CARREFOUR MULTADO NA FRANÇA POR VIOLAÇÃO DE DADOS PESSOAIS: O QUE PODEMOS APRENDER?

10 de maio de 2021

No último dia 18 de novembro de 2020, a autoridade francesa de proteção de dados (Commission Nationale de l’Informatique et des Libertés – CNIL) condenou duas empresas da rede de varejo Carrefour por violação à General Data Protection Regulation – GDPR e regulamentação nacional de proteção de dados pessoais.

 

Após fiscalização das plantas do grupo na França entre maio e julho de 2019 e condução de procedimento administrativo, a CNIL entendeu que houve violação a diversas obrigações previstas pela legislação europeia de proteção de dados pessoais, aplicando multas que totalizam € 3 milhões (aproximadamente R$ 18,9 milhões).

 

De acordo com o comunicado oficial da autoridade, o Carrefour France e o Carrefour Banque  descumpriram os seguintes pontos da GDPR e da Lei de Informática e Liberdades:

 

  • dever de informação, pois os termos para programa de fidelidade ou cartão não estavam acessíveis, em razão da extensão e complexidade dos documentos e da linguagem utilizada;

 

  • uso de cookies, como os de publicidade, que eram indevidamente descarregados no navegador antes de o usuário consentir com a sua utilização, obrigatória naquele contexto;

 

  • limitação do prazo de retenção de dados, que eram mantidos nos sistemas para além do fixado pela própria empresa e dos prazos estabelecidos em casos concretos, afetando mais de 20 milhões de clientes;

 

  • garantia de exercício de direitos pelos titulares, já que eram adotados procedimentos excessivos de identificação do titular para todos os tipos de solicitações, independente da necessidade, bem como os prazos de resposta por vezes não eram respeitados;

 

  • atendimento de direitos dos titulares, vez que também não foram atendidos diversos pedidos de acesso, exclusão e oposição ao tratamento de dados pessoais;

 

  • dever de lealdade e transparência (boa-fé), pois foram transferidos a terceiros mais dados do que o informado ao titular aderente ao programa de fidelidade.

 

Vale notar que as empresas do grupo Carrefour promoveram a adequação de todos esses pontos ainda durante o processo administrativo. Tais esforços foram considerados pela autoridade, porém, não impediram a aplicação de multa.

 

Embora este caso tenha ocorrido na França, chamando a aplicação da GDPR e da regulamentação daquele país em proteção de dados pessoais, sua relevância é clara, servindo de benchmark para inúmeros desafios que já estão sendo enfrentados no Brasil nos programas de adequação à Lei Geral de Proteção de Dados (LGPD).

 

Em razão da entrada em vigor da lei brasileira em 18 de setembro de 2020 – vale dizer, de forma inesperada após diversas reviravoltas e tentativas de adiamento – muitas empresas que ainda não haviam iniciado o processo de adequação foram pegas de surpresa com a enxurrada de solicitações de titulares, além de estarem muito preocupadas com os aspectos externos da LGPD, como Políticas de Privacidade e Termos de Uso.

 

Porém, esse caso nos mostra claramente que a adequação à legislação protetiva de dados deve ser mais profunda e efetiva, incidindo em modificações ou criação de processos internos, mapeamento de todos os dados pessoais tratados pela empresa, treinamento de funcionários, revisão cuidadosa de contratos e criação de mecanismos internos de controle.

 

Em outras palavras, não adianta a empresa dizer que faz algo, ela realmente precisa cumprir com as determinações da lei e com o compromisso assumido com os titulares no dia a dia das suas atividades. Políticas de Privacidade, Termos de Uso e Acordos de Processamento de Dados (DPA) são a ponta de todo um trabalho que precisa ser realizado em momento anterior.

 

Sendo assim, é muito importante a contratação de consultorias técnicas e jurídicas para auxiliar a empresa nesse caminho de adequação à LGPD, principalmente para que sejam levadas em conta as particularidades do negócio. Se o trabalho não for completo ou bem executado, soluções prontas e superficiais poderão resultar, lá na frente, em penalidades e grande risco reputacional, como este aqui retratado.

 

Caso sua empresa precise de orientação para se adequar à LGPD, o Assis e Mendes conta com equipe especializada em Privacidade e Proteção de Dados, engajada em buscar a melhor solução para o seu negócio. O contato poderá ser feito pelo site www.assisemendes.com.br ou pelo email lgpd2020@assisemendes.com.br.

 

 

Compartilhe:

Mais Artigos

Compliance Digital: Como proteger a reputação da sua empresa na era digital?

O artigo “Compliance Digital: Como proteger a reputação da sua empresa na era digital?” discute a crescente importância do compliance digital na proteção da reputação das empresas em um mundo onde a quantidade de dados gerados diariamente é imensa. Destaca-se o crescimento exponencial da digitalização e a necessidade de medidas eficazes para mitigar riscos cibernéticos e garantir a conformidade com as normas de proteção de dados, como a LGPD.

Responsabilidade Civil das Empresas em Casos de Ataques Cibernéticos: Implicações Legais e Mitigação de Riscos

A responsabilidade civil das organizações, independentemente do setor, é uma questão de grande relevância, especialmente no que diz respeito aos ataques cibernéticos. Esses ataques podem comprometer dados sensíveis, causar prejuízos …

CONTRATOS DE FRANQUIA E DE LICENCIAMENTO E SUAS PECULIARIDADES SOB A ANÁLISE DO DIREITO EMPRESARIAL

Ao abordarmos os contratos de franquia e os de licenciamento, nos deparamos com importantes questões que carecem de elucidação por meio de uma análise acurada das peculiaridades de cada instituto, …

Responsabilidade Civil em plataformas de Redes Sociais

As redes sociais se tornaram parte essencial do nosso dia a dia, conectando milhões de pessoas ao redor do mundo. Porém, à medida que essas plataformas crescem, também aumentam os …

Vitória em Ação de Cobrança de R$ 1,2 Milhão: Como Garantimos a Procedência da ação para Empresa no ramo de Tecnologia

Artigo informando sobre a procedência da ação de cobrança no valor de R$1,2 milhão relativo à débitos pendentes de taxas mensais de utilização de SaaS e taxas de serviços de suporte

Juízes Brasileiros Estão Preparados para Julgar Causas Relacionadas à Inteligência Artificial?

No cenário jurídico atual, a Inteligência Artificial (IA) não é apenas uma ferramenta tecnológica; ela se tornou um elemento central em diversas áreas, incluindo a aplicação da lei.

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.