La autoridad francesa de protección de datos (CNIL) ha impuesto una sanción administrativa de 3’5 millones de euros a una empresa por múltiples incumplimientos del Reglamento General de Protección de Datos (RGPD). El caso es especialmente relevante porque gira en torno a una infracción tan habitual como peligrosa: utilizar datos personales para una finalidad distinta de aquella para la que fueron recogidos.
La decisión, adoptada el 30 de diciembre de 2025 en cooperación con 16 autoridades europeas, afecta a más de 10’5 millones de personas y ha sido publicada con fines ejemplarizantes, dada la extensión de estas prácticas en el mercado.
¿Qué ocurrió?
Desde febrero de 2018, la empresa transmitía direcciones de correo electrónico y números de teléfono de los miembros de su programa de fidelización a una red social, con el objetivo de mostrarles publicidad personalizada mediante técnicas de custom audiences o CRM matching.
La empresa alegó contar con el consentimiento de los usuarios. Sin embargo, dicho consentimiento se había recabado únicamente para el envío de comunicaciones comerciales por SMS y correo electrónico, no para la comunicación de datos a un tercero ni para la segmentación publicitaria en redes sociales.
El problema clave: el consentimiento no era válido
El tratamiento carecía de base legal válida (art. 6 RGPD) porque:
- En el formulario de adhesión al programa de fidelización no se informaba de la cesión de datos a una red social.
- La política de privacidad era confusa, incompleta o directamente errónea, y no permitía comprender la finalidad real del tratamiento.
- No existía un consentimiento específico, informado e inequívoco, como habría sido, por ejemplo, una casilla separada que mencionara expresamente la publicidad personalizada en redes sociales.
Otros incumplimientos sancionados
Además del problema de base legal, la CNIL identificó múltiples infracciones adicionales:
- Falta de transparencia ( 12 y 13 RGPD): Las finalidades no se vinculaban claramente con sus bases jurídicas, faltaba información sobre plazos de conservación y se seguía mencionando el Privacy Shield, ya invalidado.
- Deficiencias en la seguridad ( 32 RGPD): Las políticas de contraseñas no eran suficientemente robustas y se utilizaba SHA-256 para el almacenamiento de contraseñas, un método que no se considera adecuado frente a ataques de fuerza bruta.
- Ausencia de análisis de impacto (DPIA / AIPD) ( 35 RGPD). El tratamiento implicaba:
- grandes volúmenes de datos,
- cruce de información,
- publicidad personalizada en plataformas de terceros.
Todo ello exigía una evaluación de impacto previa, que nunca se realizó.
- Uso ilícito de cookies y rastreadores ( 82 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés): Se instalaban cookies no esenciales antes de que el usuario pudiera decidir y, lo que es más grave, seguían activas incluso tras su rechazo.
Lecciones clave para las empresas
Este caso deja varios mensajes claros:
- El consentimiento no es reutilizable: cada finalidad exige su propia base legal.
- El CRM matching y la publicidad en redes sociales no son extensiones naturales del email o SMS marketing.
- La transparencia no es un trámite formal, sino un requisito material.
- Si hay segmentación, cruce de datos y gran escala, la DPIA no es opcional.
- La seguridad técnica (contraseñas, hashing) sigue siendo un pilar esencial del cumplimiento.
Conclusión
La sanción de la CNIL refuerza un principio básico del RGPD: los datos pueden utilizarse únicamente para las finalidades específicas, explícitas y legítimas para las que fueron recogidos.
En un contexto de marketing cada vez más sofisticado y dependiente de plataformas externas, este tipo de decisiones recuerdan que el cumplimiento en protección de datos empieza en el diseño del tratamiento, no cuando llega una inspección.
Como siempre, cuidad los datos y ¡cuidaos!
Para leer la resolución, haga clic aquí.
