CARREFOUR MULTADO NA FRANÇA POR VIOLAÇÃO DE DADOS PESSOAIS: O QUE PODEMOS APRENDER?

10 de maio de 2021

No último dia 18 de novembro de 2020, a autoridade francesa de proteção de dados (Commission Nationale de l’Informatique et des Libertés – CNIL) condenou duas empresas da rede de varejo Carrefour por violação à General Data Protection Regulation – GDPR e regulamentação nacional de proteção de dados pessoais.

 

Após fiscalização das plantas do grupo na França entre maio e julho de 2019 e condução de procedimento administrativo, a CNIL entendeu que houve violação a diversas obrigações previstas pela legislação europeia de proteção de dados pessoais, aplicando multas que totalizam € 3 milhões (aproximadamente R$ 18,9 milhões).

 

De acordo com o comunicado oficial da autoridade, o Carrefour France e o Carrefour Banque  descumpriram os seguintes pontos da GDPR e da Lei de Informática e Liberdades:

 

  • dever de informação, pois os termos para programa de fidelidade ou cartão não estavam acessíveis, em razão da extensão e complexidade dos documentos e da linguagem utilizada;

 

  • uso de cookies, como os de publicidade, que eram indevidamente descarregados no navegador antes de o usuário consentir com a sua utilização, obrigatória naquele contexto;

 

  • limitação do prazo de retenção de dados, que eram mantidos nos sistemas para além do fixado pela própria empresa e dos prazos estabelecidos em casos concretos, afetando mais de 20 milhões de clientes;

 

  • garantia de exercício de direitos pelos titulares, já que eram adotados procedimentos excessivos de identificação do titular para todos os tipos de solicitações, independente da necessidade, bem como os prazos de resposta por vezes não eram respeitados;

 

  • atendimento de direitos dos titulares, vez que também não foram atendidos diversos pedidos de acesso, exclusão e oposição ao tratamento de dados pessoais;

 

  • dever de lealdade e transparência (boa-fé), pois foram transferidos a terceiros mais dados do que o informado ao titular aderente ao programa de fidelidade.

 

Vale notar que as empresas do grupo Carrefour promoveram a adequação de todos esses pontos ainda durante o processo administrativo. Tais esforços foram considerados pela autoridade, porém, não impediram a aplicação de multa.

 

Embora este caso tenha ocorrido na França, chamando a aplicação da GDPR e da regulamentação daquele país em proteção de dados pessoais, sua relevância é clara, servindo de benchmark para inúmeros desafios que já estão sendo enfrentados no Brasil nos programas de adequação à Lei Geral de Proteção de Dados (LGPD).

 

Em razão da entrada em vigor da lei brasileira em 18 de setembro de 2020 – vale dizer, de forma inesperada após diversas reviravoltas e tentativas de adiamento – muitas empresas que ainda não haviam iniciado o processo de adequação foram pegas de surpresa com a enxurrada de solicitações de titulares, além de estarem muito preocupadas com os aspectos externos da LGPD, como Políticas de Privacidade e Termos de Uso.

 

Porém, esse caso nos mostra claramente que a adequação à legislação protetiva de dados deve ser mais profunda e efetiva, incidindo em modificações ou criação de processos internos, mapeamento de todos os dados pessoais tratados pela empresa, treinamento de funcionários, revisão cuidadosa de contratos e criação de mecanismos internos de controle.

 

Em outras palavras, não adianta a empresa dizer que faz algo, ela realmente precisa cumprir com as determinações da lei e com o compromisso assumido com os titulares no dia a dia das suas atividades. Políticas de Privacidade, Termos de Uso e Acordos de Processamento de Dados (DPA) são a ponta de todo um trabalho que precisa ser realizado em momento anterior.

 

Sendo assim, é muito importante a contratação de consultorias técnicas e jurídicas para auxiliar a empresa nesse caminho de adequação à LGPD, principalmente para que sejam levadas em conta as particularidades do negócio. Se o trabalho não for completo ou bem executado, soluções prontas e superficiais poderão resultar, lá na frente, em penalidades e grande risco reputacional, como este aqui retratado.

 

Caso sua empresa precise de orientação para se adequar à LGPD, o Assis e Mendes conta com equipe especializada em Privacidade e Proteção de Dados, engajada em buscar a melhor solução para o seu negócio. O contato poderá ser feito pelo site www.assisemendes.com.br ou pelo email lgpd2020@assisemendes.com.br.

 

 

Compartilhe:

Mais Artigos

Fui vítima de um crime virtual: e agora?

É muito importante saber o que fazer para se proteger e buscar justiça.

Minha empresa precisa mesmo de um DPO?

A obrigatoriedade do profissional é patente. Veja os motivos.

GOOGLE E JUSBRASIL SÃO OBRIGADOS A REMOVER PÁGINAS QUE EXPÕEM DADOS DE VÍTIMA DE VIOLÊNCIA DOMÉSTICA

As empresas responderam afirmando não terem responsabilidade sobre o conteúdo publicado

O SITE DA MINHA EMPRESA COLETA DADOS; PRECISO ME ADEQUAR À LGPD?

Se o site coleta dados pessoais por cookies, análise de tráfego, formulários de contato ou outra ferramenta, sua empresa deve estar em conformidade com a LGPD.

Na era dos cibercrimes, a sua empresa está preparada para lidar com um incidente de segurança?

Entre as ações necessárias está o Plano de Respostas a Incidentes

Comunicado | Domicílio Judicial Eletrônico

Pedimos sua atenção para uma atualização cadastral necessária: Foi instituído o Domicílio Judicial Eletrônico, com a obrigatoriedade das empresas cadastrarem um e-mail válido para receberem citações e informações da Justiça …

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.