La Agencia de Protección de Datos de Francia (CNIL) ha sancionado a la empresa “NS Cards France” (NS), por incumplir la normativa en materia de privacidad y las normas sobre cookies y rastreadores. Esta empresa publica el sitio web neosurf.comy su app “Neosurf” le permite realiza pagos en línea después de registrarse en el servicio. En este sentido, a finales de 2021, la CNIL inició de oficio dos investigaciones para verificar el cumplimiento de NS de la normativa vigente. Una de las investigaciones se llevó a cabo de forma presencial en las instalaciones de la empresa y la otra sobre el sitio webneosurf.com. 

Al finalizar las investigaciones, la CNIL identificó fallos en los plazos de conservación de cuentas; en el tratamiento de información de los usuarios; en la seguridad de los datos y en la modalidad de depósito de cookies y rastreadores en los terminales de los usuarios. Por ello, la CNIL ha tomado la decisión de sancionar a NS por diversos motivos. En primer lugar, por disponer de una inadecuada política de conservación de datos, ya que la empresa no eliminaba los datos de las cuentas de sus usuarios. En segundo lugar, por incumplir el deber de informar a sus usuarios, tanto en el sitio web como en la aplicación de Neosurf. Además, la empresa contaba con una política de privacidad incompleta y obsoleta. En tercer lugar, se corrobora el incumplimiento de su obligación de garantizar la seguridad de las contraseñas. La investigación de la CNIL ha concluido que las reglas de complejidad de las contraseñas no eran lo suficientemente robustas y que la base de datos en la que se almacenaban estaba obsoleta en materia de ciberseguridad. Por último, NS también ha sido sancionado por incumplir sus obligaciones relacionadas con la política de cookies y el uso de rastreadores. En concreto, la empresa empleaba cookies de Google Analytics que se instalaban en el dispositivo del usuario sin consentimiento. Además, NS utilizaba un mecanismo de Google que recopilaba información de los dispositivos y aplicaciones de los usuarios, sin informar ni obtener consentimiento.

Por todo ello, la CNIL ha sancionado a “NS Cards France” con 105.000 euros por diversos incumplimientos del RGPD y de la normativa de cookies. Cabe señalar que la CNIL era competente para sancionar por la infracción de cookies. Sin embargo, en materia de incumplimiento del RGPD, la CNIL ha contado con la cooperación de 17 Agencias de Protección de Datos europeas, debido a que la web en cuestión tiene visitantes en varios países de la UE.

Más información: https://www.cnil.fr/fr/paiement-electronique-la-cnil-inflige-une-amende-de-105-000-euros-ns-cards-france