Carrefour é autuado em € 2.25 milhões na França por violar a Lei de Proteção de Dados – GDPR – Lições Aprendidas

03 de dezembro de 2020 – Em 18 de novembro de 2020, a agência de proteção de dados pessoais francesa, denominada CNIL – Comission Nationale de l’Informatique et des Libertés, autuou o Carrefour aplicando uma multa de € 2.250.000,00, em razão de supostas violações à lei de proteção de dados pessoais na União Europeia, denominada GDPR.

Segundo a CNIL, o grupo Carrefour é constituído pela pessoa jurídica Carrefour SA, que detém a sociedade Carrefour France com 99,61% das ações. Esta última possui a empresa Carrefour Hypermarchés com 82% das ações e a empresa Carrefour Proximité France com 99% das ações. Em 2019, a Carrefour Hypermarchés atingiu um volume de negócios de € 14,3 mil milhões e a Carrefour Proximité France um volume de negócios de € 636 milhões. Em 2019, o grupo Carrefour, possuía 360 mil colaboradores e alcançou no total € 905 milhões , superando em mais de € 100 mil o resultado atingido em 2018, que fora de faturamento de € 804 milhões.

O problema do Carrefour iniciou-se em razão do seu website http://www.carrefour.fr que permitia a seus clientes acessar um espaço personalizado e, assim, fazer os seus pedidos. Entre junho de 2018 e abril de 2019, a CNIL recebeu 15 reclamações de consumidores, sendo que dessas 15 reclamações:

– 7 (sete) destas reclamações referiam-se à prospecção comercial, embora os interessados ​​tenham anteriormente manifestado a sua oposição.

– 4 (quatro) destas reclamações seguiram-se a pedidos de eliminação de dados que não haviam sido concedidos.

– 3 (três) destas reclamações foram em resposta a pedidos de acesso a dados não concedidos.

– 1 (uma) destas reclamações era sobre um link de cancelamento de inscrição em um e-mail comercial de prospecção.

O que isso tem a ver com o Brasil? Em princípio, diríamos que nada, já que a lei que protege dados pessoais no Brasil é a Lei Geral de Proteção de Dados – LGPD e a lei europeia, conforme dito acima, é a GDPR. Todavia, ambas as normas são muito similares, especialmente com respeito aos aspectos apregoados pelas autoridades francesas como violadores da referida norma europeia e também de normas regulamentadoras francesas. Assim, convém analisar cada uma das violações, que devem servir como lição para outras empresas na Europa e no Brasil, enquanto não houver regulamentações adicionais a serem introduzidas pela Autoridade Nacional de Proteção de Dados – ANPD, normatizando esses detalhes. Tais lições não devem ser desprezadas, devido a similaridade das normas. Vejamos algumas lições a seguir:

O não cumprimento da obrigação de guardar os dados pessoais por um período que não exceda o necessário para os fins para os quais são tratados

Essa violação refere-se a dados de clientes membros do programa de fidelidade e usuários do site http://www.carrefour.fr.

A CNIL criticou a empresa por ter fixado períodos de retenção superiores aos necessários para efeitos do tratamento. Além disso, também criticou a empresa por ter guardado dados pessoais por mais tempo do que o esperado.

Na verdade, a CNIL identificou que os dados dos clientes fidelizados foram mantidos numa base de dados ativa durante 4 (quatro) anos a partir da sua última atividade, podendo ser entendido como, dependendo da situação, como a última transação com o cartão de fidelização no caixa de uma loja, a última transação online, a última modificação do espaço pessoal no site da empresa ou o último contato com o serviço de atendimento ao cliente.

Além disso, a CNIL observou que o programa de fidelização instituído pela empresa tinha por objetivo a comercialização para seus associados, como resultava das informações constantes da ficha de adesão. Por outro lado, deixou claro que clientes de um programa de fidelidade, são clientes que costumam retornar às mesmas lojas regularmente. Portanto, a CNIL considerou que um cliente que não faz negócios com a empresa há vários anos não deve mais ser considerado um cliente ativo. Relembrou a antiga norma simplificada nº 48, relativa a arquivos de clientes potenciais e vendas online, que recomendava que os dados de clientes inativos deviam ser mantidos por um período de três anos a partir do último contato com a empresa. Assim, a CNIL considerou que o período de retenção não podia ser prorrogado para 4 (quatro) anos, inicialmente estabelecido pela empresa. Atendendo à finalidade de prospecção comercial para processamento de fidelização, a CNIL considerou que um período de retenção de 4 (quatro) anos não era estritamente necessário para o fim prosseguido e, portanto, excessivo.

