La CNIL, como «líder», adoptó su primera decisión de sanción en cooperación con otros supervisores europeos, en respuesta a varias infracciones del GDPR por parte de SPARTOO.
SPARTOO se especializa en la venta online de zapatos. Para esta actividad, cuenta con un sitio web accesible en trece países de la Unión Europea.
CNIL inspeccionó la empresa en mayo de 2018 y encontró violaciones de los datos de clientes, clientes potenciales y empleados. Por lo tanto, el Presidente de la CNIL ha decidido iniciar un procedimiento de sanción contra la empresa en 2019.
Dado que los clientes y prospectos de la empresa se encuentran en varios países europeos, la CNIL cooperó durante todo el procedimiento con las demás autoridades europeas interesadas con vistas a adoptar la decisión de sanción.
Sobre la base de las investigaciones llevadas a cabo, el grupo restringido, el organismo de la CNIL responsable de la emisión de las sanciones – consideró que la empresa había incumplido varias obligaciones en virtud del GDPR:
Violación del principio de minimización de datos (artículo 5 apartado 1, letra c, del GDPR)
La grabación completa y permanente de las llamadas telefónicas recibidas por los empleados de servicio al cliente es excesiva. La grabación de todas las llamadas no está justificada porque la persona a cargo de la formación de los empleados solo escucha una grabación por semana por empleado.
El registro y la retención de los datos bancarios de los clientes, comunicados cuando los pedidos se realizan por teléfono, tampoco es necesario para la finalidad perseguida, a saber, la formación de los empleados.
En la lucha contra el fraude, la recogida en Italia de la copia de la «tarjeta sanitaria” de los clientes es excesiva. La divulgación de este documento, que contiene más información que el DNI, y aunque también se solicite una copia del documento de identidad, es excesiva e irrelevante.
Incumplimiento de la obligación de limitar el tiempo de conservación de datos (artículo 5 apartado 1 letra e, del GDPR)
En el momento del control de la CNIL, no había tiempo para que la empresa almacenará datos de clientes y clientes potenciales, que no borraban o archivaban regularmente datos personales. Si bien la empresa ha previsto, desde el control de la CNIL, conservar estos datos durante cinco años, la formación restringida ha mantenido una violación del GDPR para la retención durante varios años de una gran cantidad de datos de antiguos clientes (más de 3 millones de clientes que no han iniciado sesión en su cuenta durante más de 5 años).
Con respecto a los datos de clientes potenciales, la empresa ha establecido una vida útil de cinco años a partir de su última actividad (por ejemplo, la apertura de un boletín informativo). Sin embargo, la compañía no involucra a estas personas en la exploración comercial si no muestran interés en sus productos o servicios durante dos años. Por lo tanto, la formación limitada consideró que la conservación de los datos sobre los clientes potenciales no era necesaria más allá de este período de dos años.
La formación limitada especifica que la mera apertura de un correo electrónico de prospección por parte de una persona no demuestra que esté interesada en los productos o servicios de la empresa, lo que justifica la conservación de sus datos, en la medida en que la persona pueda abrir ese mensaje involuntariamente.
Después de los cinco años de vida útil de los datos de los clientes, la retención de su dirección de correo electrónico y contraseña, en un formulario seudónimo y no anonimizado, para que los clientes puedan volver a conectarse a su cuenta, no es coherente con el GDPR.
Incumplimiento de la obligación de informar a los particulares (artículo 13 del GDPR)
La información proporcionada en la política de privacidad de datos del sitio web no es compatible. En efecto, la empresa no puede indicar que el consentimiento sea la base jurídica de todos los tratamientos implementados, mientras que muchos de ellos se basan en otros fundamentos jurídicos, como el contrato o los intereses legítimos perseguidos por la empresa.
Por lo que se refiere a los empleados, no hay suficiente información sobre la grabación de las llamadas telefónicas realizadas con los clientes. Los empleados no son informados de la finalidad del tratamiento, la base legal del dispositivo, los destinatarios de los datos, la duración de la retención de datos y sus derechos.
Incumplimiento de la obligación de garantizar la seguridad de los datos (artículo 32 del GDPR)
Con respecto a las contraseñas para acceder a las cuentas de los clientes a través del sitio web, la empresa debería haber exigido a los usuarios que utilicen contraseñas más robustas.
Con respecto a las contraseñas para acceder a las cuentas de los clientes a través del sitio web, la empresa debería haber exigido a los usuarios que utilicen contraseñas más robustas.
Como parte de la lucha contra el fraude, la retención durante seis meses y en el claro de los escaneos de la tarjeta bancaria utilizada durante un pedido no garantiza la seguridad de los datos bancarios de los clientes.
En vista del número de infracciones, el grupo restringido multó 250.000 euros y decidió hacer pública su sanción. En particular, tuvo en cuenta la gravedad de las infracciones, en relación con la grabación de conversaciones telefónicas y la conservación de datos bancarios. También tuvo en cuenta el número de personas involucradas, con los datos de varios miles de personas mantenidos más allá de las duraciones necesarias (más de 3 millones de antiguos clientes y más de 25 millones de prospectos). La formación limitada también recordó que muchos de los incumplimientos se refieren, en su mayor parte, a obligaciones que ya existían antes de la entrada en vigor del GDPR.
La formación restringida también ordenó a la empresa ajustar sus salarios al GDPR y justificarlos en el plazo de tres meses a partir de la notificación de la deliberación, con una penalización de 250 euros por día de retraso.
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL