🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones 🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones 🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones 🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones
Llámanos al +(33)4 28 70 91 81
Acceso

Descifrado de sanciones de la CNIL: EDF, Gratis, Discord

Bienvenida Noticias Descifrado de sanciones de la CNIL: EDF, Gratis, Discord

La CNIL definitivamente no ha estado inactiva a finales de 2022. Se han dictado tres decisiones, y no menos importante: DISCORD, EDF y FREE fueron multadas con 800.000, 600.000 y 300.000 euros respectivamente.    

Nuestros abogados tuvieron el placer de profundizar en la prosa de cada una de estas decisiones (no, realmente no veo ninguna ironía de nuestra parte). Si bien la CNIL se esfuerza por ser cada vez más didáctica y por explicar sus decisiones lo más claramente posible, lo cierto es que esto sigue siendo oscuro para el mayor número de personas. Hemos pensado en ustedes, jefes de PYMES y ETI, referentes del RGPD u otros DPO designados como voluntarios. Es posible que no tenga el tiempo o el amplio conocimiento legal del RGPD para leer estas decisiones.  

De la sospecha inicial al control  

La CNIL suele ocupar expedientes a raíz de quejas de interesados que siguen insatisfechos tras una solicitud de ejercicio de derechos (EDF, FREE) o notificaciones de violaciones de datos que suscitan sospechas de falta de conformidad (FREE).  De ahí la importancia de la gestión de riesgos del RGPD. ¡Es fundamental aplicar un procedimiento para el ejercicio de los derechos! (Psst un consejo: Puedes hacerlo muy fácilmente con nuestra plataforma, gracias a su modo guiado y colaborativo y a nuestros modelos dedicados). Lo mismo ocurre con las cuestiones de seguridad: cumplir con el RGPD reduce las posibilidades de sufrir un ciberataque en un 80%.  

Para verificar las sospechas inicialmente planteadas, la CNIL –antes de desplegar controles amplios y costosos– comienza a menudo realizando controles remotos de incógnito (DISCORD, EDF).
Nunca podremos repetirlo lo suficiente, Su sitio web es el escaparate de su cumplimiento !
Empecemos por ahí, es imprescindible. En caso de una inspección en línea, si la CNIL detecta alguna infracción, usted estará expuesto a una inspección documental o incluso in situ.
¿No sabes cómo hacerlo? Con Data Comply One (anteriormente Mission RGPD), aprovecha nuestra auditoría dedicada a este tema y todos los modelos de documentos que necesitas.  

Prospección comercial: prueba del consentimiento  

En las decisiones EDF y FREE, la CNIL recuerda la obligación de poder aportar la prueba del consentimiento cuando ésta constituya la base jurídica del tratamiento. Este fue el caso aquí en términos de prospección comercial electrónica. Esta fue una hipótesis de recolección indirecta, con la intervención de un intermediario de datos.    

A pesar de utilizar un proveedor de servicios, no hay posibilidad de estar satisfecho:  

  • Cláusulas contractuales en virtud de las cuales el prestador del servicio se compromete a obtener el consentimiento en nombre y por cuenta del responsable del tratamiento,  
  • Un formulario modelo que indique la recogida del consentimiento.  

Es conveniente verificar el cumplimiento del proveedor de servicios mediante auditorías y garantizar que la prueba del consentimiento proporcionada sea individual (¡prospecto por prospecto!).
Con Data Comply One (anteriormente Mission RGPD), audite fácilmente a sus proveedores de servicios utilizando nuestros cuestionarios listos para usar.  

También hay que tener cuidado al delegar la recogida del consentimiento al prestador del servicio que recoge los datos, éste deberá obtener el consentimiento informado que acredite la integridad de los fines perseguidos, así como la identidad del prospector en cuyo nombre realiza la recogida (a través de un hipervínculo que hace referencia a una lista de prestadores de servicios actualizada periódicamente).    

No hay aproximación para informar a la gente

En caso de recogida indirecta (por ejemplo: un prestador de servicios recoge los contactos de prospectos que le envía para realizar sus operaciones de prospección), el responsable del tratamiento deberá comunicar la fuente de los datos de la primera comunicación. No es posible ninguna generalidad, conviene comunicar la identidad exacta de la fuente, ya sea al informar a las personas pero también en caso de una solicitud relativa al derecho de acceso. No hay posibilidad de esconderse detrás de secretos comerciales (GRATIS probado pero sin éxito). Tampoco se permite comunicar más información incorrecta al solicitar un derecho de acceso sobre el tema (EDF).

