Últimas notícias

Fique informado

Carrefour é multado em mais de 3 milhões de euros por violar normas de proteção de dados

3 de dezembro de 2020

Spotlight

Reconhecimento facial sem prova de vida está com os dias contados, afirma CEO de uma das principais plataformas brasileiras de biometria facial

Conversamos com José Luis Volpini, CEO da CredDefense, uma das pioneiras e mais conceituadas plataformas de biometria facial do mercado brasileiro.

6 de janeiro de 2021

Carimbo do Tempo dá início ao fim da era dos protocolos proprietários na ICP-Brasil. Ouça

Segundo Dr. Roberto Gallo, o fim da era dos protocolos proprietários na ICP-Brasil tem data marcada e deve beneficiar fabricantes, prestadores de serviços e clientes finais.

28 de dezembro de 2020

Em tempo de mobilidade extrema e home office, como controlar o perímetro de segurança da empresa? Ouça

Conversamos com Jan Rochat da AET Europe, sobre a eficiência das tecnologias que protegem as informações das empresas, especialmente nesse momento de extrema necessidade de mobilidade das pessoas em “home office.

8 de dezembro de 2020

Identificar, confiar e conectar. Quantas vezes por dia nos autenticamos?

Controlar credencias de acesso nas organizações é tão difícil quanto

2 de dezembro de 2020

Doutor Fabiano Menke Concede Entrevista Sobre a Evolução das Assinaturas Eletrônicas

Nesta entrevista Dr. Fabiano Menke fala sobre a Lei 14.063 de setembro de 2020 e sobre o Decreto 14.543 de novembro de 2020 sobre os tipos de assinaturas eletrônicas

25 de novembro de 2020

A classificação de dados é a chave para proteger as informações, incluindo o cumprimento das normas GDPR e LGPD

Martin Sugden, CEO da Boldon James, alertou para a execução da LGPD: “empresas devem saber que tipo de informação têm, se são mantidas e como lidar com elas”

3 de dezembro de 2018

A autoridade francesa responsável pela fiscalização do tratamento de dados pessoais dos cidadãos franceses multou duas subsidiárias do Carrefour em um total de 3,05 milhões de euros por violar as regras de privacidade de dados da União Europeia

Após receber diversas queixas contra o grupo Carrefour, a Commission Nationale de l’Informatique et des Libertés (Autoridade Francesa de Proteção de Dados, a “CNIL”) realizou inspeções entre maio e julho de 2019 no Carrefour França (setor de varejo de massa) e no Carrefour Banque (setor bancário).

Como resultado das inspeções, a CNIL encontrou uma série de violações no processamento de dados de clientes e potenciais clientes e, consequentemente, impôs uma multa de 2.250.000 euros ao Carrefour França e uma multa de 800.000 euros ao Carrefour Banque. 

Violações da obrigação de informar os indivíduos (Artigo 13 do GDPR)

As informações fornecidas aos usuários dos sites carrefour.fr e carrefour-banque.fr, bem como às pessoas que desejavam aderir ao programa de fidelidade ou ao cartão “Pass”, não eram facilmente acessíveis, nem de fácil compreensão (informações redigidas em termos gerais e imprecisos, às vezes com redação desnecessariamente complicada).

Além disso, estava incompleto em relação ao período de retenção de dados. Em relação ao site carrefour.fr, as informações também eram insuficientes no que diz respeito às transferências internacionais de dado. Violações com relação ao uso de cookies (Artigo 82 da Lei Francesa de Proteção de Dados).

Ademais, a CNIL constatou que quando um usuário se conectava ao site carrefour.fr ou carrefour-banque.fr, vários cookies eram armazenados automaticamente em seu terminal, antes de qualquer aviso ou notificação ao usuário. Como vários desses cookies foram usados para fins publicitários, o consentimento do usuário deveria ter sido coletado de forma prévia ao armazenamento de tais cookies, o que não aconteceu.

Violação da obrigação de limitar a duração do armazenamento de dados (Artigo 5.1.e do GDPR)

O Carrefour França não cumpriu os períodos de retenção de dados que havia estabelecido e publicado em suas políticas.  Os dados de mais de vinte e oito milhões de clientes inativos por cinco a dez anos eram mantidos como parte do programa de fidelidade.

O mesmo aconteceu com 750.000 usuários do site carrefour.fr que estiveram inativos por mais cinco a dez anos. Além disso, a CNIL considerou que um período de retenção de 4 anos para os dados do cliente após a sua última compra era excessivo. Segundo o órgão, esse prazo, inicialmente definido pela empresa, supera o necessário no varejo de massa, dados os padrões de consumo dos clientes que fazem compras, principalmente com alguma regularidade.


