Sanção da CNIL por transferência de dados para uma plataforma de publicidade

1. Factos e procedimento

Em primeiro lugar, deve notar-se que a CNIL anonimizou estes processos disciplinares, o que significa que a entidade contra a qual a queixa foi apresentada é referida como "Empresa X", o destinatário dos dados como "Grupo Y" e a rede social como "Rede Social Z".

A Empresa X é uma entidade que opera tanto através de lojas físicas como do seu sítio Web e gere um programa de fidelização com milhões de membros em toda a União Europeia. Como parte deste programa, a Empresa X processou os dados pessoais dos seus clientes, tais como os seus nomes, detalhes de contacto e data de nascimento.

Desde o final de 2018 até fevereiro de 2024, a empresa X realizou campanhas publicitárias direcionadas na rede social Z, transmitindo periodicamente ao grupo Y os endereços de correio eletrónico e/ou números de telefone dos membros do seu programa de fidelização que tinham consentido em comunicações comerciais, com o objetivo de os associar aos utilizadores dessa rede social e difundir anúncios personalizados.

Por decisão de 21 de dezembro de 2022, o presidente da CNIL ordenou medidas de controlo, que consistiram numa inspeção online do sítio Web em janeiro de 2023 e numa inspeção no local nas instalações da empresa. Na sequência da investigação, em maio de 2025, a CNIL emitiu um relatório de sanções por possíveis violações dos artigos 6, 13, 32 e 35 do RGPD e do artigo 82 da lei francesa de proteção de dados.

Dada a natureza transfronteiriça do tratamento, a CNIL actuou como autoridade de controlo principal, activando o mecanismo de cooperação do artigo 60.º do RGPD sem objecções de outras autoridades, e acabou por adotar a decisão de sanção em 30 de dezembro de 2025.

2. Motivos da decisão

A decisão da CNIL analisa vários aspectos do tratamento de dados efectuado pela empresa X, nomeadamente no que se refere ao seu programa de fidelização e às práticas de publicidade direcionada na rede social Z. De seguida, são analisados os principais motivos em que a autoridade de controlo baseou a sua decisão:

1. Tratamento e estatuto do responsável pelo tratamento de dados. Podem distinguir-se duas operações principais na empresa X:

• O programa de fidelização da empresa X.
• Publicidade direcionada na Rede Social Z, que envolveu a transferência de e-mails/números de telefone dos membros da empresa X para o Grupo Y para correspondência e criação de públicos semelhantes.

A este respeito, a Resolução confirma que a Empresa X actuou como responsável pelo tratamento de dados nas operações mencionadas. Isto inclui o tratamento relacionado com o sítio Web, o programa de fidelização, a transferência de dados para o Grupo Y e a gestão de campanhas publicitárias na Rede Social Z. Embora tenha havido responsabilidade conjunta com Y durante a fase de segmentação da publicidade, esta circunstância não isentou X da sua responsabilidade pela decisão de transferir os dados pessoais para o Grupo Y e pela determinação das finalidades da operação.

2. Legalidade do tratamento (art. 6.º, alínea a), do RGPD). A empresa X utilizou o consentimento como base legal para enviar os dados dos seus clientes ao Grupo Y, com o objetivo de lhes mostrar anúncios na Rede Social Z quando houvesse um perfil correspondente e até para identificar utilizadores semelhantes dentro da plataforma. No entanto, a CNIL determinou que este consentimento não era válido por não ser suficientemente claro ou específico. Os formulários do programa de fidelização apenas faziam referência a comunicações por SMS ou correio eletrónico e não explicavam que os dados podiam ser transferidos para terceiros para publicidade nas redes sociais. Além disso, a informação relativa a esta transferência estava dispersa pelas políticas da empresa, o que tornava difícil para os utilizadores compreenderem efetivamente o que estavam a consentir.

A CNIL salientou ainda que o consentimento dado aquando do registo na rede social Z não substitui o consentimento que X teve de obter antes de transferir os dados para o grupo Y, uma vez que se trata de tratamentos diferentes. Sublinhou também que a utilização de medidas técnicas como o hashing não colmata a falta de uma base jurídica válida para a transferência. Em termos gerais, a CNIL concluiu que X violou o artigo 6.º, n.º 1, alínea a), do RGPD ao transferir dados sem consentimento adequado, informado e específico para efeitos de publicidade direcionada.

