En deliberación del 12 de octubre de 2023 hecho público este 19 de octubreallá CNIL impuso una multa de 600.000 euros al grupo de televisión Canal+ por infracciones en serie. De hecho, el regulador ha considerado que esta empresa ha violado varias obligaciones previstas por el RGPD y el código de comunicaciones postales y electrónicas. “El monto de esta multa se decidió a la luz de las infracciones retenidas, así como tomando en cuenta la cooperación de la empresa y todas las medidas que tomó durante el procedimiento para su cumplimiento”, explicó la instancia.

¿De qué se acusa a Canal+? En primer lugar, el incumplimiento de la obligación de obtener el consentimiento de las personas para recibir prospecciones comerciales por medios electrónicos y también otras relativas a la obligación de información y al respeto al ejercicio de los derechos. Esto incluye imprecisión en los períodos de retención de los datos recopilados al crear una cuenta MyCanal, sondeos telefónicos que no proporcionan sistemáticamente toda la información requerida por el GDPR, así como la falta de respuesta a los reclamantes, incumplimiento del derecho de acceso a los datos. “Durante los controles, la CNIL constató que un contrato de subcontratación no contenía toda la información exigida por el RGPD”, indica también la comisión.

Una violación de datos no notificada

La formación restringida de la CNIL también señaló a Canal+ por no haber garantizado la seguridad de los datos personales. “El ponente considera que el almacenamiento de las contraseñas de los empleados de la empresa en la aplicación […] en forma hash utilizando el algoritmo MD4 no cumple con el estado de la técnica", especifica la organización en su deliberación. Además, sus controles revelaron la existencia de una violación de datos que no le había sido notificada. Se trata de una pérdida temporal de confidencialidad de determinados datos durante 5h35 relativos a 10.154 abonados, potencialmente visibles para otros 777 abonados. "Varias personas indicaron a la empresa que efectivamente habían tenido acceso a datos de terceros", afirmó la CNIL.

Esta decisión podrá ser objeto de recurso ante el Consejo de Estado dentro de los dos meses siguientes a su notificación.