O Carrefour confessou um atraso na implementação do seu programa de eliminação de dados e a CNIL constatou a presença de dados relativos a clientes inativos há mais de 4 (quatro) anos, ou seja, mais de 28 milhões de clientes aderentes ao programa de fidelização inativos entre 5 (cinco) a 10 (dez) anos.

Com respeito aos dados coletados de usuários do website http://www.carrefour.fr, a CNIL informou que foram mantidos os dados de mais de 750.000 usuários, cujo ato de compra datava entre 5 (cinco) a 10 (dez) anos, e cerca de 20 mil usuários, dos quais a última compra datava de mais de 10 (dez) anos.

A CNIL identificou também que o Carrefour mantinha cópia das cédulas de identidade de clientes por um período de 1 (um) a 6 (seis) anos, considerando tal período igualmente excessivo. Segundo a CNIL, o fornecimento deste documento tem como único objetivo justificar a identidade do solicitante, não sendo necessário guardá-lo após a confirmação da identidade.

Um ponto a se destacar é que a CNIL deixou claro que o Carrefour implementou um sistema automatizado de eliminação de dados pessoais a partir de 3 anos de armazenamento, na forma descrita acima e que o Carrefour demonstrou que os documentos de identidade agora são excluídos assim que o pedido do cliente é atendido.

Não exercício dos direitos dos titulares de dados pessoais

A CNIL deixou claro que o responsável pelo tratamento de dados pessoais não pode se recusar a responder ao pedido do titular dos dados para exercer os seus direitos, a menos que o responsável pelo tratamento demonstre que não seja capaz de identificar a pessoa em causa e que, se o responsável pelo tratamento tiver dúvidas razoáveis ​​quanto à identidade da pessoa que apresenta o pedido, pode solicitar que lhe sejam fornecidas as informações adicionais necessárias para confirmar a identidade da pessoa em causa. Além disso, a CNIL esclareceu que o responsável pelo tratamento devia fornecer ao titular dos dados informações sobre as medidas tomadas na sequência de um pedido apresentado, o mais rapidamente possível e em qualquer caso, dentro de 1 (um) mês após o recebimento da solicitação. Se necessário, esse prazo poderia ser estendido por 2 (dois) meses, dada a complexidade e o número de solicitações. O responsável pelo tratamento deveria informar o titular dos dados desta prorrogação e as razões do adiamento no prazo de 1 (um) mês a contar da recepção do pedido.

A CNIL observou que a empresa não reservou o pedido de prova de identidade apenas para os casos em que havia uma dúvida razoável quanto à identidade da pessoa, sendo este pedido sistemático. A CNIL considerou que o caráter sistemático dos pedidos de prova de identidade, reconhecidos pela empresa, foi suficiente para demonstrar que estes pedidos não se limitaram a situações em que a empresa tinha dúvidas razoáveis ​​quanto à identidade do pessoa física que apresentava o pedido.

Além disso, a CNIL criticou o prazo de resposta da empresa aos pedidos dos titulares de dados pessoais, encontrando ampla variação, que chegou a atingir 9 (nove) meses, sem que qualquer satisfação fosse dada ao solicitante nesse intervalo.

Entretanto, a CNIL deixou claro, que, ao final da investigação, o Carrefour adotou novas práticas, em conformidade com as regras. Com efeito, ficou demonstrado que as cartas de resposta aos pedidos de exercício de direitos já não exigiam a prova de identidade de forma sistemática. Ademais, ressaltou os esforços particularmente significativos desenvolvidos desde as operações de controle à profunda reestruturação da organização das equipes que trabalhavam nestas questões e a transformação dos seus métodos de trabalho, com o desenvolvimento de novas ferramentas para esse propósito.

A falta de informação precisa aos titulares dos dados

A CNIL destacou que o responsável pelo tratamento deveria tomar as medidas adequadas para fornecer as informações pessoais, no que diz respeito ao seu tratamento, ao titular dos dados de forma concisa, transparente e compreensível e de fácil acesso, em termos claros e simples.

