A matriz do Carrefour na França e seu braço financeiro foram multados em mais de € 3 milhões (o equivalente a US $ 3,7 milhões) pelo órgão regulador local de proteção de dados por múltiplas violações da GDPR (Regulamento Geral de Proteção de Dados) da Europa.
A agência reguladora de proteção de dados da França (CNIL) multou o Carrefour em € 2,25 milhões e o Carrefour Banque, em € 800 mil. Na verdade, a CNIL reduziu o valor da multa, pois levou em consideração as medidas corretivas que foram tomadas pela gigante varejista para resolver as infrações.
A lista de infrações que foram corrigidas abrangeu nove áreas-chave, de acordo com especialistas em conformidade da Cordery, empresa britânica especializada no gerenciamento e adequação a compliances. Segundo a empresa, as informações sobre proteção de dados do Carrefour eram muito complicadas e imprecisas e estavam ocultas em documentos extensos junto com outras informações. Também faltavam informações importantes sobre a retenção de dados.
Além disso, o uso de cookies era ilegal e a política para lidar com as solicitações dos titulares dos dados era muito restritiva. O Carrefour não cumpria também os prazos para responder às solicitações dos titulares dos dados e transferia dados sem ser totalmente transparente.
A CNIL afirmou que o período de retenção de dados de clientes por quatro anos, após a última compra, era excessivo. Além disso, considerou que havia informações insuficientes sobre as transferências de dados fora da União Europeia e a base jurídica para o processamento no site carrefour.fr.
Veja isso
Experian pode pagar multa de US$ 26 mi por suposta infração à GDPR
União Europeia reconhece necessidade de aperfeiçoamento da GDPR
“O fundamento de transferência de dados é especialmente interessante devido aos problemas com o colapso da Privacy Shield [acordo sobre a transferência internacional de dados pessoais] e o maior foco na transferência de dados usando cláusulas contratuais padrão”, disse a Cordery.
“Parece que os órgãos reguladores de proteção de dados também estão se concentrando no que as organizações estão dizendo em seus sites sobre as transferências de dados. Considere, portanto, revisar seu site para garantir que ele atenda aos padrões de transparência do GDPR, especialmente para atender ao padrão exigido com informações sobre transferências de dados”, alertou a empresa.
O CNIL é um dos órgãos reguladores mais ativos da Europa. Foi o primeiro a aplicar uma grande multa após a introdução da GDPR, aplicada ao Google, no valor de € 50 milhões (o equivalente a US$ 60 milhões) por não notificar os usuários sobre como seus dados são usados.
