Una empresa ha sido multada por la CNIL por tratamiento ilegítimo de datos obtenidos por un broker de datos con finalidad de marketing.
El pasado 4 de abril de 2024, la autoridad de control de Francia, la CNIL, impuso una significativa multa de 525.000 euros a la empresa HUBSIDE.STORE. La sanción fue resultado de múltiples infracciones de la normativa de protección de datos, principalmente en relación con el tratamiento ilegítimo de datos personales obtenidos de brokers de datos con finalidad de marketing. La investigación llevada a cabo por la CNIL reveló que HUBSIDE.STORE había adquirido datos personales de brokers de datos sin implementar las medidas necesarias para asegurar que los interesados cuyos datos trataban habían otorgado un consentimiento válido para el uso de los mismos con finalidades de prospección comercial. Este hecho constituye una clara brecha de los principios de consentimiento válido bajo la normativa de protección de datos, que require que los interesados consientan de manera explícita y afirmativa al tratamiento de sus datos personales para los fines concretos.
HUBSIDE.STORE infringió la ley nacional de Francia y el artículo 6 del RGPD al tratar datos recogidos por un broker de datos que empleó formularios engañosos para obtener consentimiento para campañas publicitarias.
HUBSIDE.STORE realiza campañas de telemarketing y mensajes de texto (SMS) para publicitar productos. La empresa adquiere sus datos de brokers de datos, organizadores de concursos y sitios web de pruebas de productos, de tal manera que recopilan estos datos distribuyendo formularios de participación en varios sitios web. Tras una investigación, la CNIL determinó que la redacción engañosa de los formularios utilizados hacía imposible obtener un consentimiento válido por parte de los interesados para los fines con los que HUBSIDE.STORE trataba los datos. La CNIL señaló que el nombre de la empresa HUBSIDE.STORE no se incluía de manera consistente entre la lista de los socios que podrían contactar a las personas afectadas que rellenaban dichos formularios. En relación con la prospección comercial mediante llamadas telefónicas, la CNIL destacó que es fundamental informar a las personas afectadas sobre la posibilidad de recibir ofertas comerciales de la empresa, en el momento de la recopilación de datos. En consecuencia, la empresa no contaba con la legitimación necesaria para llevar a cabo sus campañas de marketing por SMS y teléfono. Así, la CNIL determinó que HUBSIDE.STORE había infringido el Artículo L. 34-5 del Código Francés de Comunicaciones Postales y Electrónicas, así como el Artículo 6 del GDPR.
La CNIL multó a HUBSIDE.STORE con 525.000 euros por el uso ilegal de datos obtenidos de un broker de datos.
La CNIL impuso una multa de 525.000 euros e hizo la decisión pública. La multa se determinó específicamente en función de la gravedad de las infracciones identificadas y la responsabilidad de la empresa en el manejo de los datos recogidos. La sanción, equivalente a aproximadamente el 2% de la facturación de la empresa, refleja estos factores. Además, se tuvo en consideración el alcance de las actividades de marketing de HUBSIDE.STORE. La decisión se alcanzó en colaboración con las autoridades de supervisión europeas relevantes (Bélgica, Italia, España y Portugal), en el marco de la ventanilla única, ya que HUBSIDE STORE trata datos de clientes e interesados de varios estados miembros de la UE.
La decisión de la CNIL subraya la necesidad de que las empresas cumplan con las leyes de protección de datos y respeten los derechos de las personas.
La decisión de la CNIL envía un mensaje claro a las empresas de que deben cumplir con las leyes de protección de datos y respetar los derechos de las personas de las que tratan datos personales. La multa también es un recordatorio de que los brokers de datos deben asegurarse de que los datos personales que recopilan y venden se hayan obtenido de manera legítima y con el consentimiento válido de los interesados. Este caso se resalta la importancia de adoptar un enfoque proactivo para cumplir con los requisitos de protección de datos. Las empresas deben tener sistemas y procedimientos para garantizar que estén recogiendo, utilizando y almacenando datos personales de acuerdo con el GDPR, lo cual incluye confirmar que se cumplen los aspectos necesarios para un consentimiento válido y garantizar que los datos que adquieren puedan ser utilizados para los fines previstos.
