Sanción de la CNIL por transmisión de datos a plataforma publicitaria

Informes30 de enero de 2026
La autoridad francesa concluye que la transmisión de datos de un programa de fidelización a una red social para publicidad dirigida vulneró los principios de licitud, transparencia y seguridad del RGPD.

1. Hechos y procedimiento

En primer lugar, conviene señalar que la CNIL ha anonimizado el presente procedimiento sancionador, de modo que la entidad reclamada figura como “empresa X”, la destinataria de los datos como “grupo Y” y la red social de su propiedad como “red social Z”.

 

Con respecto a la empresa X, se trata de una entidad que opera tanto entiendas físicas como a través de su sitio web y gestiona una programa de fidelización con millones de miembros en la Unión Europea. En el marco de diho programa, la empresa X trataba datos personales de sus clientes tales como nombre, apellidos, datos de contacto y fecha de nacimiento.

 

Desde finales de 2018 hasta febrero de 2024, la empresa X realizó campañas de publicidad dirigida en la red social Z, transmitiendo de forma periódica a la grupo Y los correos electrónicos y/o números de teléfono de los miembros de su programa de fidelización que habían aceptado comunicaciones comerciales, con el fin de cotejarlos con los usuarios de dicha red social y difundir anuncios personalizados.

 

Mediante decisión de 21 de diciembre de 2022, la presidenta de la CNIL ordenó actuaciones de control, consistentes en una inspección en línea del sitio web en enero de 2023 y una inspección presencial en las instalaciones de la empresa. Tras la investigación, la CNIL notificó en mayo de 2025 un informe sancionador por posibles infracciones de los artículos 6, 13, 32 y 35 del RGPD y del artículo 82 de la Ley francesa de Protección de Datos.

 

Dado el carácter transfronterizo de los tratamientos, la CNIL actuó como autoridad de control principal, activándose el mecanismo de cooperación del artículo 60 del RGPD sin objeciones de otras autoridades, y adoptó finalmente la Resolución sancionadora de 30 de diciembre de 2025.

 

2. Motivos de la decisión

La Resolución de la CNIL examina diversos aspectos del tratamiento de datos llevado a cabo por la empresa X, especialmente en relación con su programa de fidelización y las prácticas de publicidad dirigida en la red social Z. A continuación, se analizan los principales fundamentos en los que se apoya la decisión adoptada por la autoridad de control:

1. Tratamientos y condición de responsable. Dentro de la empresa X se distinguen dos operaciones principales: 

  • El programa de fidelización de empresa X.
  • Publicidad dirigida en la red social Z, lo que suponía la transmisión de emails/teléfonos de miembros de X al grupo Y para el cotejo y creación de audiencias similares.

En este sentido, la Resolución confirma que la empresa X actuaba como responsable del tratamiento en las operaciones señaladas. Esto incluye el tratamiento vinculado al sitio web, el programa de fidelización, la transmisión de datos al grupo Y y el funcionamiento de las campañas publicitarias en la red social Z. Aunque pudiera existir corresponsabilidad con Y durante la fase de segmentación publicitaria, esta circunstancia no exoneraba a X de su responsabilidad por haber decidido transmitir los datos personales al grupo Y y determinar los fines de la operación.

 

2. Licitud del tratamiento (art. 6.a) RGPD). La empresa X utilizó el consentimiento como base jurídica para enviar los datos de sus clientes al grupo Y, con el objetivo de mostrarles publicidad en la red social Z cuando hubiera coincidencia de perfiles, e incluso para identificar usuarios similares dentro de la plataforma. Sin embargo, la CNIL determinó que ese consentimiento no era válido porque no era lo suficientemente claro ni específico. Los formularios del programa de fidelización solo contemplaban comunicaciones por SMS o email y no explicaban que los datos podían ser cedidos a un tercero para publicidad en redes sociales. Además, la información sobre esta cesión aparecía de forma dispersa en las políticas de la empresa, lo que impedía que los usuarios entendieran realmente lo que estaban aceptando.

 

La CNIL también señaló que el consentimiento otorgado al registrarse en la red social Z no sustituye al que X debía obtener antes de transmitir datos al grupo Y, ya que se trata de tratamientos distintos. Asimismo, destacó que el uso de medidas técnicas como el hash no corrige la falta de una base jurídica válida para la transmisión. En conjunto, la CNIL concluyó que X incumplió el artículo 6.1.a) del RGPD al realizar la cesión sin un consentimiento adecuado, informado y específico para la finalidad de publicidad dirigida.

