La autoridad francesa de protección de datos (CNIL) ha emitido una resolución por la que sanciona con una multa de 3.500.000 euros a una empresa por transmitir las direcciones de correo electrónico y los números de teléfono de los miembros de su programa de fidelización a una red social.
HECHOS
Una conocida empresa francesa dedicada al comercio con tiendas físicas y de venta online gestiona un programa de fidelización con casi 10.5 millones de miembros en Francia y cientos de personas en varios otros países de la Unión Europea (UE). En 2022, fue auditada de oficio por la CNIL con el objetivo de verificar que la entidad cumplía con el Reglamento General de Protección de Datos (RGPD).
En el transcurso de la inspección, la empresa puso de manifiesto que era responsable del tratamiento de datos personales recabados a través de la página, así como del programa de fidelización (al cual se inscribían los clientes por medio de un formulario web donde se solicitan diversos datos personales como el nombre, apellidos, dirección de correo electrónico, numero de teléfono, dirección postal, etc.).
En mayo de 2025, la CNIL entregó a la empresa un informe que detallaba que había infringido los articulos 6,13,32 y 35 del RGPD, y el artículo 82 de la Ley de Protección de Datos francesa, sobre el que la empresa presentó alegaciones.
La CNIL, al entrar a valorarlas, observó que la entidad francesa realizaba un tratamiento de datos adicional. En concreto, la empresa recopilaba y transmitía los datos personales de los miembros del programa de fidelización (la dirección de correo electrónico o número de teléfono) que habían consentido en recibir comunicación de marketing, a una red social, la cual procedía a comparar los datos con los datos de los usuarios de su plataforma para identificarlos, con el fin de mostrarles anuncios de la empresa en la red social. Esta transmisión de datos se produjo desde finales de 2018 hasta febrero de 2024.
En consecuencia, la empresa francesa se consideraba responsable del tratamiento de la publicidad dirigida a mostrarse en la red social.
Por ello, la CNIL consideró que se habían producido las siguientes infracciones del RGPD:
• El tratamiento carece de base legal (art. 6.1RGPD). El consentimiento de los miembros para la transmisión de los datos no se considera válido. La información que figura en la web (formulario de inscripción, Condiciones Generales de Venta y la Política de Datos) respecto al marketing electrónico de la empresa, únicamente hace referencia a la recepción de mensajes publicitarios a través de SMS o correo electrónico, pero no se menciona la transmisión de los datos para publicidad dirigida en la red social.
• Obligación de informar a los interesados (Artículos 12 y 13 del RGPD): La información proporcionada en la página web de la empresa era incompleta al no mencionar las bases jurídicas concretas ni la finalidad del tratamiento de datos para la publicidad dirigida en la red social. Por último, la información era imprecisa en el sentido de que hacía referencia al marco de protección de datos estadounidense “Privacy Shield” que ya no estaba en vigor.
• Obligación de garantizar la seguridad de los datos (Artículo 32 del RGPD):La creación de contraseñas de las personas que creaban una cuenta para inscribirse en el programa de fidelización, así como sus métodos de almacenamiento no garantizaba la seguridad y confidencialidad de los datos ni impedía el acceso no autorizado de terceros.
• Obligación de realizar una evaluación de impacto (Artículo 35 del RGPD): el tratamiento realizado por la empresa afecta a un gran volumen de datos, suponiendo un alto riesgo para los derechos y libertades de las personas. La empresa debería de haber realizado una evaluación de impacto antes de la implementación del tratamiento relacionado con la publicidad en la red social.
• Obligaciones relativas al uso de cookies y rastreadores (artículo 82 de la Ley francesa de protección de datos): Al visitar el sitio se instalaban once cookies que requerían consentimiento antes de que el usuario aceptara. Además, esas cookies no se eliminaban cuando el usuario rechazaba su instalación, continuando su lectura y vulnerando la normativa aplicable.
Por todo lo anterior, la CNIL impone una multa de 3.5 millones de euros a la empresa tras constatar múltiples incumplimientos del RGPD. Aunque la compañía cooperó con la investigación y adoptó medidas correctoras, la autoridad consideró que existió negligencia y que las correcciones no eximen de responsabilidad.