E no caso do Carrefour, a CNIL considerou que as informações fornecidas não eram facilmente acessíveis. A CNIL considerou que quanto às informações comunicadas no website http://www.carrefour.fr, devido à multiplicidade de páginas a consultar, os links presentes nas várias páginas, bem como a redundância de informações, as informações relevantes para as pessoas eram facilmente acessíveis.

Quanto às informações comunicadas aos aderentes do programa de fidelização, a CNIL considerou que as informações não eram facilmente acessíveis, uma vez que estavam incluídas nas condições gerais de utilização do cartão Carrefour. Além disso, a CNIL argumentou que no que se refere à informação prestada aos aderentes do programa de fidelização por meio de boletim em papel, a informação também não era facilmente acessível. O boletim resumia as informações essenciais e remetia, para informações mais completas, à página inicial do website http://www.carrefour.fr, sem maiores detalhes.

Assim, a CNIL considerou que o acesso aos avisos de informação do website http://www.carrefour.fr era difícil, uma vez que estes foram agrupados no artigo 3.º das condições gerais do uso do website http://www.carrefour.fr que o usuário deveria navegar. O mesmo se aplicava à informação relativa ao programa de fidelização constante do artigo 10.º das condições gerais de utilização do cartão Carrefour. Esses dois documentos eram tão extensos que o usuário era forçado a percorrer um grande número de páginas e ler várias dezenas de parágrafos (cerca de quinze nas condições gerais de uso do website http://www.carrefour.fr, e mais de setenta nas condições gerais de utilização do cartão Carrefour) antes de poder encontrar a informação relativa à proteção dos seus dados pessoais.

Portanto, a CNIL determinou que para que o usuário não tenha que buscar as informações relevantes tendo que ler tantos textos, as mesmas devem ser agrupadas em um único documento separado das condições gerais de uso.

Relativamente às pessoas que aderiam ao programa de fidelização através da newsletter em papel, a CNIL considerou que, ao encaminhar essas pessoas para o website http://www.carrefour.fr sem mais detalhes, a empresa não tornou a informação facilmente acessível. No mínimo, a empresa deveria ter especificado a página ou endereço URL em que essas informações estavam disponíveis. O comitê restrito observou que esta falta de acessibilidade por uma simples referência à página inicial do site foi agravada pelas falhas anteriormente apontadas no website http://www.carrefour.fr.

Além disso, a CNIL considerou que todas as informações (nas condições gerais de utilização do website http://www.carrefour.fr, nos formulários em papel de adesão ao programa de fidelização e de adesão ao mesmo programa através da área cliente do website http://www.carrefour.fr) usavam termos imprecisos e pouco claros e não eram de fácil compreensão devido ao seu layout. A CNIL lembrou que as menções informativas devem procurar, tanto quanto possível, usar um vocabulário simples, fazer frases curtas e usar um estilo direto, assim como evitar os termos legais ou técnicos, termos e fórmulas abstratos ou ambíguos, tais como: poderíamos usar seus dados, um possível uso de seus dados, alguns dados a seu respeito são usados, etc.

Além de considerar as informações imprecisas, conforme exposto acima, a CNIL também as considerou incompletas, já que o responsável pelo tratamento dos dados não está corretamente identificado no website http://www.carrefour.fr.

A CNIL também considerou que as bases jurídicas para as operações de tratamento não são indicadas de forma precisa, uma vez que a empresa se limita a indicar que os dados pessoais podem ser tratados com o consentimento do usuário, a execução do contrato ou do interesse legítimo do responsável pelo tratamento, sem maiores detalhes.

A CNIL igualmente considerou que a informação sobre os países para os quais os dados podiam ser transferidos não era completa, não se especificando as garantias em torno da transferência, bem como os meios para obter uma cópia dessas garantias.

E, finalmente, que os titulares de dados não são informados acerca de quanto tempo seus dados serão armazenados.

A violação ao direito de acesso

A CNIL deixou claro que os titulares dos dados deveriam ter o direito de obter do controlador, a confirmação de que os dados pessoais relativos a eles estão sendo processados, bem como uma certa quantidade de informações, incluindo quaisquer informações disponíveis quanto à origem da obtenção dos dados, quando não são coletados diretamente pelo responsável pelo tratamento.

