GDPR Audit Guide — Complete CNIL-Ready Documentation

RGPD: El fundamento de la protección de datos en Europa

El Reglamento General de Protección de Datos(RGPD), Reglamento (UE) 2016/679, es la piedra angular del derecho europeo de protección de datos desde el 25 de mayo de 2018. Sustituyó a la Directiva de protección de datos de 1995 y estableció un marco unificado para todos los Estados miembros de la UE. En Francia, la CNIL (Commission Nationale de l'Informatique et des Libertés) es la autoridad de control responsable de su aplicación.

El RGPD se aplica a cualquier organización que trate datos personales de personas situadas en la UE, independientemente del lugar de establecimiento de la organización. Los «datos personales» designan toda información relativa a una persona física identificada o identificable: nombres, direcciones de correo electrónico, direcciones IP, identificadores de cookies, datos de localización, e incluso datos seudonimizados si la reidentificación es posible.

Desde 2018, las autoridades europeas de protección de datos han impuesto más de 4.500 millones de euros en multas. Solo la CNIL ha emitido multas por un total superior a 700 millones de euros, incluyendo decisiones emblemáticas contra Google (150 millones de euros por infracciones del consentimiento de cookies en 2022), Meta (405 millones de euros por el tratamiento de datos de menores en 2023) y Criteo (40 millones de euros en 2023).

Los siete principios clave (Artículo 5)

El Artículo 5 establece los principios fundamentales que rigen todo tratamiento de datos personales. Cada decisión sobre recogida, almacenamiento y uso de datos debe ajustarse a estos principios, y usted debe poder demostrar su cumplimiento (principio de responsabilidad proactiva).

1. Licitud, lealtad y transparencia

Los datos personales deben tratarse de manera lícita (sobre una de las seis bases jurídicas del Artículo 6), leal (sin engaño ni uso inesperado) y transparente (información clara y en lenguaje sencillo proporcionada a los interesados). Las seis bases jurídicas son: consentimiento, ejecución de un contrato, obligación legal, intereses vitales, misión de interés público e intereses legítimos.

En la práctica:Mantenga una política de privacidad que explique en lenguaje claro qué datos recopila, por qué, con qué base jurídica, durante cuánto tiempo los conserva y con quién los comparte. Evite la jerga legal. La CNIL exige que la información de privacidad sea accesible en un máximo de dos clics desde cualquier página.

2. Limitación de la finalidad

Los datos deben recogerse con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines. No puede recoger datos para «análisis» y luego utilizarlos para «publicidad dirigida» sin una base jurídica independiente.

En la práctica:Documente cada finalidad de tratamiento en su registro del Artículo 30. Cuando desee utilizar datos existentes para una nueva finalidad, realice una evaluación de compatibilidad (Artículo 6(4)) u obtenga un nuevo consentimiento.

3. Minimización de datos

Recoja únicamente los datos personales adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Si no necesita la fecha de nacimiento para prestar su servicio, no la recoja.

En la práctica:Audite sus formularios y bases de datos. Elimine los campos que no sean estrictamente necesarios. Cuestione cada dato: «¿Lo necesitamos? ¿Qué ocurre si no lo recogemos?» La CNIL señala específicamente la recogida excesiva de datos en sus hallazgos de auditoría.

4. Exactitud

Los datos personales deben ser exactos y estar actualizados. Los datos inexactos deben suprimirse o rectificarse sin demora. Este principio es crítico cuando los datos se utilizan para la toma de decisiones automatizada o se comparten con terceros.

En la práctica:Proporcione mecanismos sencillos para que los usuarios actualicen sus datos. Implemente controles de calidad de datos. Cuando se le notifiquen inexactitudes, corrija los datos dentro de los plazos establecidos en los Artículos 16 y 19.

5. Limitación del plazo de conservación

Los datos personales deben conservarse en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines del tratamiento. Defina plazos de conservación para cada categoría de datos y aplíquelos.

En la práctica:Cree una política de conservación de datos con plazos específicos para cada categoría. Implemente procesos automatizados de supresión o anonimización. La CNIL publica directrices de conservación por sector (por ejemplo, 3 años después del último contacto para prospección comercial, duración del contrato más plazos legales de conservación para datos de clientes).

6. Integridad y confidencialidad (Seguridad)

Los datos personales deben tratarse de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito, la pérdida accidental, la destrucción o el daño. Esto requiere «medidas técnicas y organizativas apropiadas».

En la práctica:Implemente cifrado (TLS para tránsito, AES-256 para almacenamiento), controles de acceso (RBAC, MFA), auditorías de seguridad periódicas y procedimientos de respuesta a incidentes. La CNIL evalúa las medidas de seguridad durante las auditorías y ha sancionado a organizaciones por hash de contraseñas inadecuado, bases de datos sin cifrar y controles de acceso inexistentes.

