La CNIL emitió un sanción significativa contra la empresa Kaspr. Este proveedor de una extensión de Chrome destinada a recuperar los datos de contacto profesionales de los usuarios de la red social LinkedIn fue condenado a pagar una multa de 240.000€.
Recopilación de datos controvertidos
Kaspr ofrece una solución técnica que permite el acceso a los datos de contacto profesionales de las personas cuyo perfil se consulta en LinkedIn. Según el policía de datos personales francés, este método viola varios principios fundamentales del Reglamento General de Protección de Datos (GDPR). Los usuarios de LinkedIn pueden optar por restringir la visibilidad de su información personal, pero Kaspr continuó recopilando estos datos a pesar de las preferencias de privacidad establecidas por los usuarios.
Precisamente este punto provocó la ira de la CNIL. De hecho, considera que cuando las personas optan por limitar el acceso a sus datos de contacto, esta elección debe ser respetada inequívocamente por terceros. La recopilación sistemática de datos privados constituye una clara violación expectativas razonables de los usuarios de una red profesional como LinkedIn.
Almacenamiento de datos prolongado y desproporcionado
Además de la problemática recopilación de datos de contacto, la CNIL también critica a Kaspr por una gestión inadecuada del plazo de conservación de los datos. Generalmente, la información se conservaba durante cinco años, plazo considerado excesivo especialmente para profesionales que cambian frecuentemente de puesto. Además, cada actualización realizada por un usuario ampliaba este período de conservación, agravando aún más la desproporción del tratamiento de datos.
La CNIL destacó que este enfoque contravenía directamente la obligación de proporcionalidad establecida por el RGPD. Decidió que la empresa debe revisar imperativamente sus prácticas para cumplir con los requisitos legales, en particular ajustando el período de retención de la información recopilada.
Incumplimiento de la obligación de transparencia
La transparencia es un pilar clave del RGPD y esta es otra área en la que Kaspr se ha quedado corto. Hasta 2022, los interesados no fueron informados sobre la recopilación o el uso de sus datos personales. Cuando se presentaron quejas, las respuestas proporcionadas por Kaspr fueron vagas e insatisfactorias, y simplemente mencionaron que los datos provenían de fuentes disponibles públicamente.
Esta opacidad constituyó una violación directa de las obligaciones de transparencia impuestas por el RGPD. La CNIL insistió en que, aunque la empresa no pudiera especificar técnicamente el origen preciso de los datos de cada individuo, debía proporcionar información clara sobre los métodos generales y las fuentes utilizadas para la recopilación de datos.
Medidas correctoras requeridas por la CNIL
En respuesta a las violaciones observadas, la CNIL ordenó a Kaspr tomar medidas correctivas. La empresa deberá dejar de recopilar inmediatamente los datos de contacto de las personas que hayan limitado su visibilidad en LinkedIn y eliminar todos los datos obtenidos en estas condiciones. En caso de que sea imposible distinguir estos datos específicos, Kaspr estará obligado a informar a los usuarios afectados del procesamiento de su información y a ofrecerles la oportunidad de oponerse.
La autoridad francesa de protección de datos ha subrayado la importancia de respetar las opciones de privacidad de los usuarios y ha añadido que el incumplimiento de estas directrices daría lugar a sanciones adicionales.
Este caso pone de relieve la cuestiones cruciales relacionados con la recogida y gestión de datos personales en la actual era digital. Para evitar mayores sanciones, las empresas que utilizan técnicas similares deben implementar políticas estrictas de cumplimiento del RGPD. Acciones como las tomadas contra Kaspr indican claramente que las autoridades de protección de datos están preparadas para tomar medidas duras contra las violaciones.
About the Author
