La sancionada ha sido FORIU, una empresa que se dedica a la realización de campañas de marketing por vía telefónica, con el objetivo de ofrecer programas de fidelización. Para ello, la sancionada compra bases de datos de clientes potenciales a terceros intermediarios, que a su vez los obtienen a través de otros sitios web en los que ponen formularios a disposición de los usuarios. FORIU, en este contexto, no llevó a cabo ningún tipo de control sobre la forma en que se estaban recabando los datos que posteriormente utilizaría para realizar las comunicaciones comerciales por teléfono.
De las comprobaciones e investigaciones llevadas a cabo por la CNIL (autoridad francesa en materia de protección de datos), se descubrió que los formularios que se utilizaban para recabar los datos personales de los usuarios no permitía obtener el consentimiento de los interesados para el tratamiento de los mismos conforme a las exigencias de la normativa aplicable.
Se consideró que el consentimiento obtenido no era válido porque se hacía uso de dark patterns, incitando a los usuarios a comunicar sus datos, “enmascarando” de alguna forma la posibilidad de no hacerlo. En otras palabras, se realza el botón de aceptación del envío de los datos personales mediante tamaños mayores, colores, ubicación e incluso el mensaje, frente a las opciones que le permiten llevar a cabo la opción que desean sin ceder sus datos personales.
Ante lo anterior, la CNIL ha manifestado que corresponde al cesionario de los datos (el destinatario de los mismos), como responsable de su tratamiento, asegurarse de que los interesados han otorgado un consentimiento válido. En el caso concreto, si bien FORIU impuso al intermediario una serie de requisitos contractuales en el sentido de obtener el consentimiento de los interesados, no hubo un posterior control real de que esto se estaba cumpliendo.