A perspetiva da Cyber Academy
A CNIL é a autoridade francesa de proteção de dados, criada em 1978. Aplica o GDPR em França, emite decisões vinculativas e coimas, publica orientações (cookies, biometria, IA) e disponibiliza a ferramenta PIA. É uma das autoridades de supervisão mais ativas da UE; as suas decisões estabelecem frequentemente precedentes a nível europeu.
A CNIL é a autoridade de controlo que transforma o direito europeu da proteção de dados em consequências concretas dentro de França. É anterior ao RGPD em várias décadas, razão pela qual a sua competência vai além da mera aplicação coerciva: aconselha o governo sobre projetos de lei, acredita e audita, divulga orientação dirigida ao público e atua como ponto de contacto único, tanto para os titulares dos dados que apresentam reclamações como para os responsáveis pelo tratamento que notificam violações. Para uma organização francesa, a CNIL é o rosto prático da conformidade. É o organismo que responde às suas perguntas, o que o inspeciona e o que decide se um problema termina num aviso ou numa coima.
O que a CNIL faz na realidade
Encare a CNIL como quatro funções que se sobrepõem, mais do que como um único regulador. Em primeiro lugar, produz orientação que se torna a referência operacional em França: as suas regras sobre cookies, os seus quadros sobre biometria e recrutamento, e as suas tomadas de posição sobre inteligência artificial são lidos como aquilo que constitui boa prática, mesmo onde o texto subjacente do RGPD é geral.
Em segundo lugar, conduz o diálogo de supervisão, tratando reclamações, controlando organizações por meio de análise documental e inspeção no local, e emitindo notificações formais para cumprir. Em terceiro lugar, sanciona, com o poder de impor medidas corretivas vinculativas e coimas administrativas. Em quarto lugar, dota os profissionais de ferramentas, sendo a mais visível o software PIA utilizado para estruturar uma avaliação de impacto sobre a proteção de dados.
A maioria dos responsáveis pelo tratamento nunca vê a versão da CNIL feita de coimas que ocupam manchetes. Veem a versão do diálogo: um pedido de documentos, uma pergunta sobre o fundamento jurídico, uma notificação formal que fixa um prazo para corrigir algo. Pôr em ordem o seu registo das atividades de tratamento, as suas avaliações de impacto e as suas disposições relativas ao DPO é o que mantém uma interação nesse registo mais moderado.
CNIL, RGPD e o balcão único da UE
A CNIL não escreve a lei que faz aplicar. O RGPD é o regulamento; a CNIL é uma das autoridades de controlo nacionais que o aplicam. Essa distinção importa para o tratamento transfronteiriço. No âmbito do mecanismo de balcão único, uma organização com o seu estabelecimento principal em França lida principalmente com a CNIL enquanto autoridade principal, e a CNIL coordena-se com outras autoridades europeias através dos procedimentos de cooperação e coerência, em vez de atuar isoladamente. Para o tratamento puramente nacional, a CNIL atua por conta própria. A CNIL está também entre as autoridades mais ativas da UE, pelo que o seu raciocínio e as suas decisões sancionatórias são estudados muito para além de França como indicação da direção que a aplicação coerciva europeia está a tomar.
É também aqui que os papéis em torno dela se encaixam no lugar. O RGPD cria obrigações; o DPO é o papel dentro da organização que monitoriza a conformidade e serve de ponto de contacto com a autoridade; a CNIL é a autoridade do outro lado desse contacto. Um profissional capaz de explicar como esses três se relacionam raramente é aquele que é apanhado em falta durante uma inspeção.
O que os profissionais fazem com a CNIL
Na prática, trabalhar bem com a CNIL é sobretudo preparação, mais do que reação. Os hábitos concretos são constantes nas organizações francesas maduras.
- Faça corresponder a orientação atual da CNIL ao seu próprio tratamento, em especial cookies, biometria, recrutamento e quaisquer decisões impulsionadas por IA, e mantenha essa correspondência atualizada.
- Mantenha as provas de responsabilização que a CNIL pede para ver primeiro: o registo das atividades de tratamento, as avaliações de impacto concluídas e o fundamento documentado de cada finalidade de tratamento.
- Utilize a ferramenta PIA da CNIL para estruturar as avaliações de impacto, de modo que o resultado fale a própria linguagem da autoridade.
- Conheça antecipadamente o seu percurso de notificação de violações, para que um incidente notificável se torne um processo, em vez de uma correria.
- Trate uma notificação formal como um projeto orientado por um prazo, não como uma negociação, e documente cada passo que dá para cumprir.
Nada disto é exótico. É a mesma disciplina de responsabilização que o RGPD exige, organizada de modo que o único organismo com maior probabilidade de a pedir possa obter resposta de forma rápida e credível.
Frequently asked questions
01A CNIL é a mesma coisa que o RGPD?
Não. O RGPD é o regulamento europeu; a CNIL é a autoridade nacional francesa que o faz aplicar. A CNIL aplica a lei, emite orientação, inspeciona organizações e pode impor coimas, mas não escreve o regulamento em si.
02Toda a empresa francesa lida diretamente com a CNIL?
Toda a organização que trate dados pessoais em França está sob a jurisdição da CNIL. Para o tratamento transfronteiriço dentro da UE, o mecanismo de balcão único significa que uma organização normalmente se relaciona com uma única autoridade principal, que é a CNIL quando França é o seu estabelecimento principal.
03O que é a ferramenta PIA da CNIL?
É um software gratuito que a CNIL publica para ajudar as organizações a realizar e estruturar uma avaliação de impacto sobre a proteção de dados. Utilizá-lo produz uma avaliação apresentada no formato que a própria CNIL espera.
04Porque é que os profissionais fora de França seguem as decisões da CNIL?
A CNIL é uma das autoridades de controlo mais ativas da UE, pelo que as suas decisões sancionatórias e a sua orientação sinalizam frequentemente como a aplicação coerciva europeia se irá desenvolver e são citadas como precedente muito para além de França.
05A CNIL só importa quando há uma reclamação ou uma coima?
Não. A maior parte da interação com a CNIL é o diálogo de supervisão: perguntas, pedidos de documentos e notificações formais para cumprir. Manter em ordem os registos, as avaliações de impacto e as disposições relativas ao DPO é o que impede esse diálogo de se agravar.