En 2022, el CNIL ha puesto en marcha lo que llama un procedimiento sancionador simplificado. De hecho, “cuando se constata una infracción del RGPD o de la Ley de Protección de Datos, se puede iniciar un procedimiento sancionador simplificado contra una organización si el caso no presenta ninguna dificultad particular”. Éste puede ser el caso cuando existe jurisprudencia establecida; decisiones previamente dictadas por el panel restringido; de la sencillez de las cuestiones de hecho y de derecho que presenta para ser decididas, indica la Comisión. Se trata de casos que no presentan especial dificultad y por los que se puede imponer una multa de hasta 20.000 euros.

En los últimos dos meses, el regulador ha emitido nada menos que diez decisiones en este contexto. Sancionó así, con un importe total de 97.000 euros en multas, a actores públicos y privados por no responder a sus solicitudes. Estas decisiones se refieren a la minimización de datos (geolocalización y videovigilancia continua y permanente de los empleados); información sobre el tratamiento realizado y sus finalidades; la obligación de respetar los derechos de las personas y, en particular, de responder a una solicitud de oposición. Aunque aún no conocemos las cifras del segundo informe anual, 2022 fue un año que podría calificarse de productivo. Al 31 de enero de 2023, el regulador entregó los siguientes resultados: : las multas impuestas oscilan entre 5.000 y 15.000 euros y, en la mitad de ellas, medidas cautelares. Este tipo de procedimiento constituye una valiosa ayuda para la CNIL, ya que le permite aumentar la eficacia de su acción represiva en respuesta a las denuncias recibidas, cuyo número aumenta cada año. Para que conste, recibió más de 12.000 quejas en 2022, o un +72% desde la entrada en vigor del RGPD en 2018.

Centrarse en la geolocalización y videovigilancia de los empleados

De estas diez decisiones destacan dos temas: la geolocalización de los vehículos de los empleados y la videovigilancia de los empleados. Sobre el primer tema, la CNIL recuerda en particular que el registro continuo de datos de geolocalización, sin posibilidad para los empleados de detener o suspender el sistema durante los descansos, constituye, salvo justificación específica, un ataque excesivo a la libertad de ir y venir y al derecho a la privacidad de los empleados.

En segundo lugar, reafirma su doctrina sobre el despliegue de un dispositivo de videovigilancia que, sin ningún motivo particular, filma constantemente a los empleados en su puesto de trabajo. “La prevención de accidentes laborales y la creación de pruebas no justifican la implementación de una videovigilancia continua de los puestos de trabajo. En estas condiciones, los datos personales procedentes del sistema de videovigilancia no parecen adecuados ni pertinentes”, insiste el regulador, añadiendo que “la vigilancia permanente de los empleados es, salvo excepciones, desproporcionada con respecto a los fines perseguidos”. La CNIL también reafirma que impondrá sanciones periódicamente en el marco del procedimiento simplificado e informará públicamente.