CARREFOUR MULTADO NA FRANÇA POR VIOLAÇÃO DE DADOS PESSOAIS: O QUE PODEMOS APRENDER?

10 de maio de 2021

No último dia 18 de novembro de 2020, a autoridade francesa de proteção de dados (Commission Nationale de l’Informatique et des Libertés – CNIL) condenou duas empresas da rede de varejo Carrefour por violação à General Data Protection Regulation – GDPR e regulamentação nacional de proteção de dados pessoais.

 

Após fiscalização das plantas do grupo na França entre maio e julho de 2019 e condução de procedimento administrativo, a CNIL entendeu que houve violação a diversas obrigações previstas pela legislação europeia de proteção de dados pessoais, aplicando multas que totalizam € 3 milhões (aproximadamente R$ 18,9 milhões).

 

De acordo com o comunicado oficial da autoridade, o Carrefour France e o Carrefour Banque  descumpriram os seguintes pontos da GDPR e da Lei de Informática e Liberdades:

 

  • dever de informação, pois os termos para programa de fidelidade ou cartão não estavam acessíveis, em razão da extensão e complexidade dos documentos e da linguagem utilizada;

 

  • uso de cookies, como os de publicidade, que eram indevidamente descarregados no navegador antes de o usuário consentir com a sua utilização, obrigatória naquele contexto;

 

  • limitação do prazo de retenção de dados, que eram mantidos nos sistemas para além do fixado pela própria empresa e dos prazos estabelecidos em casos concretos, afetando mais de 20 milhões de clientes;

 

  • garantia de exercício de direitos pelos titulares, já que eram adotados procedimentos excessivos de identificação do titular para todos os tipos de solicitações, independente da necessidade, bem como os prazos de resposta por vezes não eram respeitados;

 

  • atendimento de direitos dos titulares, vez que também não foram atendidos diversos pedidos de acesso, exclusão e oposição ao tratamento de dados pessoais;

 

  • dever de lealdade e transparência (boa-fé), pois foram transferidos a terceiros mais dados do que o informado ao titular aderente ao programa de fidelidade.

 

Vale notar que as empresas do grupo Carrefour promoveram a adequação de todos esses pontos ainda durante o processo administrativo. Tais esforços foram considerados pela autoridade, porém, não impediram a aplicação de multa.

 

Embora este caso tenha ocorrido na França, chamando a aplicação da GDPR e da regulamentação daquele país em proteção de dados pessoais, sua relevância é clara, servindo de benchmark para inúmeros desafios que já estão sendo enfrentados no Brasil nos programas de adequação à Lei Geral de Proteção de Dados (LGPD).

 

Em razão da entrada em vigor da lei brasileira em 18 de setembro de 2020 – vale dizer, de forma inesperada após diversas reviravoltas e tentativas de adiamento – muitas empresas que ainda não haviam iniciado o processo de adequação foram pegas de surpresa com a enxurrada de solicitações de titulares, além de estarem muito preocupadas com os aspectos externos da LGPD, como Políticas de Privacidade e Termos de Uso.

 

Porém, esse caso nos mostra claramente que a adequação à legislação protetiva de dados deve ser mais profunda e efetiva, incidindo em modificações ou criação de processos internos, mapeamento de todos os dados pessoais tratados pela empresa, treinamento de funcionários, revisão cuidadosa de contratos e criação de mecanismos internos de controle.

 

Em outras palavras, não adianta a empresa dizer que faz algo, ela realmente precisa cumprir com as determinações da lei e com o compromisso assumido com os titulares no dia a dia das suas atividades. Políticas de Privacidade, Termos de Uso e Acordos de Processamento de Dados (DPA) são a ponta de todo um trabalho que precisa ser realizado em momento anterior.

 

Sendo assim, é muito importante a contratação de consultorias técnicas e jurídicas para auxiliar a empresa nesse caminho de adequação à LGPD, principalmente para que sejam levadas em conta as particularidades do negócio. Se o trabalho não for completo ou bem executado, soluções prontas e superficiais poderão resultar, lá na frente, em penalidades e grande risco reputacional, como este aqui retratado.

 

Caso sua empresa precise de orientação para se adequar à LGPD, o Assis e Mendes conta com equipe especializada em Privacidade e Proteção de Dados, engajada em buscar a melhor solução para o seu negócio. O contato poderá ser feito pelo site www.assisemendes.com.br ou pelo email lgpd2020@assisemendes.com.br.

 

 

Compartilhe:

Mais Artigos

Cobrança de tráfego de dados por provedores: o que diz o PL 469/2024 e como isso pode afetar sua empresa

Em maio de 2025, a Comissão de Ciência, Tecnologia e Inovação  realizou uma audiência pública para debater. O debate sobre a cobrança de tráfego de dados por provedores está avançando …

Novo decreto do SAC: o que muda para sua empresa em 2025

Empresas que oferecem atendimento ao consumidor — ou contratam serviços de SAC para lidar com seus clientes — precisam ficar atentas ao novo decreto do SAC, que está reformulando as …

Plano Nacional de Data Centers (Redata): O que muda para empresas que usam ou operam infraestrutura digital no Brasil

O ambiente digital brasileiro está passando por uma fase de transformação com o lançamento do Plano Nacional de Data Centers (Redata)  e a iminente publicação de uma Medida Provisória que …

STF reconhece a inconstitucionalidade parcial do artigo 19 do Marco Civil da Internet

O Supremo Tribunal Federal (STF) declarou a inconstitucionalidade parcial do artigo 19 do Marco Civil da Internet, em julgamento finalizado em 26/06/2029. O julgamento do Recurso Extraordinário (RE) 1037396 (Tema 987 …

Uso do dados.gov.br por empresas: oportunidades e riscos com a LGPD

O uso de dados.gov.br por empresas é uma tendência que cresce a cada dia. O portal do Governo Federal oferece dados públicos úteis, mas é preciso cuidado ao usá-los — …

Roblox na mira da justiça Americana por rastreamento oculto  de dados de crianças

O universo digital, especialmente o mercado de jogos online, tem enfrentado desafios jurídicos cada vez mais complexos, sobretudo quando envolve a proteção de dados de crianças e adolescentes. Recentemente, uma …

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.