Discord Inc. es la empresa que está detrás de la conocida plataforma Discord, que presta un servicio de mensajería instantánea a través de diferentes tipos de canales: voz, vídeo y chat de texto. Principalmente, se trata de una plataforma utilizada para comunicarse a través de canales temáticos o comunidades de personas.
Discord ha logrado un gran éxito en los últimos años, en un contexto de auge de plataformas de streaming como Twitch. En consecuencia de ello, su funcionamiento implica el tratamiento de una cantidad inmensa de datos personales de usuarios que, en aplicación de la normativa de protección de datos, deben ser protegidos.
Recientemente, la Commission Nationale de l’Informatique et des Libertés (en adelante, “CNIL”), ha llevado a cabo una investigación sobre el cumplimiento de Discord Inc. del Reglamento General de Protección de Datos (en adelante, “RGPD”) que terminó en la conclusión de que esta empresa, a través de la plataforma Discord, había incurrido en las siguientes infracciones:
- Artículo 5.1.e RGPD, sobre el principio de limitación del plazo de conservación: había 2.474.000 cuentas de usuarios franceses en la base de datos Discord que no se habían utilizado durante más de tres años y 58.000 cuentas que no se habían utilizado durante más de cinco años. Además, no existía internamente en la compañía ninguna política que estableciera los plazos de conservación de los datos personales.
- Artículo 13 RGPD, sobre las obligaciones de prestar información: en consecuencia de la anterior infracción, los usuarios no habían recibido información alguna sobre por cuánto tiempo se iban a almacenar sus datos personales.
- Artículo 25.2 RGPD, sobre el principio de privacidad desde el diseño y por defecto: ya que tal y como está configurada la plataforma en el momento de la investigación; cuando el usuario cerraba la ventana de la aplicación de Discord, en realidad solo se ponía la aplicación en segundo plano y permanecía conectado a la sala de voz, pudiendo el resto seguir recibiendo mensajes de voz.
- Artículo 32 RGPD sobre la aplicación de medidas técnicas y organizativas adecuadas al riesgo: la CNIL consideró que la política de administración de contraseñas de Discord no era lo suficientemente fuerte y restrictiva para garantizar la seguridad de las cuentas de los usuarios.
- Artículo 35 RGPD, sobre la obligación de llevar a cabo una evaluación de impacto de protección de datos (en adelante, “EIPD”): la CNIL consideró que la empresa debería haber realizado una evaluación de impacto, dado el volumen de datos que trata la empresa y el uso de sus servicios por parte de menores. Esta EIPD no se llevó a cabo por Discord.
Como resultado de estas infracciones, la CNIL ha impuesto a Discord Inc. una sanción de 800.000 euros.
A la hora de individualizar la sanción, se han tenido en cuenta tanto circunstancias agravantes (el número de incumplimientos y el gran número de personas afectadas), como circunstancias atenuantes (el esfuerzo de Discord a lo largo del procedimiento de investigación por subsanar incumplimientos, así como el hecho de que el modelo de negocio de Discord no se basa en la explotación de datos personales).