La autoridad de control de Francia, CNIL, ha emitido una serie de requerimientos por mala gestión de una base de datos que contenía huellas dactilares.
La CNIL ha emitido una serie de requerimientos contra el Ministerio de Interior por supuesto almacenamiento ilegítimo de datos, mala gestión de archivos e incumplimiento del deber de transparencia en relación a la información que debía proporcionar a los interesados. El Fichero Automatizado de Huellas Dactilares, creado en 1987 y que contiene huellas dactilares y huellas de la mano de personas implicadas en investigaciones, había acumulado información de 6,2 millones de sujetos. Muchos de estos archivos deberían haberse eliminado por diversas razones y sin embargo continuaban disponibles.
La CNIL ha acusado al Ministro de Interior de almacenar datos de forma ilegítima y transcurrido el período de retención.
Según el informe de Euractiv, la CNIL acusó el mes pasado al Ministerio de Interior por almacenar datos que no estaban previstos en la normativa. En función de la gravedad y la naturaleza de la ofensa, dicha información puede almacenarse durante 10, 15 o 20 años y tiene que eliminarse en caso de absolución, sobreseimiento, desistimiento o similar. Sin embargo, en su investigación de 2019, la CNIL identificó más de dos millones de registros cuyo plazo de retención máximo ya había sido alcanzado. Además, el Ministerio guardaba también varios millones de archivos de manera manual sin base legítima para ello, a pesar de los esfuerzos de digitalización de los años anteriores. En consecuencia, la CNIL ha solicitado que se eliminen alrededor de siete millones de archivos manuales aunque no haya transcurrido el período de retención
Los requerimientos de la CNIL también hacen referencia a materias relativas a la seguridad y la difusión de información.
Uno de los problemas que ha destacado la CNIL es el hecho de que la policía podía acceder a archivos que contenían información biométrica junto a otros datos personales con una contraseña de únicamente ocho caracteres. La autoridad de control consideró por tanto que los datos no se encontraban protegidos de manera suficiente. Además, conforme a las leyes de Francia, los sujetos cuya información se trate de esta forma deben ser informados de la finalidad del tratamiento y también de la parte o las partes responsables del mismo, lo cual deberá hacerse en el momento de la recogida de los datos o en el momento de la resolución.
La CNIL ha otorgado al Ministerio de Interior un plazo para tomar las medidas correctivas correspondientes.
A fecha de julio de este año, el Estado había notificado a la CNIL que se habían eliminado más de tres millones de tarjetas en cumplimiento con los períodos de retención indicados por la normativa. Sin embargo, en lo que concierne a los archivos guardados de forma manual, la CNIL rechazó el período de cuatro años recomendado en observación del tiempo transcurrido, la duración de la brecha y la naturaleza de los datos afectados, y ordenó que su eliminación se hubiese completado para el 31 de diciembre de 2022. En relación al resto de materias, la fecha límite otorgada por la CNIL es el 31 de diciembre de 2021. Conforme a la normativa, no se pueden imponer multas al Estado.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.
