Como parte de un procedimiento de sanción iniciado por la Comisión Nacional de Informática y Libertades (CNIL), la empresa emergente israelí-estadounidense Lusha no recibió la orden de pagar una multa ni de detener sus actividades ilícitas. Acusada de haber tomado datos de contacto de la libreta de direcciones de sus usuarios, la policía francesa de protección de datos personales se dio cuenta de que el RGPD no se aplicaba en su caso.
La CNIL investigó el caso del joven estadounidense shoot
La startup israelí-estadounidense Lusha es conocida por comercializar una extensión de navegador web. Revela a los usuarios los datos de contacto profesional de las personas con un perfil en LinkedIn o Salesforce. La herramienta funciona con varias aplicaciones de gestión de contactos como Mailbook, Simpler o Cleaner Pro.
Si para Lusha, su extensión tiene como objetivo luchar contra el fraude en línea, la CNIL no tuvo la misma opinión. Para la autoridad reguladora, la puesta en marcha no proporcionó suficiente información sobre cómo se recopilaron y luego procesaron los datos. Tras la recepción de una quincena de denuncias entre 2018 y 2021, el presidente de la CNIL solicitó al comité restringido que investigara el caso Lusha.
Cada vez que el Comité Restringido tuvo que analizar las acciones de una empresa bajo el RGPD, sancionó a la empresa en cuestión con al menos una multa. Esta vez, la CNIL despidió a Lusha.
Los tres artículos principales del RGPD no aplicables al caso Lusha
En su deliberación publicada a finales de 2022, la formación restringida afirma que la empresa ha recuperado sin su consentimiento los números de teléfono profesionales y las direcciones de correo electrónico de 1,5 millones de franceses. A pesar de este fracaso, la CNIL se dio cuenta de que era muy posible que una empresa sin vínculos en Europa configurara este proceso para recuperar datos personales.
De hecho, el RGPD sanciona a las empresas establecidas dentro de la Unión Europea. Más simplemente, si una empresa es extranjera y tiene instalaciones en uno de los países miembros, tendrá que cumplir con el RGPD. Es el caso de WhatsApp y Amazon, que son empresas americanas presentes en Europa y que han sido sancionadas por su incumplimiento del marco legislativo europeo. Si la empresa no está establecida en Europa, la regulación no se aplica. Como tal, la prueba del establecimiento no puede aplicarse al caso Lusha.
Dado que su extensión no está vinculada a una oferta de bienes o servicios a las personas interesadas, el criterio relativo a estas ofertas no es aplicable. Finalmente, la CNIL ha demostrado que los datos recopilados por Lusha no le permitieron perfilar a las personas objetivo. Tampoco es aplicable el criterio relativo al seguimiento del comportamiento de las personas afectadas.