La Comisión Nacional de Informática y Libertades (CNIL) impuso una multa de 240.000 euros a la empresa KASPR, tras identificar incumplimientos en el tratamiento de datos personales relacionados con su actividad. La sanción incluye además órdenes específicas para que la empresa ajuste sus prácticas al Reglamento General de Protección de Datos (RGPD). La decisión fue adoptada en colaboración con las autoridades de protección de datos europeas.
Según los hechos narrados, la empresa opera mediante una extensión para navegadores que permite a sus clientes obtener datos de contacto de personas en redes sociales como LinkedIn y de fuentes adicionales, entre ellas, registros públicos de dominios. Estos datos se incorporan a una base de datos con aproximadamente 160 millones de contactos, utilizados para fines como prospección comercial, reclutamiento y verificación de identidad. No obstante, la CNIL identificó que parte de los datos recopilados incluían información de personas que habían restringido la visibilidad de sus datos de contacto en LinkedIn, excediendo los límites establecidos en el RGPD.
La CNIL señaló que esta práctica contraviene el artículo 6 del RGPD, que requiere una base legal para el tratamiento de datos personales. Según la investigación, KASPR recopiló información de contacto de usuarios que habían optado por limitar su visibilidad a conexiones específicas en LinkedIn, lo que no se considera una autorización implícita para que la empresa acceda y almacene dichos datos.
Noticia Relacionada
Asimismo, se constató el incumplimiento del artículo 5-1-e del RGPD, relativo al plazo de conservación de datos. La empresa mantiene la información personal durante cinco años desde la última actualización, independientemente de si las circunstancias de las personas afectadas han cambiado, lo que podría resultar en períodos de conservación no proporcionados respecto de la finalidad original del tratamiento.
En relación con los artículos 12 y 14 del RGPD, la CNIL estimó que KASPR no proporcionó información adecuada a las personas afectadas sobre la recopilación de sus datos. En particular, la empresa comenzó a informar a los interesados en 2022, cuatro años después del inicio de sus operaciones, mediante correos electrónicos en inglés, lo que podría dificultar la comprensión para algunos destinatarios.
Por otro lado, la CNIL identificó incumplimientos del artículo 15 del RGPD, que regula el derecho de acceso de los usuarios. Aunque KASPR comunicó que los datos habían sido obtenidos de fuentes públicas, no proporcionó detalles suficientes sobre las fuentes específicas involucradas en cada caso, a pesar de que estaban parcialmente documentadas en su política de privacidad.
La resolución incluye, además de la multa, la obligación de cesar la recopilación de datos personales de usuarios que hayan restringido la visibilidad de su información en LinkedIn y de eliminar los datos obtenidos mediante tales prácticas. En caso de que no sea posible distinguir dichos datos, la empresa deberá informar a las personas afectadas y permitirles ejercer su derecho de oposición. También se ordenó a KASPR detener la renovación automática de los períodos de conservación de datos, informar a las personas afectadas en un idioma y responder adecuadamente a las solicitudes de acceso brindando toda la información relevante.