L'autoritat francesa de protecció de dades (CNIL) ha imposat una sanció administrativa de 3,5 milions d'euros a una empresa per múltiples incompliments del Reglament General de Protecció de Dades (RGPD). El cas és especialment rellevant perquè gira entorn d'una infracció tan habitual com perillosa: utilitzar dades personals per a una finalitat distinta d'aquella per a la qual van ser recollides.
La decisió, adoptada el 30 de desembre de 2025 en cooperació amb 16 autoritats europees, afecta a més de 10’5 milions de persones i ha estat publicada amb finalitats exemplaritzants, donada l'extensió d'aquestes pràctiques en el mercat.
Què va ocórrer?
Des de febrer de 2018, l'empresa transmetia adreces de correu electrònic i números de telèfon dels membres del seu programa de fidelització a una xarxa social, amb l'objectiu de mostrar-los publicitat personalitzada mitjançant tècniques de custom audiences o CRM matching.
L'empresa va al·legar comptar amb el consentiment dels usuaris. No obstant això, aquest consentiment s'havia recaptat únicament per a l'enviament de comunicacions comercials per SMS i correu electrònic, no per a la comunicació de dades a un tercer ni per a la segmentació publicitària en xarxes socials.
El problema clau: el consentiment no era vàlid
El tractament mancava de base legal vàlida (art. 6 RGPD) perquè:
- En el formulari d'adhesió al programa de fidelització no s'informava de la cessió de dades a una xarxa social.
- La política de privacitat era confusa, incompleta o directament errònia, i no permetia comprendre la finalitat real del tractament.
- No existia un consentiment específic, informat i inequívoc, com hauria estat, per exemple, una casella separada que esmentés expressament la publicitat personalitzada en xarxes socials.
Altres incompliments sancionats
A més del problema de base legal, la CNIL va identificar múltiples infraccions addicionals:
- Falta de transparència ( 12 i 13 RGPD): Les finalitats no es vinculaven clarament amb les seves bases jurídiques, faltava informació sobre terminis de conservació i es continuava esmentant el Privacy Shield, ja invalidat.
- Deficiències en la seguretat ( 32 RGPD): Les polítiques de contrasenyes no eren prou robustes i s'utilitzava SHA-256 per a l'emmagatzematge de contrasenyes, un mètode que no es considera adequat enfront d'atacs de força bruta.
- Absència d'anàlisi d'impacte (DPIA / AIPD) ( 35 RGPD). El tractament implicava:
- grans volums de dades,
- encreuament d'informació,
- publicitat personalitzada en plataformes de tercers.
Tot això exigia una avaluació d'impacte prèvia, que mai es va realitzar.
- Ús il·lícit de cookies i rastrejador0s ( 82 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés): S'instal·laven cookies no essencials abans que l'usuari pogués decidir i, cosa que és més greu, continuaven actives fins i tot després del seu rebuig.
Lliçons clau per a les empreses
Aquest cas deixa diversos missatges clars:
- El consentiment no és reutilitzable: cada finalitat exigeix la seva pròpia base legal.
- El CRM matching i la publicitat en xarxes socials no són extensions naturals de l'email o SMS màrqueting.
- La transparència no és un tràmit formal, sinó un requisit material.
- Si hi ha segmentació, encreuament de dades i gran escala, la DPIA no és opcional.
- La seguretat tècnica (contrasenyes, hashing) continua sent un pilar essencial del compliment.
Conclusió
La sanció de la CNIL reforça un principi bàsic del RGPD: les dades poden utilitzar-se únicament per a les finalitats específiques, explícites i legítimes per a les quals van ser recollides.
En un context de màrqueting cada vegada més sofisticat i dependent de plataformes externes, aquest tipus de decisions recorden que el compliment en protecció de dades comença en el disseny del tractament, no quan arriba una inspecció.
Com sempre, cuideu les dades i cuideu-vos!
Per consultar la resolució, feu clic aquí.
