El nuevo panorama de la protección de datos en Francia
La Ley francesa n.º 2018-493 de 20 de junio de 2018 o la FDPA para abreviar es una ley de privacidad de datos que se aprobó recientemente en Francia. Dado que Francia es un Estado miembro de la UE, la Ley francesa n.º 2018-493 de 20 de junio de 2018 incorpora las disposiciones del Reglamento general de protección de datos (RGPD ) a la legislación francesa. Como tal, tanto la Ley francesa N ° 2018-493 de 20 de junio de 2018 como la ley GDPR de la UE esbozan el marco legal para el cual los datos personales pueden ser recopilados y procesados dentro de Francia. Además, ambos textos legislativos también establecen las posibles sanciones a las que se enfrentan los responsables y encargados del tratamiento de datos en caso de vulnerar los derechos de los ciudadanos franceses en materia de protección de datos.
¿Cuál es el alcance y la aplicación de la Ley francesa n.º 2018-493, de 20 de junio de 2018?
En cuanto al ámbito de aplicación y aplicación de la Ley francesa n.º 2018-493, de 20 de junio de 2018, el ámbito de aplicación personal de la ley se aplica a todas las personas físicas o jurídicas, ya sean públicas o privadas, que recopilen o traten datos personales en Francia, siempre que dichas actividades de recopilación o tratamiento se refieran a datos personales. Además, en lo que respecta al ámbito de aplicación territorial de la ley, ésta también se aplica a “los tratamientos de datos de carácter personal efectuados en el marco de las actividades de un establecimiento de un responsable o de un encargado del tratamiento en el territorio francés, independientemente de que el tratamiento tenga lugar o no en Francia.” Además, el ámbito de aplicación material de la ley al “tratamiento automatizado de datos personales y al tratamiento no automatizado de datos personales contenidos o destinados a figurar en ficheros.”
Cuáles son los requisitos de los controladores y procesadores de datos en virtud de la Ley francesa n.º 2018-493 de 20 de junio de 2018?
Dado que la Ley francesa n.º 2018-493 de 20 de junio de 2018 se aprobó con el fin de aplicar la ley GDPR de la UE en la legislación francesa, los requisitos de los controladores y procesadores de datos permanecen en gran medida sin cambios. Hasta este punto, los controladores y procesadores de datos dentro de Francia deben adherirse a los principios de protección de datos que fueron establecidos por la ley GDPR de la UE, que incluyen, entre otros, la legalidad, imparcialidad y transparencia del procesamiento de datos, así como la integridad y confidencialidad de los datos personales que se procesan. Sin embargo, hay algunas variaciones entre las dos leyes en lo que se refiere a los requisitos de los controladores y procesadores de datos. Por ejemplo, la ley impone ciertas restricciones a las transferencias de datos, estableciendo que dichas transferencias sólo pueden tener lugar en las siguientes circunstancias:
- Para el tratamiento de datos personales por las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales; y
- Para el tratamiento relativo a la seguridad y defensa del Estado.
Lo que es más, mientras que la ley GDPR de la UE ordena que los controladores y procesadores de datos lleven a cabo Evaluaciones de Impacto de Protección de Datos o DPIA antes de recopilar o procesar datos personales, la Ley francesa N ° 2018-493 del 20 de junio de 2018 define aún más los requisitos para dichos DPIA. Con este fin, la autoridad francesa de protección de datos o la CNIL para abreviar publicó una “Lista negra” que esbozaba las diferentes actividades de procesamiento de datos que estaban sujetas a los requisitos de DPIA. Las actividades incluidas en dicha “Lista Negra” son, entre otras, ” los tratamientos de datos de salud efectuados por establecimientos sanitarios o médico-sociales para el cuidado de personas, los tratamientos destinados a controlar permanentemente la actividad de los empleados implicados y los tratamientos que impliquen la elaboración de perfiles de personas que puedan dar lugar a su exclusión del beneficio de un contrato, o a su suspensión o ruptura”.
Cuáles son los derechos de los ciudadanos franceses en virtud de la Ley francesa n.º 2018-493 de 20 de junio de 2018?
De conformidad con la ley GDPR de la UE, los ciudadanos franceses tienen los siguientes derechos en virtud de la Ley francesa n.º 2018-493 de 20 de junio de 2018:
- El derecho a ser informado.
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de supresión.
- Derecho de oposición o exclusión voluntaria.
- Derecho a la portabilidad de los datos.
- Derecho a la limitación del tratamiento.
- Derechos relativos a las personas fallecidas.
En cuanto a las sanciones y castigos que pueden imponerse a los responsables y encargados del tratamiento de datos que incumplan la ley, la Ley francesa n.º 2018-493, de 20 de junio de 2018, es aplicada por la CNIL. Como tal, la CNIL tiene la autoridad para imponer una variedad de sanciones contra individuos y organizaciones que violan los derechos de los ciudadanos franceses. Dichas sanciones incluyen un requerimiento para cumplir el RGPD y la FDPA, así como una multa de hasta 100 000 euros (113 265 dólares) por cada día que un responsable o encargado del tratamiento incumpla dicho requerimiento, así como una orden de suspensión temporal o permanente de la recogida y el tratamiento de datos personales. Además, la ley también otorga a los ciudadanos franceses el derecho a solicitar “un procedimiento de indemnización individual en relación con las acciones colectivas (artículo 37 de la ley)”.
Gracias a las disposiciones de la ley GDPR de la UE y la FDPA, los ciudadanos franceses pueden estar seguros de que sus datos personales están protegidos en todo momento. Mediante el establecimiento de estas leyes, los responsables y encargados del tratamiento que hagan un uso indebido de los datos personales de los ciudadanos franceses están sujetos a sanciones muy estrictas. Esto es particularmente cierto en lo que respecta a las demandas colectivas relativas a la FDPA, ya que tales disposiciones no son comunes en las leyes de privacidad fuera del ámbito de los EE.UU. Como tal, Francia está en muchos liderando el camino para la protección de datos en términos de estados miembros específicos de la UE, ya que el país ha tomado medidas de gran alcance para garantizar que la privacidad personal de sus respectivos ciudadanos está protegida al más alto nivel.