 

3. Deber de información (art. 13 RGPD). La información que la empresa X ponía a disposición de los usuarios —como la política de privacidad, las condiciones del programa de fidelización o las condiciones de venta— no explicaba de forma clara ni fácil de entender que sus datos podían ser enviados al grupo Y para realizar publicidad dirigida en la red social Z. Tampoco detallaba cuál era la base legal utilizada, cuál era exactamente la finalidad del tratamiento ni cómo se repartían las responsabilidades entre las partes implicadas. A ello se sumaba que algunos documentos seguían mencionando el antiguo marco Privacy Shield, que quedó invalidado en 2020, lo que contribuía aún más a generar confusión sobre el tratamiento real de los datos.


4. Seguridad del tratamiento y evaluación de impacto (arts. 32 y 35 RGPD). La CNIL detectó importantes fallos de seguridad en la empresa X. En 2023, sus contraseñas tenían muy poca complejidad y se almacenaban con SHA‑256, un método demasiado rápido para protegerlas adecuadamente. Aunque en 2024 y 2025 la empresa reforzó la política de contraseñas y pasó a utilizar Argon2, estas mejoras llegaron tarde: en el momento del control, la seguridad no era suficiente. Por ello, la CNIL concluyó que se infringió el artículo 32 del RGPD.

 

Además, el tratamiento analizado afectaba a más de 10,8 millones de personas y consistía en la cesión y cruce de datos entre X y el grupo Y, lo que hacía obligatoria una evaluación de impacto antes de iniciar el tratamiento. La empresa no la realizó, por lo que la CNIL también declaró una infracción del artículo 35 del RGPD.


5. Cookies (art. 82 Ley francesa de Protección de Datos). Durante la inspección realizada por la CNIL, se comprobó que la web de la empresa X instalaba 11 cookies antes de que el usuario pudiera elegir si las aceptaba o no. Además, estas cookies seguían activas incluso cuando el usuario seleccionaba la opción “Continuar sin aceptar”. Entre ellas había cookies de chat y de personalización, que no son necesarias para el funcionamiento básico de la página y, por tanto, requieren consentimiento previo. Como la empresa no respetó este principio y permitió tanto la instalación como la lectura de estas cookies sin autorización del usuario, la CNIL concluyó que se había infringido el artículo 82 de la Ley francesa de protección de datos.


En resumen, los incumplimientos identificados por la CNIL muestran que la empresa X no garantizó un nivel adecuado conforme al RGPD: consentimiento válido, información transparente y detallada, medidas de seguridad robustas, evaluación de riesgos adecuada e instalación y uso correctos de cookies.


3. Conclusiones

La Resolución de la CNIL evidencia que la empresa X no aplicó adecuadamente las obligaciones básicas de protección de datos estipuladas por el RGPD, sobre todo en tratamientos de gran alcance. En este caso, la autoridad constató incumplimientos en aspectos clave: un consentimiento que no cubría la publicidad en redes sociales, una información incompleta para los usuarios, medidas de seguridad insuficientes y la ausencia de una evaluación de impacto para un tratamiento masivo que implicaba millones de registros. Estos elementos, analizados en su conjunto, demuestran que la empresa no gestionó adecuadamente los riesgos asociados al uso intensivo de datos personales, especialmente en ámbitos tan sensibles como la segmentación publicitaria.


La sanción de 3,5 millones de euros refleja la gravedad y la duración de estas prácticas, pero también la importancia de actuar con rigor desde el diseño mismo de cualquier tratamiento. Para la CNIL, la protección de datos no puede limitarse a ajustes puntuales o correcciones tardías, debe integrarse como parte esencial de la operativa diaria, incluyendo transparencia, seguridad y una evaluación realista de los riesgos.


De este modo, el caso analizado caso demuestra que la confianza de los usuarios y el cumplimiento del RGPD van de la mano, solo las organizaciones que incorporan la privacidad en cada decisión podrán operar de forma responsable y sostenible en el entorno digital actual.

 

Nota informativa elaborada por el equipo de Protección de Datos de ECIJA Madrid.

Una escalera mecánica en un entorno urbano con paredes rojas y luces brillantes.

Socios relacionados

ACTUALIDAD #ECIJA