A CNIL sancionou fortemente uma empresa que durante anos transmitiu dados pessoais de membros do seu programa de fidelização para uma rede social. Mais de 10 milhões de utilizadores europeus são afetados.
Atualizar – A empresa visada pela CNIL não é outra senão a Intersport, revela o especialista em segurança cibernética Christophe Boutry, relatado pela BFMTV. Quanto à rede social não identificada, é o Facebook.
Artigo original – A Comissão Nacional de Informática e Liberdades (Cnil) bateu com o punho na mesa, sancionando uma empresa cujo nome não foi revelado. As verificações realizadas em fevereiro de 2023 revelaram que esta empresa transmitia os endereços de correio eletrónico e/ou números de telefone dos membros do seu programa de fidelização para uma rede social desde 2018.
Numerosas deficiências e erros no menu
De posse desses dados, a rede social – também anônima – exibia publicidade direcionada para promover os produtos comercializados pela empresa infratora. Este último foi culpado de violar várias obrigações estabelecidas no Regulamento Europeu de Proteção de Dados (GDPR). É por esta razão que recebe uma sanção de 3,5 milhões de euros. A multa é ainda mais pesada porque a prática diz respeito a mais de 10,5 milhões de pessoas, tanto em França como noutras partes da Europa. A CNIL trabalhou com os seus homólogos europeus de 16 países.
Se a CNIL não quis revelar os nomes das empresas em causa, a comissão quis ainda comunicar sobre o assunto: “ era importante informar o público sobre as regras aplicáveis [en matière de publicité ciblée] sem que seja, neste caso, útil indicar o nome da empresa em causa. » No cerne da decisão está, em primeiro lugar, a ausência de uma base jurídica válida para a segmentação publicitária implementada. A empresa acreditava ter o consentimento dos membros do seu programa de fidelização, recolhido no momento do registo quando estes aceitavam receber comunicações por email ou SMS.
Mas a CNIL considerou este consentimento inválido: não foi fornecida informação clara sobre a transmissão de dados a uma rede social para fins publicitários direcionados. Os documentos acessíveis a partir do site, como a política de privacidade, eram incompletos ou demasiado imprecisos para permitir aos utilizadores compreender a real finalidade do tratamento. Nestas condições, as pessoas em causa não poderiam dar consentimento “livre, específico e informado”.
O regulador também aponta para uma violação da obrigação de informação. A CNIL observa que a informação disponibilizada aos utilizadores não permitiu identificar claramente as finalidades do tratamento ou as bases jurídicas associadas. Faltavam determinadas informações obrigatórias, nomeadamente sobre a duração da conservação dos dados ou sobre a própria existência de tratamento publicitário direcionado.
Outras informações estavam simplesmente desatualizadas, como referências a mecanismos de transferência de dados para os Estados Unidos que já não estão em vigor. Estas imprecisões e erros foram considerados incompatíveis com os requisitos de transparência do RGPD.
Por último, a formação restrita identificou deficiências em termos de segurança e prevenção de riscos. As regras de gerenciamento de senhas foram consideradas insuficientes, assim como a utilização da função hash SHA-256 para seu armazenamento, considerada inadequada para um nível de segurança satisfatório. A empresa também não tinha realizado uma análise de impacto na proteção de dados antes de implementar este sistema de direcionamento publicitário, apesar de se basear num grande volume de dados e no seu cruzamento.
Soma-se a isso as ofensas ligadas aos cookies: diversos rastreadores sujeitos a consentimento foram depositados antes de qualquer escolha do usuário e não foram excluídos em caso de recusa, em contradição com a Lei de Proteção de Dados.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
Cnil