Cuando una campaña publicitaria sale cara: la CNIL impone 600.000 euros de sanción a EDF
El pasado 24 de noviembre, la “Commission nationale de l'informatique et des libertés” (en adelante, “CNIL”), autoridad de control de protección de datos francesa, publicó una resolución por la cual sancionaba al principal productor y suministrador de energía eléctrica en Francia, EDF, al pago de 600.000 euros por diversas infracciones del Reglamento General de Protección de Datos (en adelante, “RGPD”) y el Código Postal y de Comunicaciones Electrónicas (“le code des postes et des communications électroniques”, en adelante, “CPCE”).
El origen de la resolución trae causa en varias reclamaciones relativas a ejercicios de derechos, recibidas por la autoridad francesa entre agosto de 2019 y diciembre de 2020. Tras finalizar la investigación, “la formation restreinte”, el órgano de la CNIL responsable de imponer las sanciones, consideró que la compañía eléctrica había infringido los preceptos que se detallan en los siguientes párrafos.
- El incumplimiento de la obligación de obtener el consentimiento para realizar comunicaciones comerciales por medios electrónicos (artículos L. 34-5 del CPCE y 7 del RGPD)
Entre 2020 y 2021, EDF realizó una campaña de prospección comercial por medios electrónicos. Sin embargo, la compañía no fue capaz de demostrar haber obtenido previamente el consentimiento de los usuarios.
Ha de tenerse en cuenta que el artículo 34-5 del CPCE, prohíbe expresamente esta práctica si no se ha recabado previamente el consentimiento de los destinatarios de estas comunicaciones: “se prohíbe la prospección directa mediante un sistema automatizado de comunicaciones electrónicas [ …] utilizando los datos de contacto de una persona física [ …] que no haya manifestado previamente su consentimiento para recibir publicidad directa por este medio”.
Asimismo, debemos tener en cuenta que el artículo 7.1 del RGPD establece que las organizaciones, cuando basen un tratamiento en el consentimiento del interesado, deberán ser capaces de demostrar el mismo.
En base a los preceptos citados, la CNIL entiende que EDF no se encontraba en disposición de demostrar haber obtenido consentimientos válidos para llevar a cabo estos tratamientos sobre datos de contacto obtenidos de terceros proveedores.
En este sentido, la CNIL recuerda que, “cuando la organización [ …] no haya recopilado directamente los datos [ …] el consentimiento puede haberse obtenido en el momento de la recopilación inicial de datos por parte del recolector por primera vez, en nombre de la organización que realizará posteriores operaciones de prospección”.
Además, para que el consentimiento sea informado, la CNIL indica que se debe informar claramente a las personas de la identidad de la organización en cuyo nombre se obtiene el consentimiento y de los fines para los que se utilizarán los datos. Para ello, la autoridad francesa recomienda “poner a disposición de las personas un listado exhaustivo y actualizado en el momento de obtener su consentimiento (de las organizaciones que realizarán eventualmente la actividad de prospección comercial), por ejemplo, directamente en el medio de recogida o, si es demasiado extenso, a través de un enlace de hipertexto remitiendo a dicho listado y a las políticas de privacidad, de los proveedores de servicios…”.
En base a las investigaciones realizadas, la CNIL constata que los formularios utilizados por los proveedores de EDF, no incluían un listado de socios, incluido EDF, a los cuales los datos fueran a ser comunicados, por lo que considera infringidos los artículos 34-5 del CPCE y 7 del RGPD.
- EL incumplimiento de la obligación de informar a las personas (artículos 13 y 14 del RGPD) y de garantizar el ejercicio de derechos (artículos 12, 15 y 21 del RGPD)
Como recordatorio, hemos de tener en cuenta que el artículo 13 del RGPD establece qué información ha de ser facilitada por un responsable cuando recopila directamente los datos de los interesados, mientras que el artículo 14, indica la información que ha de ser proporcionada cuando los datos no hayan sido recabados de los mismos.
En relación con estos preceptos, la CNIL considera que la política de privacidad de EDF no especificaba la base legal correspondiente para cada caso y era “imprecisa” respecto a los periodos de retención (incumpliendo de esta forma el art. 13 del RGPD).
Por otro lado, la organización francesa no proporcionaba información sobre la fuente de los datos, ya que se limitaba a indicar que los “datos fueron recopilados de una organización especializada en el enriquecimiento de datos“ (incumpliendo de esta forma el art. 14 del RGPD.
- Los incumplimientos relacionados con el ejercicio de derechos de los interesados
Asimismo, en relación con el ejercicio de derechos, la CNIL constata un incumplimiento de los siguientes preceptos:
-El artículo 12 del RGPD, ya que la organización no respondió a determinados ejercicios en el plazo de un mes previsto por la regulación.
-El artículo 15 del RGPD relativo al derecho de acceso, ya que EDF no proporcionó información sobre la fuente de los datos recabados.
-El artículo 21 del RGPD relativo al derecho de oposición, por no dar respuesta a un solicitante del mismo.
- El incumplimiento de la obligación de garantizar la seguridad de los datos
Por último, la CNIL, entiende que la compañía eléctrica no tuvo diligencia a la hora de garantizar la seguridad de los datos de los usuarios (artículo 32 del RGPD), ya que:
-Las contraseñas del área de clientes del portal “prime énergie” se almacenaban mediante la función “hash MD5”, sin agregar sal (adición de caracteres aleatorios antes del hash, para evitar encontrar una contraseña por comparación de hash) a las mismas y, por lo tanto, almacenando las contraseñas de más de 25.800 cuentas de forma insegura hasta julio de 2022.
-Las contraseñas de acceso al área de clientes de EDF de más de 2,4 millones de cuentas solo fueron “hash” (la función obsoleta “SHA-1”), sin haber sido saladas, lo cual las puso en riesgo.
Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army