7. Responsabilidad proactiva

El responsable del tratamiento debe ser capaz de demostrarel cumplimiento de todos los principios anteriores. No se trata solo de cumplir, sino de poder probarlo. La documentación es fundamental.

En la práctica:Mantenga el registro de actividades de tratamiento del Artículo 30, documente las EIPD, conserve las pruebas de consentimiento, registre las solicitudes de los interesados y las respuestas dadas, documente las medidas de seguridad y conserve las pistas de auditoría. Si no puede demostrarlo, la CNIL lo considerará incumplimiento.

Registro de actividades de tratamiento — Artículo 30

El registro de actividades de tratamiento es el documento más importante del RGPD. Es lo primero que la CNIL solicita en cualquier inspección. El Artículo 30 obliga tanto a los responsables como a los encargados del tratamiento a mantener un registro escrito de sus actividades de tratamiento.

Para cada actividad de tratamiento, el registro debe incluir:

• Nombre y datos de contacto del responsable del tratamiento (y del DPO en su caso)
• Fines del tratamiento
• Categorías de interesados (clientes, empleados, visitantes, etc.)
• Categorías de datos personales (identidad, contacto, financieros, comportamentales, etc.)
• Categorías de destinatarios (departamentos internos, encargados del tratamiento, autoridades públicas)
• Transferencias a terceros países y garantías aplicadas (CCT, decisiones de adecuación)
• Plazos de conservación para cada categoría de datos
• Una descripción general de las medidas de seguridad técnicas y organizativas

Las organizaciones con menos de 250 empleados solo están exentas si su tratamiento es ocasional, no incluye datos sensibles y no es probable que suponga un riesgo para los derechos y libertades de los interesados. En la práctica, prácticamente toda organización que trate datos de clientes a través de un sitio web debe mantener un registro.

Evaluación de Impacto en la Protección de Datos (EIPD) — Artículo 35

Una EIPD es obligatoria cuando un tratamiento «pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas». La CNIL ha publicado una lista de operaciones de tratamiento que requieren una EIPD, entre ellas:

• Tratamiento a gran escala de datos sensibles (datos de salud, biométricos, genéticos)
• Vigilancia sistemática de zonas de acceso público (videovigilancia, seguimiento)
• Toma de decisiones automatizada con efectos jurídicos o similarmente significativos (scoring crediticio, filtrado de contratación)
• Cruce o combinación de conjuntos de datos de diferentes fuentes
• Tratamiento de datos de personas vulnerables (menores, pacientes, empleados)
• Uso innovador de nuevas tecnologías (IA, IoT, biometría)
• Elaboración de perfiles a gran escala
• Tratamientos que impiden a los interesados ejercer un derecho o utilizar un servicio

Una EIPD debe contener: una descripción sistemática de las operaciones de tratamiento y sus fines, una evaluación de la necesidad y proporcionalidad, una evaluación de los riesgos para los derechos y libertades de los interesados, y las medidas previstas para afrontar dichos riesgos. La CNIL ofrece una herramienta gratuita (software PIA) para realizar EIPD.

Derechos de los interesados (Artículos 15-22)

El RGPD otorga ocho derechos a los interesados. Usted debe ser capaz de responder a las solicitudes en un plazo de un mes (ampliable a tres meses para solicitudes complejas), de forma gratuita.

Derecho de acceso (Artículo 15)

Los interesados pueden solicitar confirmación de si sus datos personales están siendo tratados y, en su caso, acceder a los datos e información complementaria (finalidades, categorías, destinatarios, plazos de conservación, origen de los datos). Debe proporcionar una copia de los datos en un formato electrónico de uso común.

Derecho de rectificación (Artículo 16)

Los interesados pueden solicitar la corrección de datos personales inexactos o la complementación de datos incompletos. Debe rectificar los datos sin demora indebida e informar a cualquier destinatario al que se hayan comunicado los datos.

Derecho de supresión (Artículo 17)

También conocido como «derecho al olvido». Los interesados pueden solicitar la supresión de sus datos cuando: los datos ya no son necesarios, se retira el consentimiento, se oponen al tratamiento, los datos han sido tratados ilícitamente o la supresión es exigida por ley. Se aplican excepciones para obligaciones legales, interés público y acciones judiciales.

Derecho a la limitación del tratamiento (Artículo 18)

Los interesados pueden solicitar que el tratamiento se limite (datos conservados pero no utilizados) mientras se impugna la exactitud, el tratamiento es ilícito o han ejercido su derecho de oposición a la espera de verificación.

Derecho a la portabilidad de los datos (Artículo 20)

Los interesados pueden solicitar sus datos personales en un formato estructurado, de uso común y lectura mecánica (JSON, CSV) y que se transmitan directamente a otro responsable del tratamiento cuando sea técnicamente posible. Este derecho se aplica únicamente a los datos facilitados por el interesado y tratados de forma automatizada sobre la base del consentimiento o un contrato.

