¿Qué es la CNIL y cómo cumplirla?

El 1 de octubre de 2020, la Autoridad de Protección de Datos de Francia (CNIL) publicó una versión revisada de sus directrices de 2019 sobre cookies y tecnologías similares. La versión revisada se publicó para tener en cuenta también la regulación GDPR sobre cookies.

CNIL o Commission Nationale de l'informatique et des libertes (Comisión Nacional de Informática y Libertad) es un organismo regulador administrativo francés que tiene el poder de hacer cumplir las leyes de protección de datos en Francia. La CNIL es responsable de hacer cumplir las tres leyes siguientes en el país.

• Ley francesa de protección de datos
• RGPD
• Directiva de privacidad electrónica

También tiene la facultad de recibir denuncias y dictar multas por la infracción de las leyes.

Si su negocio cae en alguna de las siguientes categorías, debe cumplir con ella.

• Tiene su sede en Francia y territorios franceses en el extranjero.
• Recopila y/o procesa datos personales de ciudadanos y residentes de Francia y territorios franceses en el extranjero

Estos son los mismos principios de aplicabilidad que en el RGPD.

El usuario debe permitir el consentimiento con una acción positiva afirmativa clara (como hacer clic en "Acepto" en un banner de cookies). La inacción del usuario, el desplazamiento o la continuación de la navegación, etc., no pueden tomarse como consentimiento y no se deben colocar cookies en el dispositivo del usuario que no sean las necesarias hasta que se reciba el consentimiento explícito.

Los usuarios deberían poder rechazar las cookies con la misma facilidad con la que las aceptaron en primer lugar.

Los usuarios deberían poder retirar su consentimiento para las cookies fácilmente y en cualquier momento.

Los usuarios deben ser claramente informados de la finalidad de las cookies antes de prestar su consentimiento, así como de las consecuencias de aceptar o rechazar las cookies.

Las empresas que soliciten el consentimiento para las cookies deberán acreditar, en todo momento, la válida recogida del consentimiento libre, informado, específico e inequívoco del usuario.

A continuación se muestra una infografía que le dará una idea rápida de los requisitos de cumplimiento de la CNIL.

Tanto la CNIL como el RGPD tienen requisitos similares cuando se trata de solicitar el consentimiento de los usuarios para la prestación de cookies. Son como se muestran a continuación.

• El consentimiento debe darse libremente. El usuario debe ser libre de elegir si da su consentimiento para las cookies o no.

• El consentimiento debe ser específico. Tiene que obtener el consentimiento para cada propósito de recopilación de datos. Esto significa que si ha obtenido el consentimiento para fines analíticos, necesita un nuevo consentimiento para la recopilación de datos con fines de marketing.

• La solicitud de consentimiento debe ser bien informada. Significa que debe informar al usuario de sus prácticas de privacidad en el momento de la solicitud. Informarles que utiliza cookies y presentarles un enlace a su política de privacidad es una buena práctica.

• El consentimiento debe ser inequívoco. Tienes que mostrar un botón ACEPTAR y RECHAZAR. Mostrar solo el botón ACEPTAR no es suficiente. El usuario debe poder realizar acciones afirmativas en su sitio web.

Aunque pedir el consentimiento explícito es necesario según la CNIL, exime a ciertas cookies de permitirlas sin el consentimiento de los usuarios. A continuación se muestra la lista de cookies exentas de la recogida del consentimiento.

• Cookies destinadas a la autenticación con un servicio
• Cookies utilizadas para recordar los artículos del carrito en un sitio de comercio electrónico
• Determinadas cookies destinadas a generar estadísticas de tráfico
• Cookies que permiten a los sitios de pago limitar el acceso gratuito a una muestra de contenido solicitado por los usuarios
• Cookies que almacenan la elección del consentimiento de los usuarios
• Cookies de personalización de la interfaz de usuario
• Cookies de preferencia de idioma

La CNIL considera que el consentimiento debe provenir exclusivamente de un acto positivo. Por lo tanto, cualquier inacción debe entenderse como una negativa al uso de cookies.

Los siguientes son los dos casos en los que puede configurar cookies en los dispositivos de sus usuarios.

• El usuario ha expresado su consentimiento para las cookies
• Las cookies pertenecen a la categoría exenta (como se indica en la sección anterior)

En principio, es necesario mantener las elecciones expresadas por el usuario, ya sea su consentimiento o su rechazo. Así, mientras navegan por el sitio web, no tendrán que reformular su elección de una página a otra.

