La agencia de protección de datos frandesa (CNIL) ha impuesto una multa de 3 millones de euros a Carrefour, la cadena multinacional de distribución de origen francés, y a su división bancaria. El motivo: diversos incumplimientos del Reglamento General de Protección de Datos (RGPD)y del artículo 82 de la ley de protección de datos francesa que regula las cookies.

La multa podría haber sido más elevada, pero la CNIL tuvo en cuenta los esfuerzos de la empresa por resolver los problemas que originaron la sanción.

Entre junio de 2018 y abril de 2019, la CNIL recibió 15 quejas por parte de particulares en relación con el ejercicio de sus derechos de protección de datos en las compañías del grupo Carrefour. Estas quejas reflejaban que las compañías no atendían a las peticiones de borrado de datos personales, que seguían enviando comunicaciones comerciales incluso después de revocar el consentimiento  y no permitiendo, en un caso, darse de baja en el envío de correos electrónicos publicitarios.

La CNIL llevó a cabo una investigación sobre las prácticas de protección de datos de Carrefour revisando su página web y realizando visitas presenciales a las oficinas de la compañía. Estas inspecciones tenían como objetivo comprobar el fundamento de las quejas recibidas.

 La investigación reveló que tanto Carrefour France como Carrefour Banque infringieron diversas obligaciones del RGPD así como de la ley de cookies francesa. El pasado día 18 de noviembre la CNIL impuso la sanción millonaria.

Entre los requerimientos que Carrefour no cumplía estaban la limitación de conservación, la obligación de permitir el ejercicio de los derechos ARCO, la obligación de informar sobre el procesamiento de datos de una manera clara y utilizando un lenguaje sencillo, la obligación de garantizar la seguridad de los datos personales, así como la obligación de informar sobre brechas de protección de datos.

La elevada cuantía de la sanción tiene en cuenta la gran facturación de un gigante de la distribución como Carrefour además del hecho de que las empresas subsidiarias se beneficiaron directamente de la actividades de procesado ilegal de protección de datos.

Carrefour tiene ahora un periodo de 2 meses para apelar la sentencia.