El 30 de diciembre de 2025, la Comisión Nacional de Informática y Libertades (CNIL) impuso una multa récord de 3,5 millones de euros a una empresa que transmitió ilegalmente los datos personales de los miembros de su programa de fidelidad a una red social, principalmente para operaciones de segmentación publicitaria. Esta decisión sigue a los controles realizados en enero de 2023, que revelaron varias violaciones a las obligaciones establecidas por el reglamento general de protección de datos (RGPD), subrayando la importancia del consentimiento y la transparencia en el tratamiento de los datos personales.
Los controles de la CNIL y las constataciones de incumplimientos
Durante sus investigaciones, la CNIL observó que la empresa en cuestión había comenzado a transmitir, desde febrero de 2018, las direcciones de correo electrónico y/o los números de teléfono de los miembros de su programa a una red social. Esta información se utilizaba para mostrar anuncios dirigidos, con el objetivo de promover los productos de la empresa. Los incumplimientos identificados por la CNIL son significativos y se centran principalmente en principios fundamentales de protección de datos.
Análisis de los incumplimientos de la legislación sobre datos
Uno de los puntos cruciales planteados por la CNIL se refiere a la falta de consentimiento válido. De hecho, la empresa intentó justificar sus acciones argumentando que el consentimiento de los miembros se había obtenido al inscribirse en el programa de fidelidad. Sin embargo, la CNIL concluyó que este acuerdo no era válido. La información proporcionada en el formulario de inscripción no mencionaba la transmisión de datos con fines publicitarios, lo que perjudica la capacidad de los miembros para dar un consentimiento informado.
Obligación de información y transparencia
Otro incumplimiento significativo señalado por la CNIL radica en la obligación de informar a las personas afectadas. La comisión consideró que la información presentada en el sitio web de la empresa era no solo imprecisa, sino también incompleta. Faltaban detalles cruciales relacionados con la finalidad del tratamiento de datos, como la duración de la conservación, lo que hacía que la información fuera insuficiente para permitir a los usuarios tomar una decisión informada.
La seguridad de los datos: una negligencia que no debe ser ignorada
La CNIL también subrayó deficiencias en materia de seguridad de los datos. Los requisitos relacionados con la complejidad de las contraseñas para las cuentas de usuario no se cumplían. Así, los usuarios estaban expuestos a un riesgo aumentado en cuanto a la seguridad de la información personal. Además, el método de hash utilizado para almacenar las contraseñas no ofrecía una protección adecuada.
Análisis de impacto y respeto por las cookies
Un aspecto fundamental que también fue descuidado es la ausencia de un análisis de impacto sobre la protección de datos (AIPD) antes de iniciar las prácticas de segmentación publicitaria en la red social. Dada la cantidad de datos personales tratados, la CNIL subrayó que esto debería haber desencadenado tal análisis, ya que los riesgos para los derechos de los usuarios eran considerables.
Finalmente, se destacó la cuestión de las cookies y rastreadores. La CNIL observó que once cookies, sujetas a consentimiento, se almacenaban en el dispositivo de los usuarios sin que ellos hubieran dado una opción previa. Además, estas cookies permanecían activas incluso cuando los usuarios rechazaban su uso, lo que constituye una violación manifiesta de las normas que regulan el uso de cookies.
Una decisión colaborativa a nivel europeo
Es importante señalar que esta decisión se tomó en cooperación con dieciséis otras autoridades de protección de datos europeas. Por lo tanto, los datos de personas que viven en estos países también estaban involucrados. El monto de la multa de 3,5 millones de euros se determinó teniendo en cuenta la gravedad de los incumplimientos, pero también la alta cifra de personas afectadas, estimada en más de 10,5 millones.
La CNIL también decidió hacer pública la deliberación y alertar al público sobre las normas a seguir en materia de publicidad en redes sociales, una práctica notoriamente extendida entre las empresas. Al informar al público, el órgano regulador busca reforzar la sensibilización sobre la protección de los datos personales y los derechos de los usuarios.
Para obtener más información sobre las implicaciones de esta regulación en otros contextos, puede consultar artículos relacionados con el impacto de la blockchain, o las cuestiones de edad en las redes sociales, como se detalla en este. Además, decisiones recientes sobre la restricción de acceso a cuentas en plataformas sociales, como se recopila en este artículo, muestran las diversas prácticas implementadas para regular el uso de las redes sociales.
