Una empresa que creó una extensión para el navegador Chrome fue sancionada en Francia con una multa de 240.000 euros por recolectar información de contacto de diferentes perfiles de la red social Linked In.
Se trata de KASPR, un aplicativo que permitía obtener datos de contacto profesionales de las personas cuyos perfiles de Linked In son visitados, creándose así una gran base de datos que se estima en mas de 160 millones de contactos.
Tras varias denuncias, la CNIL (Autoridad francesa de protección de datos) inició una investigación que determinó que existían varios incumplimientos al Reglamento General de Protección de Datos (RDPD), lo que derivó en la sanción.
Entre las infracciones, se observó que no se cumplía con el art. 6 RGPD al no tener una base jurídica para la recolección de los datos que se habrían obtenido de forma ilegal, dado que los perfiles de la red social que tenían una limitación de su información para que solo sea visualizado por contactos de primero o segundo nivel, no implicaba autorizar a esa compañía a acceder a la información.
Se entendió que se violaba el art. 5.1.e RGPD también en cuanto al plazo de conservación de los datos, en el caso de las personas con perfiles públicos, que si bien se recogía de forma lícita, la información se mantuvo por períodos de tiempo desproporcionados.
La resolución, además de la multa, ordenó a la compañía que deje de recoger datos de las personas que decidieron limitar la visibilidad de sus datos de contacto y suprima los recogidos sobre este grupo de usuarios, y si ello fuera de imposible concreción debía informar a las personas en un plazo de 3 meses de sus derechos a oponerse al tratamiento de su información personal.
A las infracciones, se le unió la del art. 12 y 14 RGPD, es decir, la obligación de transparencia e información a los particulares, dado que la empresa recién en 2022 empezó a informar a los usuarios cuyos datos estaban siendo recogidos, de que así ocurría dando la posibilidad de que se opongan, y además de tardío el aviso en todos los casos era por correo electrónico en idioma inglés, lo que se consideró insuficiente al no ser siempre comprensible.
Finalmente se agregó el incumplimiento al art. 15 RGPD, en cuanto a la obligación de atender las solicitudes de ejercicio del derecho de acceso a la información, dado que ante el requerimiento de los usuarios sobre el origen de los datos, la firma se limitó a contestar que se obtuvo de fuentes públicas, sin especificar cual, y aunque ello no siempre fuera posible si conocía algunas fuentes que normalmente alimentaban su base de datos.
La resolución, además de la multa, ordenó a la compañía que deje de recoger datos de las personas que decidieron limitar la visibilidad de sus datos de contacto y suprima los recogidos sobre este grupo de usuarios, y si ello fuera de imposible concreción debía informar a las personas en un plazo de 3 meses de sus derechos a oponerse al tratamiento de su información personal.
A su vez, se ordenó que se ponga fin a la renovación automática de la conservación de los datos personales de las personas destinatarias, que se informe a los afectados en una lengua que entiendan y que se responda a las solicitudes de acceso a la información, brindando toda la información sobre las fuentes que proveen a su base de datos.
La medida estará vigente por un plazo de 6 meses que se prolongará hasta junio de 2025.