Tampoco existe posibilidad de ahogar la base jurídica: el responsable del tratamiento debe elegir una única base jurídica por finalidad. La CNIL señala también que no es posible enumerar de forma general las bases jurídicas aplicables.  

Lo mismo ocurre con los periodos de retención (EDF y DISCORD), menciones como " Generalmente conservamos datos personales durante el tiempo que sea necesario para los fines definidos en este documento. Para eliminar datos personales, podemos anonimizarlos, eliminarlos o tomar otras medidas necesarias. Los datos pueden persistir durante algún tiempo en forma de copias de seguridad o con fines comerciales (DISCORD).

Para informar a la gente sobre los períodos de conservación, es necesario distinguir los diferentes períodos de almacenamiento, en función de las categorías de datos y de las finalidades (en particular, archivos).

La CNIL, insoluble en el ejercicio de los derechos  

No hay respuesta por teléfono, no hay retrasos aceptables en los tiempos de respuesta. Independientemente del contexto en el que se produzca la infracción (error humano aislado o período de crisis sanitaria como en EDF), la CNIL es intratable al respecto.

También un rápido recordatorio: una solicitud para ejercer derechos no necesariamente tiene que hacer referencia al RGPD para ser considerada como tal. FREE cometió este error al considerar que las solicitudes de eliminación de una cuenta de correo electrónico gratuita (a través de un formulario dedicado) eran una solicitud de terminación en un contexto legal de obligación de retención de datos. Incluso si esta solicitud no implicara borrar todos los datos El hecho es que el estado de las cuentas en cuestión seguía activo y la mensajería electrónica seguía siendo accesible varios años después de la solicitud.    

Seguridad: ¡¿tus contraseñas?!*$  

Esto es algo que las tres decisiones tienen en común, la falta de seguridad de las contraseñas con las siguientes deficiencias:  

  • Contraseñas consideradas demasiado simples e insuficientemente complejas en DISCORD,  
  • Del lado de EDF: el uso residual en unas 25.000 cuentas de una función hash obsoleta desde 2004, ¡lo que lleva a una retención insegura de contraseñas! La CNIL aprovecha sus recomendaciones, las de la ANSSI e incluso algunas de sus decisiones al respecto. De ahí la importancia de mantenerse al día con las novedades de la autoridad supervisora. Reconozco que es un trabajo tedioso, por eso MISSION RGPD lo hace por ustedes con su seguimiento legal y la actualización periódica de sus recursos documentales.  
  • En FREE estas son las condiciones para crear 1er La contraseña problemática es:
    • Generado automáticamente con reglas de complejidad insuficientes, 
    • Comunicado en texto simple al usuario (por correo electrónico o correo postal),
    • Almacenado sin cifrar en la base de datos (accesible directamente por administradores dentro de la empresa o por un hacker en caso de un ataque).

Estas medidas eran claramente insuficientes teniendo en cuenta el riesgo que suponía el acceso ilegítimo a la cuenta del usuario (apellido, nombre, número de teléfono, correos electrónicos, facturas, declaraciones de consumo, modificación de opciones o contraseña).  

La CNIL recuerda que, si bien sus recomendaciones no son imperativas, lo cierto es que corresponden al estado de la técnica en este ámbito.

Nos gustaría aprovechar esta oportunidad para recordarles que en otoño de 2022 la CNIL publicó una nueva recomendación sobre contraseñas, en particular para sustituir la versión de 2017 e integrar los últimos avances de ANSSI en este ámbito.
Algunos cambios notables:  

  • Ya no se recomienda cambiar contraseñas periódicamente (excepto para cuentas de administrador),  
  • Un mayor nivel de complejidad de la contraseña (las condiciones varían dependiendo de si la contraseña se combina con medidas técnicas adicionales, como restricciones de acceso).  

¿Quieres saber más? Es por aquí pasa.

Seguridad: Documente sus incidentes de seguridad  

En FREE, la CNIL recuerda la obligación de documentar las violaciones de datos. Aunque un registro de incidentes no es una obligación en sí mismo, lo cierto es que una documentación específica dedicada al tema es esencial para evaluar el riesgo y medir la eficacia de las medidas adoptadas para remediar el incidente.

