La Comission Nationale de l’Informatique et des Libertés (en adelante, CNIL), la autoridad encargada de velar por la protección de datos de la ciudadanía francesa (el equivalente a la Agencia Española de Protección de Datos) ha impuesto a Groupe Canal + (en adelante, “Canal +”) una sanción de 600.000 euros por el incumplimiento del Reglamento General de Protección de Datos (en adelante, “RGPD”).
La Autoridad de Control francesa identificó varios incumplimientos de la normativa de protección de datos por parte de Canal +, entre los que destacan los siguientes:
- Tratamiento de datos personales sin recabar previa y válidamente el consentimiento de los interesados en el marco de las campañas de prospección comercial que, vía electrónica, efectúa Canal + (incumplimiento del art. 7 RGPD).
- La política informativa que la empresa puso a disposición de los clientes contenía imprecisiones en cuanto al plazo de conservación de los datos personales de las personas interesadas (incumplimiento de la obligación de información contenida en los arts. 13 y 14 del RGPD).
- Incumplimiento en materia de respuesta a determinados ejercicios de derechos de protección de datos (art. 12 RGPD). En concreto, la empresa ignoró varios ejercicios de derechos que varios interesados
- ejercieron en lo referente al derecho de acceso (art. 15 RGPD).
Además, la investigación que el CNIL realizó como consecuencia de la recepción de varias denuncias dejó al descubierto que Canal + (i) no contaba con un protocolo lo suficientemente seguro para proteger las contraseñas de su personal empleado, y (ii) la existencia de una brecha de seguridad que durante 5 horas expuso datos personales de clientes de Canal + que nunca fue notificada ni a la Autoridad ni a los propios clientes.
Por todo lo anterior, el CNIL ha impuesto a Canal + una sanción que asciende a 600.000 euros.