RGPD : la jurisprudence se précise !

RGPD: ¡la jurisprudencia es cada vez más clara!

RGPD: ¡la jurisprudencia es cada vez más clara! La CNIL ya se había distinguido al imponer una multa récord de 50 millones de euros a Google en enero pasado por no informar a sus clientes cuando utilizaban Android, una multa confirmada en junio por el Consejo de Estado.

Hoy, Carrefour Francia y Carrefour Banque han sido multados con 2.250.000 y 800.000 euros respectivamente por la Autoridad de Protección de Datos francesa.

Si bien la CNIL ya ha tomado numerosas medidas represivas desde la entrada en vigor del RGPD, la deliberación del 18 de noviembre nos dice un poco más sobre su evaluación de las violaciones de la ley y las razones que guían sus decisiones.

Factores desencadenantes de una investigación

Por lo general, la CNIL inicia una investigación ya sea a raíz de la presentación de una denuncia o de un informe específico, o por iniciativa propia en el marco de sus misiones de vigilancia.

En este último caso, los controles alcanzarán de forma más amplia a los responsables de un sector previamente identificado. 

La CNIL ha definido en su estrategia de control para 2020 varias prioridades que serán objeto de verificaciones más profundas: datos de salud, geolocalización para servicios locales, así como cookies y otros rastreadores.

En este caso, las dos empresas Carrefour France y Carrefour Banque fueron objeto de una investigación tras la presentación de 15 denuncias ante la CNIL entre junio de 2018 y abril de 2019.

Estas denuncias se referían a prácticas de prospección comercial y a la falta de respeto de los derechos de acceso y supresión de datos.

La CNIL realizó varias comprobaciones en línea en los locales de las empresas e inició una investigación formal a finales de enero de 2019.

El procedimiento contradictorio dio lugar a varios intercambios de observaciones entre la empresa y el ponente de la CNIL, que culminaron en su deliberación oficial el 18 de noviembre.

 

Razones de la decisión

La CNIL detecta incumplimientos de numerosos artículos del RGPD:

  • La obligación de informar a las personas (artículo 13 del RGPD)

La información proporcionada a las personas sobre el tratamiento de sus datos era de difícil acceso, incompleta y se encontraba sepultada en largos textos sobre otros temas.

La CNIL critica el uso de términos demasiado vagos: El uso, casi sistemático (…), de términos como "estos tratamientos incluyen en particular, por una o más de las siguientes razones" O “sus datos pueden ser utilizados” no permitan a los interesados comprender plenamente el tratamiento realizado.

  • Cookies (artículo 82 de la Ley de Protección de Datos)

Al llegar al sitio web, a cada visitante se le presentaban 39 cookies antes incluso de tener la oportunidad de aceptarlas o rechazarlas.

Tres de estas cookies pertenecían a la solución Google Analytics, con el objetivo de orientar la publicidad a los usuarios de Internet.

Por lo tanto, los datos de los visitantes del sitio web Carrefour.fr se recopilaron en violación del artículo 82 de la Ley de Protección de Datos.

Para más información sobre el seguimiento de los internautas, la CNIL publicó una actualización de sus directrices el 1 de octubre.

  • Plazo de conservación de los datos (artículo 5.1.e del RGPD)

La CNIL considera que el período de conservación de los datos de los clientes (4 años) es excesivo: un cliente que no realiza operaciones con la empresa durante varios años ya no debería considerarse un cliente activo. 

La Comisión se remite a su doctrina en la materia que recomienda un periodo máximo de conservación de tres años: cita la antigua norma simplificada nº 48 relativa a los ficheros de clientes potenciales y a las ventas en línea, y su reciente proyecto de marco de referencia relativo al tratamiento de datos personales aplicado a los fines de gestión de actividades comerciales.

  • Ejercicio de derechos (artículo 12 del RGPD)

El procedimiento aplicado por Carrefour Francia exigía a los solicitantes una prueba de identidad en los casos en que ésta no era necesaria porque se había establecido la identidad de los clientes.

Además, en varios casos los tiempos de tramitación de las solicitudes superaron los requisitos legales.

  • Respeto de los derechos (artículos 15, 17 y 21 del RGPD y L34-5 del Código de las Comunicaciones Postales y Electrónicas)

La CNIL ha detectado varios casos de falta de respuesta a las solicitudes de acceso, oposición y supresión de datos de los denunciantes.

  • Obligación de tratar los datos de forma leal (artículo 5 del RGPD)

Ciertos datos (dirección postal, número de teléfono, número de hijos) comunicados durante la suscripción en línea a una tarjeta de crédito Carrefour (tarjeta Pass) fueron transmitidos al programa de fidelización Carrefour, en contradicción con la información proporcionada a las personas interesadas.