 Como recordatorio, el incidente en cuestión dio lugar a una notificación de una violación de datos en el origen del procedimiento de control objeto de la decisión.  " Se habían vuelto a poner en circulación 4.100 Freeboxes sin que su reacondicionamiento fuera efectivo (debido a un doble error humano), es decir sin que se borraran del disco duro del Freebox los datos del abonado anterior ".  

Violaciones de principios hasta ahora poco observadas

Más allá de las clásicas violaciones de la seguridad o de los derechos personales, la CNIL observa violaciones del principio de privacidad intencionadas (¿ya no recuerdan esta noción?  No te asustes, encuentra nuestro 1 minuto para entender todo sobre el tema así como nuestro artículo dedicado para refrescar tu memoria).  

Para DISCORD, la CNIL criticó que utilizar una cruz para poner la aplicación en segundo plano engañaba a los usuarios que podían creer que habían cerrado la solución mientras ésta seguía grabando su voz.    

Ella recomienda:  

  • Para informar a la gente sobre esta especificidad, o  
  • Modificar la configuración predeterminada de la aplicación (que no se salga cuando se cierra la ventana principal) para que de forma predeterminada no se active el comportamiento de reducción de fondo y corresponda al usuario configurarlo manualmente.  

También en DISCORD, la CNIL constata la ausencia de elaboración de un análisis de impacto a pesar de los dos criterios de riesgo (personas vulnerables, es decir, menores incluso mayores de 15 años, y tratamiento a gran escala).    

Con Data Comply One (anteriormente Mission RGPD) y su registro inteligente, ya no perderá sus obligaciones en términos de análisis de impacto (PIA o AIPD para abreviar).  

Una autoridad supervisora oyente pero intransigente

En estas tres decisiones, la CNIL parece escuchar a las empresas inspeccionadas y las observaciones que éstas han formulado, tras la comunicación del informe de infracciones que se les envió al final de la inspección.    

Reconoce y desestima las deficiencias señaladas por el ponente conservando algunas de las explicaciones proporcionadas, por ejemplo:  

  • Un documento erróneo que basa la falta de prueba del consentimiento en una campaña de prospección comercial de EDF,  
  • Un error técnico en DISCORD que impide temporalmente la traducción al francés de la política de confidencialidad del sitio web (fallo identificado durante la verificación en línea).  

Reconoce también el carácter no sistémico de las infracciones al valorar el importe de la sanción teniendo en cuenta en particular los errores humanos que se producen en el ejercicio de los derechos (Free 2 sobre 600) o el número de quejas en relación con el número de usuarios (aún en Free, 10 sobre alrededor de 6,9 millones). Sin embargo, toma nota de las deficiencias observadas a este respecto.

Asimismo, la CNIL tiene en cuenta la colaboración de las empresas y los esfuerzos que éstas han realizado para cumplir durante el procedimiento. Sin embargo, este esfuerzo sólo permite abandonar la emisión de medidas cautelares de cumplimiento en un plazo determinado, acompañadas del pago de una sanción. Pero cuidado, en el caso de FREE, la CNIL señaló que ésta no había cumplido sólo una de las infracciones señaladas. Por tanto, dictó una orden de cumplimiento en el plazo de un mes respecto de dicho incumplimiento, sancionada con una multa de 500 euros por día de retraso.    

Esta conducta forma parte del deseo de imponer multas disuasorias pero proporcionadas, teniendo en cuenta:  

  • A partir de la rotación de la estructura,    
  • La importancia del actor en su campo de actividad, así como
  •  De la naturaleza, gravedad y duración de la infracción, las medidas adoptadas por el responsable del tratamiento para mitigar el daño sufrido por los interesados, el grado de cooperación con la autoridad de control y las categorías de datos personales afectados por la infracción. "  

La CNIL aparece en estas decisiones precisa y clara en su razonamiento, atenta y mesurada, sin dejar de ser intransigente en la aplicación de los principios de protección de datos personales.  

Nos vemos pronto en una próxima sesión para descifrar las decisiones de la CNIL.    

Recursos adicionales al artículo

Privacidad por diseño

Lea el artículo: RGPD: ¿Cómo implementar la privacidad por defecto y la privacidad por diseño?

Las sanciones impuestas por la CNIL en detalle

¿Está listo para comenzar a cumplir con el RGPD?
Otros artículos
sobre el mismo tema