La autoridad francesa de protección de datos (CNIL) ha impuesto una sanción de 1,7 millones de euros a Nexpública France por no haber implementado medidas de seguridad adecuadas en un software de gestión de la relación con usuarios utilizado en el ámbito social. El sistema afectado trataba datos especialmente sensibles, incluidos datos vinculados a situaciones de vulnerabilidad social y discapacidad, lo que incrementaba de forma significativa el nivel de riesgo para los derechos de los interesados.
La CNIL concluye que el responsable no había aplicado medidas técnicas y organizativas básicas exigibles conforme al artículo 32 del RGPD, permitiendo la exposición indebida de información de especial delicadeza. El interés del caso no reside únicamente en la cuantía de la sanción, sino en el énfasis del regulador en la llamada “seguridad básica”, es decir, en la exigencia de controles elementales que cualquier proveedor que opere con datos sensibles debe garantizar con independencia del tamaño de la organización o del carácter público o social del servicio prestado.
Desde una perspectiva empresarial, la resolución es especialmente relevante para proveedores tecnológicos que desarrollan o gestionan soluciones en verticales sensibles (servicios sociales, salud, dependencia, educación o sector público). La CNIL recuerda que estos actores no solo asumen riesgos sancionadores directos, sino también un elevado impacto reputacional y contractual, ya que la falta de diligencia en seguridad puede comprometer relaciones con administraciones públicas y grandes clientes institucionales.
En definitiva, el caso refuerza la idea de que el tratamiento de datos especialmente protegidos exige un nivel de seguridad reforzado y verificable, y que la ausencia de medidas mínimas puede ser considerada una infracción grave, incluso sin que se acredite un uso indebido posterior de los datos.
Resumen de la noticia y del contenido de la resolución en inglés: https://www.cnil.fr/en/data-security-nexpublica-france-fined-eur1700000