En general, por lo tanto, se recomienda guardar la elección expresada por el usuario de Internet para no volver a solicitarla durante un período determinado.

El período de retención de las opciones deberá evaluarse caso por caso (con respecto a la naturaleza del sitio web o la aplicación en cuestión y las especificidades de su audiencia). Generalmente, es una buena práctica mantener las opciones por un período de 6 meses.

Los muros de cookies son diseños de sitios web que requieren que el usuario acepte las cookies antes de poder acceder a los contenidos del sitio web. Mientras que las pautas de 2019 prohíben por completo el uso de muros de cookies. Como resultado del fallo judicial de Francia contra la ley, la CNIL ha editado sus Directrices para establecer que la legalidad de los muros de cookies debe evaluarse caso por caso.

Si se utiliza un muro de cookies, se debe notificar claramente al usuario que es imposible acceder al contenido sin consentimiento. De lo contrario, el panel de cookies o el banner desaparecerán en breve, por lo que no interfiere con el acceso del usuario al contenido ni obliga al usuario a dar su consentimiento.

La CNIL ha presentado tanto directrices como recomendaciones. Las pautas de la CNIL sobre cookies y otros rastreadores le informan sobre la ley aplicable mientras un usuario interactúa con Internet a través de la interfaz de un teléfono inteligente, computadora, tableta, etc.

La recomendación pretende orientar a los profesionales interesados ​​en su proceso de cumplimiento. Ofrece ejemplos de métodos prácticos para obtener el consentimiento según las normas aplicables, pero también para cumplir con los requisitos establecidos en el artículo 82 de la Ley de Protección de Datos.

La CNIL emite una multa contra una organización en caso de infracción del RGPD o la Ley francesa de protección de datos de dos maneras.

• Después de una denuncia o un informe de violación a la CNIL
• Tras una investigación llevada a cabo por la CNIL

En ambos casos, el presidente de la CNIL puede designar un relator entre los comisarios de la CNIL, excepto los miembros del comité restringido, y remitirlo al comité restringido. El comité restringido está compuesto por cinco comisionados de la CNIL y un presidente elegido entre ellos.

Se informa a la organización acusada y se intercambian documentos durante el procedimiento escrito entre el ponente y la organización. El comité restringido luego recibe todos los documentos.

Durante el procedimiento, la organización denunciada podrá ser oída si el ponente lo considera útil. En este caso, un informe escrito confirmará la audiencia.

La sanción puede ser monitoria o no monitoria. En términos de supervisión, la empresa u organización incriminada se verá obligada a pagar una cantidad de hasta el 4 % de la facturación mundial total o hasta 20 millones de libras esterlinas, lo que sea mayor. En términos no monitorios, habrá apercibimiento, amparo con multas coercitivas, etc.

Tal y como había anunciado, estima que el plazo para el cumplimiento de las nuevas normas (que fueron publicadas el pasado 1 de octubre) no debe exceder los seis meses, es decir, a finales de marzo de 2021 a más tardar.

La CNIL realizará entonces auditorías y emprenderá acciones coercitivas. Como siempre, los operadores también deben asegurarse de cumplir tanto con la Directiva de privacidad electrónica como con el Reglamento general de protección de datos.

Puede hacer que el proceso de cumplimiento de la CNIL sea más fácil para su sitio web de WordPress con la ayuda del complemento CookieYes GDPR Cookie Consent and Compliance Notice. El complemento facilita la administración de cookies con su potente conjunto de funciones.

El complemento le proporciona las siguientes características.

• Escaneo automático de cookies: el complemento escanea automáticamente su sitio web en busca de cookies.
• Banner de consentimiento de cookies: puede crear y personalizar un banner de consentimiento para cumplir con los requisitos mencionados en las pautas de las leyes.
• Opción de consentimiento granular: busque el consentimiento explícito para las cookies informando a los usuarios sobre el uso de cada tipo de cookie en su sitio web.
• Registro de consentimiento de cookies: registre el consentimiento de sus usuarios con datos relevantes, como cookies consentidas, fecha, hora, etc.
• Bloqueo automático de secuencias de comandos: puede habilitar el bloqueo de secuencias de comandos de cookies de complementos y servicios de terceros
• Generador de políticas de privacidad: genere fácilmente una política de privacidad/cookies desde cero.

A raíz del nuevo conjunto de directrices presentadas por la CNIL, no le queda mucho tiempo para cumplirlas. Así que comience su viaje de cumplimiento hoy con el complemento de Aviso de cumplimiento y consentimiento de cookies de CookieYes GDPR.