Violação da obrigação de facilitar o exercício dos direitos do titular dos dados (Artigo 12 do GDPR)O Carrefour França exigia, salvo objeções à prospecção comercial, prova de identidade para qualquer solicitação de exercício de direito.

A CNIL considerou que este pedido sistemático de prova de identidade não se justificava, uma vez que não havia dúvidas quanto à identidade das pessoas que solicitavam o exercício de seus direitos. Além disso, a empresa não processava várias das solicitações recebidas de exercício de direitos dentro dos prazos exigidos pelo GDPR.

Falta de respeito pelos direitos do titular dos dados (artigos 15, 17 e 21 do GDPR e artigo L34-5 do Código Postal e das Comunicações Eletrônicas da França)

Em primeiro lugar, o Carrefour France não respondeu a vários pedidos de indivíduos que pretendiam acessar seus dados pessoais. Ocorreu, ainda, em vários outros casos, a empresa não apagar os dados pessoais dos clientes cuja eliminação tinha sido solicitada pelo titular. 

Por fim, a empresa não atendeu a diversos pedidos de particulares que se opuseram ao recebimento de publicidade por SMS ou e-mail. Violação da obrigação de processar dados pessoais de maneira justa (Artigo 5 do GDPR).

Sempre que um indivíduo subscritor do cartão Pass (um cartão de crédito que pode ser anexado à conta de fidelização) também desejasse aderir ao programa de fidelidade, tinha de assinalar uma caixa indicando que aceitou que o Carrefour Banque comunicasse ao “Carrefour fidélité” seu sobrenome, nome e endereço de e-mail.

O Carrefour Banque indicava explicitamente via notificação que nenhum outro dado seria transmitido. No entanto, a CNIL constatou que foram transmitidos outros dados, como o endereço postal, o número de telefone e o número de filhos, embora a empresa se tenha comprometido a não transmitir quaisquer outros dados.

Base utilizada para o cálculo da multa aplicada ao Carrefour França

O Carrefour França contestou a base de cálculo da multa utilizada pela CNIL que, em sua deliberação, incluiu o conceito de “empreendimento” em sua análise. Recorda-se que o artigo 83-5 do RGPD prevê que o montante das multas aplicadas por infrações comprovadas pode ascender “no caso de uma empresa, até 4% do volume de negócios anual total a nível mundial do exercício anterior”.

De acordo com o considerando 150 do RGPD, “quando são aplicadas multas administrativas a uma empresa, para o efeito, uma empresa deve ser entendida como uma empresa nos termos dos artigos 101.º e 102.º do TFUE”.

Por último, as orientações sobre a aplicação e fixação de multas administrativas para efeitos do Regulamento 2016/679 especificam que “para aplicar multas que sejam efetivas, proporcionadas e dissuasivas, a autoridade de supervisão deve recorrer à definição do conceito de empresa prevista pelo TJUE para efeitos da aplicação dos artigos 101.º e 102.º do TFUE, a saber, que o conceito de empresa é entendido como uma unidade econômica, que pode ser formada pela sociedade-mãe e todas as filiais envolvidas.

De acordo com o direito e a jurisprudência da UE, deve entender-se por empresa a unidade que desenvolve atividades comerciais / econômicas, independentemente da pessoa coletiva envolvida (considerando 150)”.No entanto, a CNIL considerou que a organização jurídica do Grupo Carrefour, e em particular do Carrefour France e suas subsidiárias, tornaria qualquer multa aplicada apenas ao volume de negócios do Carrefour France, ineficaz.

Por conseguinte, decidiu, para avaliar o conceito de “empresa” dos artigos 101.º e 102.º do TFUE, ter em conta o volume de negócios realizado pelo Carrefour França somado às filiais que possui e que se beneficiaram do tratamento inadequado de dados. 

Dessa forma, considerou o volume de negócios da empresa no sentido de uma unidade econômica, onde serviu de base de cálculo a multa que ascendeu a 14,9 mil milhões de euros em 2019.

Fonte: LGPD News

2021: o que muda na segurança de dados

Em dois anos, GDPR na União Europeia já aplicou 785 multas

GDPR muda a confiança do consumidor e a segurança dos dados na Europa e o que esperar da LGPD para o Brasil  

Confira mais sobre proteção de dados em nossa coluna aqui!

  Explore outros artigos!