  • Violación de la seguridad (artículo 32 del RGPD)

La CNIL ha detectado finalmente una vulnerabilidad que permite el acceso en línea a las facturas de clientes y subraya que la medida puesta en marcha, es decir, la adición de una cadena de caracteres aleatorios, no es suficiente por sí sola para paliar dicha vulnerabilidad.

La CNIL recuerda que la ANSSI viene advirtiendo de esta vulnerabilidad vinculada a las direcciones URL desde 2013.

Se debería haber implementado un sistema de autenticación previa obligatoria tras el descubrimiento de la vulnerabilidad.

Esfuerzos de cumplimiento y sanciones apropiadas

Las empresas cooperaron con la CNIL durante el procedimiento y tomaron todas las medidas necesarias para que el tratamiento de sus datos se ajustara a la ley.

Si bien la CNIL destaca esta cooperación, no deja de sancionar a los responsables, debido a la gravedad de las violaciones: se trata de deficiencias graves y afectan a un número importante de personas.

Sin embargo, todavía estamos lejos de la pena máxima que la CNIL podría haber impuesto, que asciende a 4% de volumen de negocios. 

Para calcular este volumen de negocios, que sirve de base para el cálculo de la base de la multa, la CNIL identifica en primer lugar la empresa de que se trate.

Considera que, para apreciar el concepto de empresa de conformidad con los artículos 101 y 102 del TFUE, procede tener en cuenta el volumen de negocios realizado por la empresa CARREFOUR FRANCE y por las filiales que posee y que se han beneficiado del tratamiento. 

El volumen de negocio de esta empresa (…) asciende en 2019 a 14.900 millones de euros.

La formación restringida de la CNIL tiene en cuenta, sin embargo, la naturaleza específica del modelo económico de la gran distribución, caracterizado por una rotación particularmente elevada pero con márgenes reducidos. 

Estos elementos le llevaron a decidir imponer una multa de 2.250.000 euros a Carrefour Francia y de 800.000 euros a Carrefour Banque.

La gravedad de las infracciones justifica también la publicidad de la decisión y constituye un medio de informar a los numerosos interesados.

Remedios

La decisión de la CNIL constituye un acto de autoridad administrativa, susceptible de recurso ante el Consejo de Estado en el plazo de dos meses a partir de su notificación. 

Y también

Francia:

  • El evento organizado por la CNIL el 23 de noviembre sobre el portabilidad de datos Está disponible en línea en el sitio web de la autoridad.
  • Para concienciar a los municipios e intermunicipios sobre los riesgos —muy reales— de los ciberataques, la ANSSI publica un Guía sobre cuestiones de ciberseguridadEsta guía tiene como objetivo convencer a los funcionarios electos para que inviertan en el desarrollo de la protección de sus sistemas de información.

Europa:

  • La autoridad belga de protección de datos llegó a un acuerdo el 26 de noviembre Memorando de entendimiento con DNS Bélgica suspender los nombres de dominio “.be” de los sitios que violen el RGPD.
  • Antes del 8 de enero, la Comisión Europea decidirá sobre laGoogle adquiere FitBit, una adquisición que plantea interrogantes en materia de protección de datos y competencia.
  • La Comisión Europea publicó el 12 de noviembre su proyecto de cláusulas contractuales tipo, un proyecto que estará abierto a comentarios durante cuatro semanas.

Esta versión revisada tiene como objetivo remediar las consecuencias de la ahora famosa sentencia Schrems II y permitir que transferencias de datos a Estados Unidos de conformidad con la legislación europea.

Nos remitimos también a las recomendaciones del Comité Europeo de Protección de Datos sobre el mismo tema, adoptadas el 10 de noviembre.

  • Se espera que el nuevo reglamento europeo sobre servicios digitales se publique a principios de diciembre.

El objetivo de la Comisión es regular las “grandes tecnológicas” permitiendo también a las pequeñas y medianas empresas (PYME) desarrollar sus servicios, empoderar a los actores digitales y combatir la desinformación en línea.

Internacional :

  • La nueva ley canadiense de protección de datos personales se ha vuelto más eficaz y prevé multas sustanciales por las violaciones de sus principios.
  • Estados Unidos: el Ley de Derechos de Privacidad de California (“CPRA”) fue adoptada el 3 de noviembre.

Este nuevo texto establece una autoridad supervisora, la Agencia de Protección de la Privacidad de California, con el poder de imponer sanciones financieras.

Es la primera autoridad supervisora en este sector en Estados Unidos.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.

 

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES