Sanció de la CNIL per transferència de dades a una plataforma publicitària
1. Fets i procediment
En primer lloc, cal assenyalar que la CNIL ha anonimitzat aquests procediments disciplinaris, de manera que l'entitat contra la qual es va presentar la reclamació es denomina «empresa X», el destinatari de les dades «grup Y» i la xarxa social que posseeix «xarxa social Z».
L'empresa X és una entitat que opera tant a través de botigues físiques com del seu lloc web i gestiona un programa de fidelització amb milions de membres a la Unió Europea. Com a part d'aquest programa, l'empresa X va tractar les dades personals dels seus clients, com ara el seu nom i cognoms, les dades de contacte i la data de naixement.
Des de finals del 2018 fins al febrer del 2024, l'empresa X va dur a terme campanyes de publicitat dirigida a la xarxa social Z, transmetent periòdicament al grup Y les adreces de correu electrònic i/o els números de telèfon dels membres del seu programa de fidelització que havien acceptat les comunicacions comercials, amb la finalitat d'associar-los amb usuaris d'aquesta xarxa social i difondre anuncis personalitzats.
Per decisió del 21 de desembre de 2022, el president de la CNIL va ordenar mesures de control, que consistien en una inspecció en línia del lloc web el gener de 2023 i una inspecció in situ a les instal·lacions de l'empresa. Arran de la investigació, el maig de 2025 la CNIL va emetre un informe de sanció per possibles infraccions dels articles 6, 13, 32 i 35 del RGPD i de l'article 82 de la Llei francesa de protecció de dades.
Atesa la naturalesa transfronterera del tractament, la CNIL va actuar com a autoritat de supervisió principal, activant el mecanisme de cooperació de l'article 60 del RGPD sense objecció d'altres autoritats, i finalment va adoptar la decisió sancionadora el 30 de desembre de 2025.
2. Motius de la decisió
La decisió de la CNIL examina diversos aspectes del tractament de dades dut a terme per l'empresa X, especialment en relació amb el seu programa de fidelització i les pràctiques de publicitat dirigida a la xarxa social Z. A continuació, s'analitzen els motius principals en què es va basar l'autoritat de supervisió per adoptar la seva decisió:
1. Tractament i condició de responsable del tractament. Es poden distingir dues operacions principals dins de l'empresa X:
- El programa de fidelització de l'empresa X.
- Publicitat segmentada a la xarxa social Z, que va implicar la transferència de correus electrònics/números de telèfon dels membres d'X al grup Y per a la comparació i la creació de públics similars.
En aquest sentit, la Resolució confirma que l'empresa X va actuar com a responsable del tractament en les operacions esmentades. Això inclou el tractament relacionat amb el lloc web, el programa de fidelització, la transferència de dades al grup Y i la gestió de campanyes publicitàries a la xarxa social Z. Tot i que hi ha hagut una responsabilitat conjunta amb Y durant la fase de segmentació publicitària, aquesta circumstància no eximia X de la seva responsabilitat per haver decidit transferir les dades personals al grup Y i per haver determinat les finalitats de l'operació.
2. Llicitud del tractament (art. 6.a RGPD). L'empresa X va utilitzar el consentiment com a base jurídica per enviar les dades dels seus clients al grup Y, amb l'objectiu de mostrar-los publicitat a la xarxa social Z quan hi havia una coincidència de perfil, i fins i tot per identificar usuaris similars dins de la plataforma. No obstant això, la CNIL va determinar que aquest consentiment no era vàlid perquè no era prou clar ni específic. Els formularis del programa de fidelització feien referència només a les comunicacions per SMS o correu electrònic i no explicaven que les dades es podrien transferir a tercers per a publicitat a les xarxes socials. A més, la informació sobre aquesta transferència estava dispersa per les polítiques de l'empresa, la qual cosa impedia que els usuaris entenguessin realment a què estaven donant el seu consentiment.
La CNIL també va assenyalar que el consentiment atorgat en registrar-se a la xarxa social Z no substitueix el consentiment que X havia d'obtenir abans de transferir dades al grup Y, ja que es tracta de tipus de tractament diferents. També va subratllar que l'ús de mesures tècniques com el hashing no subsana la manca d'una base jurídica vàlida per a la transferència. En general, la CNIL va concloure que X havia infringit l'article 6.1.a del RGPD en transferir dades sense un consentiment adequat, informat i específic amb la finalitat de la publicitat dirigida.
