CNIL Commission nationale de l'informatique et des libertés.

La CNIL es la autoridad francesa de protección de datos, fundada en 1978. Aplica el GDPR en Francia, emite decisiones vinculantes y sanciones, publica directrices (cookies, biometría, IA) y gestiona la herramienta PIA. Es una de las autoridades de control más activas de la UE; sus decisiones sientan precedente a escala europea.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyStandards bodiesAll entries

La perspectiva de Cyber Academy

La CNIL es la autoridad francesa de protección de datos, fundada en 1978. Aplica el GDPR en Francia, emite decisiones vinculantes y sanciones, publica directrices (cookies, biometría, IA) y gestiona la herramienta PIA. Es una de las autoridades de control más activas de la UE; sus decisiones sientan precedente a escala europea.

La CNIL es la autoridad de control que convierte el derecho europeo de protección de datos en consecuencias concretas dentro de Francia. Es anterior al RGPD en varias décadas, razón por la cual su cometido va más allá de la mera sanción: asesora al gobierno sobre los proyectos de ley, acredita y audita, difunde orientación dirigida al público y actúa como punto de contacto único tanto para los interesados que presentan reclamaciones como para los responsables del tratamiento que notifican violaciones. Para una organización francesa, la CNIL es la cara práctica del cumplimiento. Es el organismo que responde a sus preguntas, el que le inspecciona y el que decide si un problema termina en una advertencia o en una multa.

Qué hace realmente la CNIL

Entienda la CNIL como cuatro funciones que se solapan, más que como un único regulador. Primero, produce orientaciones que se convierten en la referencia operativa en Francia: sus normas sobre cookies, sus marcos sobre biometría y contratación, y sus tomas de posición sobre inteligencia artificial se leen como lo que es una buena práctica, incluso allí donde el texto del RGPD es general.

Segundo, conduce el diálogo de supervisión, gestionando reclamaciones, controlando a las organizaciones mediante revisión documental e inspección in situ, y emitiendo requerimientos formales de cumplimiento. Tercero, sanciona, con la potestad de imponer medidas correctoras vinculantes y multas administrativas. Cuarto, dota a los profesionales de herramientas, la más visible el software PIA utilizado para estructurar una evaluación de impacto relativa a la protección de datos.

La mayoría de los responsables del tratamiento nunca ven la versión de la CNIL de las multas que ocupan titulares. Ven la versión del diálogo: una solicitud de documentos, una pregunta sobre la base jurídica, un requerimiento formal que fija un plazo para corregir algo. Poner en orden su registro de actividades de tratamiento, sus evaluaciones de impacto y sus disposiciones relativas al DPO es lo que mantiene la interacción en ese registro más moderado.

CNIL, RGPD y la ventanilla única de la UE

La CNIL no escribe la ley que hace cumplir. El RGPD es el reglamento; la CNIL es una de las autoridades de control nacionales que lo aplican. Esa distinción importa para el tratamiento transfronterizo. Bajo el mecanismo de ventanilla única, una organización con su establecimiento principal en Francia trata principalmente con la CNIL como autoridad principal, y la CNIL se coordina con otras autoridades europeas a través de los procedimientos de cooperación y coherencia en lugar de actuar de forma aislada.

Para el tratamiento puramente nacional, la CNIL actúa por su cuenta. La CNIL es además una de las autoridades más activas de la UE, por lo que su razonamiento y sus decisiones sancionadoras se estudian mucho más allá de Francia como indicación de hacia dónde se dirige la aplicación europea.

Aquí es también donde los roles que la rodean encajan en su sitio. El RGPD crea obligaciones; el DPO es el rol dentro de la organización que supervisa el cumplimiento y sirve de punto de contacto con la autoridad; la CNIL es la autoridad al otro extremo de ese contacto. Un profesional capaz de explicar cómo se relacionan esos tres rara vez es el que queda en evidencia durante una inspección.

Qué hacen los profesionales con la CNIL

En la práctica, trabajar bien con la CNIL es sobre todo preparación más que reacción. Los hábitos concretos son constantes en las organizaciones francesas maduras.

  • Relacione la orientación actual de la CNIL con su propio tratamiento, en especial cookies, biometría, contratación y cualquier decisión basada en IA, y mantenga esa relación actualizada.
  • Mantenga las pruebas de responsabilidad proactiva que la CNIL pide ver primero: el registro de actividades de tratamiento, las evaluaciones de impacto realizadas y la base documentada de cada finalidad del tratamiento.
  • Utilice la herramienta PIA de la CNIL para estructurar las evaluaciones de impacto de modo que el resultado hable el propio lenguaje de la autoridad.
  • Conozca de antemano su vía de notificación de violaciones, para que un incidente notificable se convierta en un proceso en lugar de en una carrera contrarreloj.
  • Trate un requerimiento formal como un proyecto marcado por un plazo, no como una negociación, y documente cada paso que da para cumplir.

Nada de esto es exótico. Es la misma disciplina de responsabilidad proactiva que exige el RGPD, organizada de modo que el único organismo con más probabilidades de pedirla pueda recibir respuesta de forma rápida y creíble.

Frequently asked questions

01¿Es la CNIL lo mismo que el RGPD?

No. El RGPD es el reglamento europeo; la CNIL es la autoridad nacional francesa que lo hace cumplir. La CNIL aplica la ley, emite orientaciones, inspecciona organizaciones y puede imponer multas, pero no escribe el reglamento en sí.

02¿Toda empresa francesa trata directamente con la CNIL?

Toda organización que trate datos personales en Francia está bajo la jurisdicción de la CNIL. Para el tratamiento transfronterizo dentro de la UE, el mecanismo de ventanilla única implica que una organización suele relacionarse con una sola autoridad principal, que es la CNIL cuando Francia es su establecimiento principal.

03¿Qué es la herramienta PIA de la CNIL?

Es un software gratuito que la CNIL publica para ayudar a las organizaciones a realizar y estructurar una evaluación de impacto relativa a la protección de datos. Usarlo produce una evaluación presentada en el formato que la propia CNIL espera.

04¿Por qué los profesionales fuera de Francia siguen las decisiones de la CNIL?

La CNIL es una de las autoridades de control más activas de la UE, por lo que sus decisiones sancionadoras y su orientación a menudo señalan cómo evolucionará la aplicación europea y se citan como precedente mucho más allá de Francia.

05¿Solo importa la CNIL cuando hay una reclamación o una multa?

No. La mayor parte de la interacción con la CNIL es el diálogo de supervisión: preguntas, solicitudes de documentos y requerimientos formales de cumplimiento. Mantener en orden los registros, las evaluaciones de impacto y las disposiciones relativas al DPO es lo que evita que ese diálogo se agrave.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.