“La CNIL multa GROUPE CANAL+”
L’ Autorità per la Privacy francese (CNIL) ha comminato una sanzione di seicento mila euro a Canal+ per aver riscontrato numerose violazioni del GDPR, in particolare nella campagna marketing del Gruppo.
Con la delibera del 12 ottobre 2023, resa pubblica il 19 ottobre 2023, viene contestato alla società televisiva l’inosservanza dell’obbligo di ottenere il consenso delle persone per ricevere comunicazioni via e-mail (articoli L. 34-5 del CPCE e 7 del GDPR). Il gruppo Canal+ conduce regolarmente campagne di prospezione commerciale, tuttavia nel caso di specie non è stato in grado di fornire alla CNIL la prova di aver ottenuto un valido consenso preventivo da parte dei clienti prospect. Nel corso delle ispezioni, la società ha fornito alla CNIL due esempi di formulari standard per la raccolta dei dati dei potenziali clienti messi a sua disposizione dai suoi partner commerciali presso i quali raccoglie i dati. Dall’analisi di questi moduli si evince la carenza di alcune informazioni sull’identità dei destinatari a cui vengono trasmessi i dati. Affinché il consenso possa definirsi informato e valido, l’elenco dei partner che ricevono i dati deve essere messo a disposizione delle persone al momento dell’ottenimento del loro consenso.
L’Autorità contesta, inoltre, il mancato rispetto dell’obbligo di informare gli interessati del trattamento dei loro dati personali, in particolare durante le chiamate a freddo effettuate dal fornitore incaricato del servizio per conto di Canal+. Nell’ambito di un audit è emerso che su un campione costituito da settanta registrazioni di telefonate effettuate, sedici persone contattate non hanno ricevuto informazioni complete conformemente alle condizioni di cui all’articolo 14 del GDPR mentre per altre quattro persone, non è stata fornita alcuna informazione. A sua difesa, la società ha affermato che, in alcuni casi, l’operatore del call center non avrebbe avuto il tempo di fornire tali informazioni a causa della breve durata della conversazione telefonica. Tuttavia, in tutti i casi menzionati, è stato appurato che le chiamate durano almeno trenta secondi e che l’operatore del call center avrebbe quindi avuto il tempo di fare riferimento, ad esempio, alla privacy policy di GROUPE CANAL +. Dal canto suo l’azienda non avrebbe posto in essere una modalità che consenta agli interessati di ottenere informazioni più complete relative al trattamento dei loro dati, ad esempio attivando un tasto sulla tastiera del telefono.
Canal+ avrebbe anche omesso di fornire un’informativa privacy completa contestualmente alla creazione dell’account “MyCanal”. Secondo quanto riportato l’informativa non indica in modo sufficientemente preciso i periodi di conservazione dei dati, limitandosi a dichiarare che “i tuoi dati personali sono conservati per periodi determinati in relazione alle nostre finalità e agli obblighi legali, fiscali e contabili che incombono su di noi. I dati relativi all’abbonamento vengono archiviati elettronicamente per l’intera durata dell’abbonamento e per i termini di prescrizione previsti dalla legge.” La possibilità di presentare un reclamo alla CNIL non è menzionata.
Canal+ è stata anche criticata per la sicurezza dei dati personali, in particolare dei dipendenti. L’archiviazione delle password non era sufficientemente sicura e si basava sull’hashing con l’algoritmo MD4.
Le verifiche della CNIL avrebbero infine rivelato l’esistenza di un data breach (non notificato) che avrebbe reso accessibili ad altri utenti alcuni dati di altri abbonati per un periodo di 5 ore.
Il Collegio della CNIL nel determinare la sanzione amministrativa pecuniaria ha tenuto in considerazione alcuni fattori attenuanti come la condotta collaborativa della società durante il procedimento, la scarsa gravità di alcune violazioni ma anche il fatto che alcune violazioni fossero “principalmente il risultato di un errore umano”. Pertanto alla luce della responsabilità della società e della sua capacità finanziaria l’Autorità ha ritenuto di dover infliggere una multa di seicento mila euro in aggiunta alla pubblicazione del provvedimento sanzionatorio sul sito della CNIL e sul sito di Légifrance.
La società Canal+ ha ora due mesi di tempo dalla notifica del provvedimento per impugnare la decisione dinanzi ai giudici francesi.
