A autoridade francesa responsável pela fiscalização do tratamento de dados pessoais dos cidadãos franceses multou duas subsidiárias do Carrefour em um total de 3,05 milhões de euros por violar as regras de privacidade de dados da União Europeia
Após receber diversas queixas contra o grupo Carrefour, a Commission Nationale de l’Informatique et des Libertés (Autoridade Francesa de Proteção de Dados, a “CNIL”) realizou inspeções entre maio e julho de 2019 no Carrefour França (setor de varejo de massa) e no Carrefour Banque (setor bancário).
Como resultado das inspeções, a CNIL encontrou uma série de violações no processamento de dados de clientes e potenciais clientes e, consequentemente, impôs uma multa de 2.250.000 euros ao Carrefour França e uma multa de 800.000 euros ao Carrefour Banque.
Violações da obrigação de informar os indivíduos (Artigo 13 do GDPR)
As informações fornecidas aos usuários dos sites carrefour.fr e carrefour-banque.fr, bem como às pessoas que desejavam aderir ao programa de fidelidade ou ao cartão “Pass”, não eram facilmente acessíveis, nem de fácil compreensão (informações redigidas em termos gerais e imprecisos, às vezes com redação desnecessariamente complicada).
Além disso, estava incompleto em relação ao período de retenção de dados. Em relação ao site carrefour.fr, as informações também eram insuficientes no que diz respeito às transferências internacionais de dado. Violações com relação ao uso de cookies (Artigo 82 da Lei Francesa de Proteção de Dados).
Ademais, a CNIL constatou que quando um usuário se conectava ao site carrefour.fr ou carrefour-banque.fr, vários cookies eram armazenados automaticamente em seu terminal, antes de qualquer aviso ou notificação ao usuário. Como vários desses cookies foram usados para fins publicitários, o consentimento do usuário deveria ter sido coletado de forma prévia ao armazenamento de tais cookies, o que não aconteceu.
Violação da obrigação de limitar a duração do armazenamento de dados (Artigo 5.1.e do GDPR)
O Carrefour França não cumpriu os períodos de retenção de dados que havia estabelecido e publicado em suas políticas. Os dados de mais de vinte e oito milhões de clientes inativos por cinco a dez anos eram mantidos como parte do programa de fidelidade.
O mesmo aconteceu com 750.000 usuários do site carrefour.fr que estiveram inativos por mais cinco a dez anos. Além disso, a CNIL considerou que um período de retenção de 4 anos para os dados do cliente após a sua última compra era excessivo. Segundo o órgão, esse prazo, inicialmente definido pela empresa, supera o necessário no varejo de massa, dados os padrões de consumo dos clientes que fazem compras, principalmente com alguma regularidade.
Violação da obrigação de facilitar o exercício dos direitos do titular dos dados (Artigo 12 do GDPR)O Carrefour França exigia, salvo objeções à prospecção comercial, prova de identidade para qualquer solicitação de exercício de direito.
A CNIL considerou que este pedido sistemático de prova de identidade não se justificava, uma vez que não havia dúvidas quanto à identidade das pessoas que solicitavam o exercício de seus direitos. Além disso, a empresa não processava várias das solicitações recebidas de exercício de direitos dentro dos prazos exigidos pelo GDPR.
Falta de respeito pelos direitos do titular dos dados (artigos 15, 17 e 21 do GDPR e artigo L34-5 do Código Postal e das Comunicações Eletrônicas da França)
Em primeiro lugar, o Carrefour France não respondeu a vários pedidos de indivíduos que pretendiam acessar seus dados pessoais. Ocorreu, ainda, em vários outros casos, a empresa não apagar os dados pessoais dos clientes cuja eliminação tinha sido solicitada pelo titular.
Por fim, a empresa não atendeu a diversos pedidos de particulares que se opuseram ao recebimento de publicidade por SMS ou e-mail. Violação da obrigação de processar dados pessoais de maneira justa (Artigo 5 do GDPR).
Sempre que um indivíduo subscritor do cartão Pass (um cartão de crédito que pode ser anexado à conta de fidelização) também desejasse aderir ao programa de fidelidade, tinha de assinalar uma caixa indicando que aceitou que o Carrefour Banque comunicasse ao “Carrefour fidélité” seu sobrenome, nome e endereço de e-mail.
O Carrefour Banque indicava explicitamente via notificação que nenhum outro dado seria transmitido. No entanto, a CNIL constatou que foram transmitidos outros dados, como o endereço postal, o número de telefone e o número de filhos, embora a empresa se tenha comprometido a não transmitir quaisquer outros dados.
Base utilizada para o cálculo da multa aplicada ao Carrefour França
O Carrefour França contestou a base de cálculo da multa utilizada pela CNIL que, em sua deliberação, incluiu o conceito de “empreendimento” em sua análise. Recorda-se que o artigo 83-5 do RGPD prevê que o montante das multas aplicadas por infrações comprovadas pode ascender “no caso de uma empresa, até 4% do volume de negócios anual total a nível mundial do exercício anterior”.
De acordo com o considerando 150 do RGPD, “quando são aplicadas multas administrativas a uma empresa, para o efeito, uma empresa deve ser entendida como uma empresa nos termos dos artigos 101.º e 102.º do TFUE”.
Por último, as orientações sobre a aplicação e fixação de multas administrativas para efeitos do Regulamento 2016/679 especificam que “para aplicar multas que sejam efetivas, proporcionadas e dissuasivas, a autoridade de supervisão deve recorrer à definição do conceito de empresa prevista pelo TJUE para efeitos da aplicação dos artigos 101.º e 102.º do TFUE, a saber, que o conceito de empresa é entendido como uma unidade econômica, que pode ser formada pela sociedade-mãe e todas as filiais envolvidas.“
“De acordo com o direito e a jurisprudência da UE, deve entender-se por empresa a unidade que desenvolve atividades comerciais / econômicas, independentemente da pessoa coletiva envolvida (considerando 150)”.No entanto, a CNIL considerou que a organização jurídica do Grupo Carrefour, e em particular do Carrefour France e suas subsidiárias, tornaria qualquer multa aplicada apenas ao volume de negócios do Carrefour France, ineficaz.
Por conseguinte, decidiu, para avaliar o conceito de “empresa” dos artigos 101.º e 102.º do TFUE, ter em conta o volume de negócios realizado pelo Carrefour França somado às filiais que possui e que se beneficiaram do tratamento inadequado de dados.
Dessa forma, considerou o volume de negócios da empresa no sentido de uma unidade econômica, onde serviu de base de cálculo a multa que ascendeu a 14,9 mil milhões de euros em 2019.
Fonte: LGPD News
2021: o que muda na segurança de dados
Em dois anos, GDPR na União Europeia já aplicou 785 multas