La CNIL, la Autoridad francesa de protección de datos, impuso el pasado 30 de diciembre de 2025 una multa de 3,5 millones de euros a una empresa por transmitir correos electrónicos y/o números de teléfono de miembros de su programa de fidelización a una red social para publicidad dirigida, sin contar con una base legal válida. La decisión (SAN-2025-017) se adoptó en cooperación con 16 autoridades europeas, al afectar a residentes de varios Estados miembros, y fue publicada el 22 de enero de 2026 por su interés general.
Las inspecciones, iniciadas en enero de 2023, acreditaron que la práctica se venía realizando desde febrero de 2018 y alcanzaba a más de 10,5 millones de personas. La CNIL valoró la gravedad de los incumplimientos, incluidos principios fundamentales del Reglamento (UE) 2016/679 (RGPD), y el alto volumen de interesados. Se subrayó el carácter generalizado del uso de publicidad personalizada en redes sociales, justificando la publicación de la resolución.
En materia de licitud del tratamiento (artículo 6 RGPD), la empresa alegó consentimiento recabado para prospectar por SMS y correo electrónico. La CNIL concluyó que dicho consentimiento no cubría la comunicación de datos a una red social para publicidad personalizada: faltaba información clara y específica en el alta del programa, la documentación accesible era insuficiente y confusa, y no existía un opt-in explícito para esa finalidad concreta.
Se apreciaron además vulneraciones del principio de transparencia (artículos 12 y 13 del RGPD): finalidades no vinculadas claramente a sus bases legales, ausencia de información sobre la finalidad de publicidad personalizada y plazos de conservación, y referencias erróneas a mecanismos de transferencia obsoletos. Todo ello impedía una información clara, completa y actualizada a los interesados.
En seguridad (artículo 32 RGPD), la CNIL constató políticas de contraseñas poco robustas y recordó que SHA-256 (Secure Hash Algorithm 256 bits) no es adecuado para el almacenamiento seguro de contraseñas, al ser vulnerable a ataques de fuerza bruta. Asimismo, se sancionó la falta de una Evaluación de Impacto relativa a la Protección de Datos (EIPD) (artículo 35 RGPD) pese a tratarse de un tratamiento a gran escala con cruce de datos, susceptible de alto riesgo para derechos y libertades.
Finalmente, se detectaron incumplimientos en cookies y otros rastreadores (artículo 82 LIL, por sus siglas en francés, La loi Informatique et Libertés): las cookies no esenciales se instalaban antes de cualquier elección y no se eliminaban tras el rechazo, constituyendo una vulneración de la normativa aplicable.
Esta decisión deja claro que el consentimiento para el marketing directo no permite, por sí solo, utilizar técnicas de CRM matching o custom audiences en redes sociales. Para ello, es necesario un consentimiento específico, claramente informado y distinto, que cubra expresamente la cesión de datos y su uso con fines de publicidad personalizada, y que pueda acreditarse. También exige una transparencia clara y detallada, así como mecanismos de rechazo tan simples y eficaces como los de aceptación. Además, recuerda la obligación de realizar una evaluación de impacto previa cuando se tratan grandes volúmenes de datos o se cruzan con terceros. En materia de seguridad, confirma que el almacenamiento de contraseñas debe basarse en funciones de hash robustas y adaptativas con sal, y no en algoritmos como SHA-256. Para empresas y reguladores, el mensaje es claro: las audiencias personalizadas y cookies son áreas de alto riesgo sancionador si no se diseñan con cumplimiento “by design”.