A rede varegista Carrefour França e Carrefour Banque foram multados em mais de de € 3 milhões (US $ 3,7 milhões)

Divulgação Internet

A autoridade francesa, CNIL (a Commission nationale de l'informatique et des libertés), responsável pela fiscalização do tratamento de dados pessoais dos cidadãos franceses multou duas subsidiárias do Carrefour em um total de 3,05 milhões de euros por violar as regras de privacidade de dados da União Europeia, a GDPR.

Após receber algumas queixas de consumidores, o CNIL realizou inspeções entre Maio e Julho de 2019 no Carrefour França (setor de varejo de massa) e no Carrefour Banque (setor bancário) e encontrou uma série de violações no processamento de dados de clientes e potenciais clientes e, consequentemente, impôs uma multa de € 2,25 milhões ao Carrefour França e uma multa de € 800.000 ao Carrefour Banque.

A CNIL levou em consideração as medidas corretivas significativas que foram tomadas pela empresa para resolver suas preocupações.

As informações sobre proteção de dados eram muito complicadas e imprecisas e estavam ocultas em documentos extensos junto com outras informações. Também faltavam informações importantes sobre a retenção de dados.

O uso de cookies era ilegal, a política para lidar com as solicitações dos titulares dos dados era muito restritiva, o Carrefour não cumpria os prazos para responder às solicitações dos titulares dos dados e transferia os dados sem ser totalmente transparente.

A CNIL afirmou que um período de retenção de dados de quatro anos para os dados do cliente após a última compra era excessivo. Além disso, considerou que também havia informações insuficientes sobre as transferências de dados fora da UE e a base jurídica para o processamento no site carrefour.fr.

“O elemento de transferência de dados é especialmente interessante devido aos problemas com o colapso do Privacy Shield e o maior foco na transferência de dados usando as cláusulas contratuais padrão”, disse Cordery.

“Parece que os reguladores de proteção de dados também estão se concentrando no que as organizações estão dizendo em seus sites sobre as transferências de dados. Considere, portanto, revisar seu site para garantir que ele atenda aos padrões de transparência do GDPR, especialmente para atender ao padrão exigido com informações sobre transferências de dados. ”

CNIL é um dos reguladores GDPR mais ativos da Europa. Foi a primeira a emitir uma grande multa após a introdução da nova legislação: atingir o Google com uma multa de € 50 milhões ($ 60 milhões) por não notificar os usuários sobre como seus dados são usados.

Aqui no Brasil, existe a LGPD (Lei Geral da Proteção de Dados) e a Autoridade Nacional de Proteção de Dados (ANPD) será órgão responsável por fiscalizar a correta aplicação da lei.

A Ksecurity tem uma equipe de especialistas em segurança de dados, e está pronta para auxiliar seu negócio a manter as conformidades da nova lei. Converse agora com um de nossos especialistas: comercial@ksecurity.com.br

Fonte: The Hack