¿Cómo funciona un control del RGPD por parte de la CNIL?
La misión de la Comisión Nacional de Tecnologías y Libertades de la Información (CNIL) es verificar que las organizaciones cumplen con el Reglamento General de Protección de Datos (RGPD). Así se lleva a cabo un control de la CNIL, desde el inicio hasta la conclusión.
1. Inicio del control
Una inspección de la CNIL puede iniciarse de varias maneras:
- Sobre la queja: Cuando una persona presenta una reclamación ante la CNIL relativa al tratamiento de sus datos personales.
- Autorreferencia: La CNIL podrá decidir ejercer el control sobre una organización por iniciativa propia.
- Reporte: Basado en informes recibidos de terceros, como otras autoridades o artículos de prensa.
- Programul anual: La CNIL establece un programa anual de control basado en criterios de riesgo identificados.
2. Notificación y preparación
La CNIL podrá realizar controles anunciados o no anunciados:
- Control anunciado: La CNIL informa previamente a la organización de control, permitiendo una preparación adecuada.
- Cheque no anunciado: La CNIL podrá llegar sin previo aviso para garantizar la espontaneidad de las observaciones.
Las organizaciones deben preparar los documentos y la información necesarios, incluidos los registros de procesamiento de datos, las políticas de protección de datos y las medidas de seguridad implementadas.
3. Progreso del Control
Los controles de la CNIL pueden adoptar varias formas:
- En el sitio: Los agentes de la CNIL acuden a las instalaciones de la organización para comprobar las prácticas de tratamiento de datos. Pueden entrevistar a gerentes, ver sistemas de TI y revisar documentos.
- En partes: La CNIL solicita a la organización que proporcione documentos específicos para su examen.
- En línea: La CNIL puede auditar de forma remota sitios web y aplicaciones para verificar su cumplimiento.
Los controladores pueden solicitar explicaciones adicionales, verificar la evidencia y analizar los datos recopilados para evaluar el cumplimiento.
4. Hallazgos e informe
Al final de la inspección, los agentes de la CNIL redactan un informe detallando sus conclusiones. Este informe puede identificar no conformidades, vulnerabilidades de seguridad o incumplimientos de las obligaciones del RGPD.
La organización auditada recibe una copia del informe y puede responder al mismo para aportar aclaraciones o justificaciones sobre los puntos planteados.
5. Decisiones y Sanciones
A partir del informe de control y de las respuestas de la organización, la CNIL puede tomar diferentes decisiones:
- Advertencia: Por infracciones menores o de rápida subsanación.
- Aviso formal: La organización debe cumplir dentro de un plazo específico.
- Sanciones financieras: Por infracciones graves o reiteradas, hasta 20 millones de euros o el 4% de la facturación anual mundial.
- Publicidad de la sanción: La CNIL podrá decidir hacer pública la sanción para informar al público.
6. Seguimiento y Cumplimiento
Tras las sanciones, la CNIL sigue las acciones correctoras puestas en marcha por la organización. Se puede realizar un seguimiento adicional para verificar que se han implementado las medidas necesarias y que la organización ahora cumple con el RGPD.
Conclusión
El seguimiento de la CNIL es un procedimiento riguroso cuyo objetivo es garantizar que las organizaciones cumplan las normas del RGPD. Implica una serie de pasos, desde el inicio hasta la decisión final, incluida una evaluación exhaustiva de las prácticas de procesamiento de datos. Estos controles son esenciales para garantizar la protección de los datos personales y fortalecer la confianza de los ciudadanos en la economía digital. Para obtener más información, puede visitar la página dedicada en Sitio web de la CNIL.
Ómnibus digital: cómo la UE finalmente quiere simplificar el marco regulatorio (cibernética, inteligencia artificial, datos)
Resumen de Cyber, AI & Data (octubre de 2025): LinkedIn utiliza sus datos, sanciones de la CNIL, NIS2 en la legislación francesa