3. Obrigação de informar (art. 13.º do RGPD). A informação que a Empresa X disponibilizou aos utilizadores - como a política de privacidade, as condições gerais do programa de fidelização e as condições gerais de venda - não explicava de forma clara e fácil que os seus dados poderiam ser enviados ao Grupo Y para publicidade comportamental na Rede Social Z. Também não detalhava a base jurídica utilizada, a finalidade exacta do tratamento ou a forma como as responsabilidades eram distribuídas entre as partes envolvidas. Além disso, alguns documentos ainda faziam referência ao antigo quadro do Escudo de Proteção da Privacidade, que foi invalidado em 2020, o que contribuiu ainda mais para a confusão quanto ao tratamento efetivo dos dados.

4. Segurança do tratamento e avaliação de impacto (artigos 32.º e 35.º do RGPD). A CNIL detectou lacunas de segurança significativas na empresa X. Em 2023, as suas palavras-passe não eram muito complexas e eram armazenadas utilizando SHA-256, um método demasiado rápido para as proteger adequadamente. Embora em 2024 e 2025 a empresa tenha reforçado a sua política de palavras-passe e passado a utilizar o Argon2, estas melhorias chegaram demasiado tarde: no momento da inspeção, a segurança era insuficiente. Por conseguinte, a CNIL concluiu que o artigo 32.º do RGPD tinha sido violado.

Além disso, o tratamento analisado afectava mais de 10,8 milhões de pessoas e implicava a transferência e a inter-relação de dados entre X e o Grupo Y, o que tornava obrigatória uma avaliação de impacto antes do início do tratamento. A empresa não a efectuou, o que levou a CNIL a declarar também uma violação do artigo 35.

5. Cookies (art. 82 da lei francesa sobre a proteção de dados). Durante a inspeção realizada pela CNIL, verificou-se que o sítio Web da empresa X instalava 11 cookies antes de o utilizador poder escolher se os aceitava ou não. Além disso, estes cookies permaneciam activos mesmo quando o utilizador seleccionava a opção "Continuar sem aceitar". Estes incluíam cookies de conversação e de personalização, que não são necessários para o funcionamento básico do sítio e que, por conseguinte, requerem um consentimento prévio. Uma vez que a empresa não respeitou este princípio e permitiu tanto a instalação como a leitura destes cookies sem a autorização do utilizador, a CNIL concluiu que o artigo 82.

Em resumo, as violações identificadas pela CNIL mostram que a empresa X não assegurou um nível adequado de conformidade com o RGPD: consentimento válido, informação transparente e detalhada, medidas de segurança robustas, avaliação de risco adequada e instalação e utilização corretas de cookies.

3. Conclusões

A decisão da CNIL mostra que a empresa X não implementou adequadamente as obrigações básicas de proteção de dados estabelecidas pelo RGPD, em particular no que diz respeito ao tratamento em grande escala. Neste caso, a autoridade encontrou violações em áreas-chave: consentimento que não abrangia a publicidade nas redes sociais, informação incompleta para os utilizadores, medidas de segurança insuficientes e ausência de uma avaliação de impacto para o tratamento em massa de milhões de registos. Estes elementos, analisados em conjunto, demonstram que a empresa não geriu adequadamente os riscos associados à utilização intensiva de dados pessoais, especialmente em áreas sensíveis como a publicidade direcionada.

A coima de 3,5 milhões de euros reflecte a gravidade e a duração destas práticas, mas também a importância de agir com rigor desde a fase de conceção de qualquer tratamento. Para a CNIL, a proteção de dados não pode limitar-se a ajustamentos ad hoc ou a correcções tardias; deve ser integrada como parte essencial das operações diárias, incluindo a transparência, a segurança e a avaliação realista dos riscos.

Assim, o caso analisado demonstra que a confiança dos utilizadores e a conformidade com o RGPD andam de mãos dadas; apenas as organizações que incorporam a privacidade em todas as decisões podem operar de forma responsável e sustentável no atual ambiente digital.

Nota informativa elaborada pela equipa de Proteção de Dados da ECIJA Madrid.