Derecho de oposición (Artículo 21)

Los interesados pueden oponerse al tratamiento basado en intereses legítimos o una misión de interés público, incluida la elaboración de perfiles. Para fines de mercadotecnia directa, el derecho de oposición es absoluto — no se requiere ningún test de ponderación.

Derecho a no ser objeto de decisiones automatizadas (Artículo 22)

Los interesados tienen derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o les afecte de manera significativamente similar. Existen excepciones para la ejecución de un contrato, la autorización legal y el consentimiento explícito, pero deben existir garantías (intervención humana, derecho a impugnar).

Derecho a la información (Artículos 13-14)

El fundamento de la transparencia: los interesados deben ser informados en el momento de la recogida de datos sobre la identidad del responsable, las finalidades, la base jurídica, los destinatarios, los plazos de conservación, sus derechos y si la aportación de datos es una exigencia legal o contractual.

Infracciones frecuentes del RGPD y sanciones

Las infracciones más frecuentemente sancionadas por la CNIL incluyen:

• Consentimiento de cookies no conforme (150 M EUR Google, 60 M EUR Facebook, 2022): El consentimiento debe ser tan fácil de rechazar como de aceptar. Las casillas premarcadas y los dark patterns están prohibidos.
• Base jurídica inadecuada para el tratamiento (405 M EUR Meta, 2023): El uso de la «ejecución de un contrato» como base jurídica para la publicidad comportamental fue rechazado.
• Medidas de seguridad insuficientes (1,5 M EUR Dedalus Biologie, 2022): Almacenamiento de contraseñas en texto plano, controles de acceso inadecuados y ausencia de cifrado son hallazgos frecuentes.
• Conservación excesiva de datos (800.000 EUR Carrefour, 2020): La conservación de datos de clientes durante más de 4 años tras la última interacción infringió la limitación del plazo de conservación.
• Falta de respuesta a solicitudes de los interesados (numerosas multas menores): No responder en el plazo de un mes desencadena medidas coercitivas.
• Notificación insuficiente de violaciones de datos (Artículo 33): No notificar a la CNIL en las 72 horas siguientes al conocimiento de una violación de datos personales.

Medidas técnicas de cumplimiento

La CNIL evalúa las medidas de seguridad técnicas en el marco del principio de «integridad y confidencialidad». Los requisitos técnicos clave incluyen:

• Cifrado en tránsito: TLS 1.2 como mínimo (TLS 1.3 recomendado) para todas las conexiones. Cabecera HSTS con max-age mínimo de 12 meses.
• Cifrado en reposo: AES-256 para bases de datos que contengan datos personales. Procedimientos de gestión de claves documentados.
• Seguridad de contraseñas: Hash bcrypt, scrypt o Argon2. Mínimo 12 caracteres. Bloqueo de cuenta tras intentos fallidos. La CNIL publicó directrices actualizadas sobre contraseñas en 2022 (Deliberación 2022-100).
• Control de acceso: Control de acceso basado en roles (RBAC). Principio de privilegio mínimo. MFA para acceso administrativo. Revisiones de acceso periódicas.
• Registro de actividades: Eventos de autenticación, accesos a datos personales, modificaciones de datos. Conservación de registros alineada con las necesidades de seguridad (mínimo 6 meses). Ningún dato personal en los registros.
• Detección de violaciones de datos: Sistemas de detección de intrusiones. Detección de anomalías. Capacidad de notificación en 72 horas. Procedimiento de respuesta a violaciones.

Primeros pasos en el cumplimiento del RGPD

El cumplimiento del RGPD no es un proyecto puntual, sino un proceso continuo. Para las organizaciones que inician su camino hacia el cumplimiento, el enfoque recomendado es:

1. Mapee sus datos:Identifique qué datos personales recopila, dónde se almacenan, quién tiene acceso y durante cuánto tiempo los conserva. Esto se convertirá en su registro del Artículo 30.
2. Evalúe sus bases jurídicas:Para cada actividad de tratamiento, determine la base jurídica. El consentimiento requiere especial atención: debe ser libre, específico, informado e inequívoco.
3. Asegure sus datos:Realice una auditoría de seguridad para identificar lagunas técnicas: cifrado faltante, autenticación débil, registro insuficiente. Muchos de estos problemas pueden detectarse automáticamente.
4. Docúmentelo todo:El principio de responsabilidad proactiva exige documentación. Cree plantillas para políticas de privacidad, contratos de encargo del tratamiento, notificaciones de violación y respuestas a solicitudes de los interesados.

CNIL Audit Preparation Checklist

The CNIL can conduct four types of audits: on-site inspections, online (remote technical) checks, document-based requests, and formal hearings. Here is what you need to have ready: