La Comisión Nacional de Informática y Libertades (CNIL) compartió este 17 de agosto una convicción del grupo hotelero francés Accor. El regulador decidió imponer una multa de 600.000 euros a la empresa por varios incumplimientos, tras las denuncias que se enviaron a la CNIL y otras autoridades europeas de protección de datos. En particular, la empresa realizó prospecciones comerciales sin el consentimiento de los interesados y no respetó los derechos de sus clientes en varias ocasiones.
Los clientes se suscribieron automáticamente a un boletín
La CNIL explicó que había realizado un control a raíz de las quejas de los clientes que le permitió observar varias deficiencias. Accor violó el Reglamento General de Protección de Datos (GDPR) por cuatro motivos distintos, así como la ley francesa por un motivo. Cuando una persona hacía una reserva en el sitio de un hotel perteneciente al grupo, o incluso directamente con un miembro del personal, automáticamente se suscribía a un boletín informativo que incluía ofertas comerciales.
Apple quiere producir Apple Watch y MacBook en Vietnam
Esta práctica en particular es una violación de la legislación francesa sobre la obligación de obtener el consentimiento de la persona en cuestión para procesar sus datos con fines de prospección comercial. La casilla relativa al consentimiento para recibir el boletín estaba marcada por defecto, ilegal en Francia.
Según la CNIL, la protección de datos no era suficiente
La CNIL también descubrió varias infracciones del RGPD. Entre ellos, la CNIL constató anomalías técnicas que impidieron que un gran número de clientes se opusiera a la recepción de mensajes de prospección recibidos durante varias semanas en sus buzones de correo electrónico. Además, existe un incumplimiento de la obligación de respetar el derecho de acceso de las personas a sus datos personales, porque Accor no respondió a las reiteradas solicitudes de un denunciante dentro de los plazos impuestos por la ley.
La empresa también es condenada por contraseñas” insuficientemente robusto para proteger su base de datos, que contiene información confidencial sobre sus clientes. Finalmente, una persona fue invitada por la empresa a enviar su documento de identidad por correo electrónico, sin que se tomara ninguna precaución para encriptar estos datos confidenciales. Cuando se hizo pública la condena, Accor cumplió con todas las infracciones señaladas por la CNIL.