3. Obligació d'informar (art. 13 RGPD). La informació que l'empresa X va posar a disposició dels usuaris —com ara la política de privacitat, les condicions generals del programa de fidelització i les condicions generals de venda— no explicava de manera clara i fàcil d'entendre que les seves dades es podrien enviar al grup Y per a la publicitat comportamental a la xarxa social Z. Tampoc no detallava la base jurídica utilitzada, la finalitat exacta del tractament ni com es repartien les responsabilitats entre les parts implicades. A més, alguns documents encara feien referència a l'antic marc del Privacy Shield, que va ser invalidat el 2020, la qual cosa contribuïa encara més a la confusió sobre el tractament real de les dades.
4. Seguretat del tractament i avaluació d'impacte (articles 32 i 35 del RGPD). La CNIL va detectar llacunes de seguretat importants a l'empresa X. El 2023, les seves contrasenyes no eren gaire complexes i s'emmagatzemaven amb SHA-256, un mètode massa ràpid per protegir-les adequadament. Tot i que el 2024 i el 2025 l'empresa va reforçar la seva política de contrasenyes i va passar a Argon2, aquestes millores van arribar massa tard: en el moment de la inspecció, la seguretat era insuficient. Per tant, la CNIL va concloure que s'havia infringit l'article 32 del RGPD.
A més, el tractament analitzat va afectar més de 10,8 milions de persones i consistia en la transferència i interrelació de dades entre X i el grup Y, la qual cosa feia obligatòria una avaluació d'impacte abans de començar el tractament. L'empresa no la va dur a terme, de manera que la CNIL també va declarar una infracció de l'article 35 del RGPD.
5. Cookies (art. 82 de la Llei francesa de protecció de dades). Durant la inspecció realitzada per la CNIL, es va constatar que el lloc web de l'empresa X instal·lava 11 cookies abans que l'usuari pogués triar si acceptar-les o no. A més, aquestes cookies romanien actives fins i tot quan l'usuari seleccionava l'opció «Continuar sense acceptar». Aquestes incloïen galetes de xat i de personalització, que no són necessàries per al funcionament bàsic del lloc i que, per tant, requereixen el consentiment previ. Com que l'empresa no va respectar aquest principi i va permetre tant la instal·lació com la lectura d'aquestes galetes sense l'autorització de l'usuari, la CNIL va concloure que s'havia infringit l'article 82 de la Llei francesa de protecció de dades.
En resum, les infraccions identificades per la CNIL mostren que l'empresa X no va garantir un nivell adequat de compliment del RGPD: consentiment vàlid, informació transparent i detallada, mesures de seguretat sòlides, avaluació de riscos adequada i instal·lació i ús correctes de les galetes.
3. Conclusions
La decisió de la CNIL mostra que l'empresa X no va aplicar adequadament les obligacions bàsiques de protecció de dades establertes pel RGPD, especialment pel que fa al tractament a gran escala. En aquest cas, l'autoritat va trobar infraccions en àrees clau: un consentiment que no cobria la publicitat a les xarxes socials, informació incompleta per als usuaris, mesures de seguretat insuficients i l'absència d'una avaluació d'impacte per al tractament massiu de milions de registres. Aquests elements, analitzats en conjunt, mostren que l'empresa no va gestionar adequadament els riscos associats a l'ús intensiu de les dades personals, especialment en àrees sensibles com la segmentació publicitària.
La multa de 3,5 milions d'euros reflecteix la gravetat i la durada d'aquestes pràctiques, però també la importància d'actuar amb rigor des de la mateixa fase de disseny de qualsevol tractament. Per a la CNIL, la protecció de dades no es pot limitar a ajustaments ad hoc o correccions tardanes; s'ha d'integrar com una part essencial de les operacions diàries, incloent-hi la transparència, la seguretat i una avaluació de riscos realista.
Així doncs, el cas analitzat demostra que la confiança dels usuaris i el compliment del RGPD van de la mà; només les organitzacions que incorporen la privacitat en cada decisió podran operar de manera responsable i sostenible en l'entorn digital actual.
Nota informativa elaborada per l'equip de Protecció de Dades d'ECIJA Madrid.
