
