El 30 de diciembre de 2025, la Comisión Nacional de Informática y Libertades (CNIL) impuso una multa de 3,5 millones de euros a una empresa que había transmitido ilegalmente los datos de sus miembros del programa de fidelidad a una red social. Esta operación se enmarca en el contexto de la publicidad dirigida, pero se llevó a cabo sin el consentimiento válido de los interesados. Este caso ilustra los cruciales desafíos de la protección de datos personales en un mundo digital en constante evolución.
El contexto de la sanción
En enero de 2023, tras dispositivos de control, la CNIL descubrió que la empresa involucrada comunicaba las direcciones de correo electrónico y/o los números de teléfono de sus miembros desde febrero de 2018. Esta información se utilizaba para mostrar anuncios dirigidos en una red social, con el objetivo de promover los productos de la empresa. Esta constatación llevó a la formación restringida de la CNIL a sancionar a la compañía por varias infracciones a las obligaciones previstas por el reglamento general sobre la protección de datos (RGPD) y la ley de Informática y Libertades.
Las infracciones identificadas
Ausencia de base legal para la transmisión de datos
La primera infracción resaltada por la CNIL se refiere a la obligación de tener una base legal para el tratamiento de datos personales. Al invocar un consentimiento supuestamente recogido durante la adhesión al programa de fidelidad, la empresa omitió proporcionar información clara sobre el uso de los datos para fines de publicidad dirigida. Los elementos proporcionados a los miembros eran no solo insuficientes, sino también complicados de acceder, haciendo imposible un consentimiento informado.
Información imprecisa a las personas afectadas
Además, la CNIL observó que la información proporcionada en el sitio web de la empresa era imprecisa. Los objetivos de los tratamientos de datos no estaban claramente relacionados con las bases legales correspondientes. Como resultado, los miembros no eran capaces de entender el alcance de sus compromisos en cuanto a la protección de datos.
Deficiencias en materia de seguridad de datos
La CNIL también observó lagunas significativas en la seguridad de los datos almacenados. Las reglas relacionadas con la complejidad de las contraseñas no eran adecuadas, y el método de almacenamiento utilizado para las contraseñas, denominado SHA-256, no garantizaba una seguridad óptima. Estas infracciones exponen los datos personales a riesgos aumentados de piratería.
Omisión de análisis de impacto
También se constató que la empresa no había realizado un análisis de impacto sobre la protección de datos (AIPD), a pesar de que el tratamiento implicaba un volumen importante de datos personales y un cruce de ellos. Tal negligencia constituye una violación de las obligaciones que recaen en las empresas en materia de protección de datos.
No conformidad con cookies y rastreadores
Finalmente, la CNIL identificó infracciones relacionadas con el uso de cookies y rastreadores en el sitio de la empresa. Se depositaron cookies sujetas a consentimiento de manera automática en el dispositivo de los usuarios, incluso antes de que estos hubieran expresado su elección. Esta práctica infringe las reglas establecidas en materia de consentimiento y transparencia.
Una decisión en cooperación internacional
La sanción impuesta a esta empresa se enmarca en un contexto más amplio, involucrando a 16 homólogos europeos de la CNIL. Los datos de ciudadanos residentes en estos países también se vieron afectados por este tratamiento ilícito. La CNIL consideró esencial hacer pública esta deliberación para sensibilizar al público sobre el respeto a las normas de protección de datos, en particular en el sector de la publicidad en línea.
Los desafíos de la protección de datos en la publicidad digital
Este caso destaca los desafíos enfrentados por las empresas que buscan combinar datos personales con publicidad dirigida, respetando al mismo tiempo las leyes vigentes. Las infracciones observadas plantean preguntas fundamentales sobre la transparencia, la seguridad y el respeto a la privacidad de los usuarios. Para profundizar en este tema esencial, puede ser relevante explorar las implicaciones de la protección de datos o considerar los desafíos que representan las redes sociales y los jóvenes usuarios.