Em uma das reclamações, o reclamante alegou que recebeu uma mala direta do Carrefour, informando que nunca deixou seus dados pessoais em quaisquer meios de coleta da empresa. Após investigação, a CNIL concluiu que o reclamante era um ex-cliente da empresa Ooshop, na qual havia criado uma conta pessoal, cujo website foi posteriormente integrado ao website http://www.carrefour.fr. A CNIL informou que o fato de o queixoso ter sido comunicado a respeito da fusão entre o website ooshop e o website http://www.carrefour.fr, antes de seu pedido à empresa, não isentou o controlador de dados de sua obrigação de fornecer informações sobre o origem dos dados, formulados pelo denunciante no exercício dos seus direitos.

A violação ao direito à eliminação dos dados pessoais

A CNIL deixou claro que os titulares dos dados têm direito ao apagamento dos seus dados pessoais, sendo que a lei prevê este direito quando os dados deixem de ser necessários para efeitos do tratamento ou quando a pessoa se oponha ao tratamento efetuado para efeitos de prospecção.

A CNIL observou que a empresa optou por utilizar o endereço eletrônico de pessoas, portanto dados pessoais, como login de entrada em seu banco de dados. Esta decisão puramente prática, sem que a retenção dos dados em causa seja justificada por qualquer finalidade legítima, não pode permitir-lhe eximir-se das suas obrigações em termos de exercício de direitos. Tanto que, o Carrefour criou um novo modo de funcionamento, deixando de utilizar os dados pessoais como login de entrada na base de dados.

A CNIL citou outra reclamação solicitando a eliminação de dados de um usuário, que recebeu uma mala direta e o Carrefour ao invés de eliminar todos os seus dados pessoais, apenas o retirou da lista de e-mails para mala direta.

A violação do direito de se opor ao tratamento de dados pessoais para fins de prospecção comercial (promoção)

A CNIL deixou claro que, quando os dados pessoais são tratados para efeitos de prospecção, o titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito, para tais fins de prospecção.

A CNIL informou que um reclamante continuou a receber SMS de publicidade da empresa, apesar de uma oposição anteriormente expressa ao tratamento de seus dados pessoais para fins de desenvolvimento de negócios.

A CNIL reforçou que ao fim da investigação o Carrefour enfatizou especialmente que a empresa implantou meios significativos para revisar minuciosamente o impacto das objeções expressas por SMS em suas bases de dados. Observou ainda que as reclamações nesse sentido passaram a ser recebidas diretamente e não mais por terceiros, prestadores de serviços, processadas e transcritas na base de dados, garantindo um maior respeito pelos direitos.

A violação do direito de se opor à prospecção (promoção) por meios eletrônicos

A CNIL informou que um reclamante recebeu uma prospecção por e-mail, sem que lhe fosse dada a opção de se opor ao recebimento de tal promoção, isto é, na verdade, o link de cancelamento da lista de mala direta foi encaminhado, para que pudesse se opor, por meio do acesso a uma página de login de uma conta de cliente. No entanto, o reclamante não possuía essa conta, pelo que não podia opor-se à prospecção comercial. Logo, a violação se deu pelo fato da empresa não oferecer sistematicamente aos destinatários dos seus emails de prospecção, um maneira simples e eficaz de cancelar a assinatura dos e-mails em questão.

Entretanto, a CNIL esclareceu que o Carrefour, ao fim da investigação, estabeleceu um link de cancelamento de assinatura exclusivo que não exige passar pela conta do cliente para cancelar a prospecção.

A violação relacionada à segurança de dados pessoais

Essa violação foi detectada pela CNIL, no decorrer das investigações ao identificar que durante uma compra no website http://www.carrefour.fr, uma fatura é colocada à disposição do cliente em seu espaço pessoal após a entrega do pedido ou retirada na loja. Esta fatura pode ser acessada por meio de um endereço URL fixo. Qualquer pessoa com este endereço pode acessar a nota fiscal emitida sem a necessidade de se autenticar e se conectar à sua área de cliente.

Para mitigar essa vulnerabilidade, o Carrefour decidiu desenvolver duas medidas: a adição de uma cadeia de caracteres aleatórios e um mecanismo de autenticação anterior obrigatório. O primeiro passo foi, ao aumentar o número de URLs potenciais, reduzir o risco de uma dedução de endereço incremental permitindo o acesso às faturas. A segunda medida impedia completamente o acesso às faturas por qualquer pessoa que não fosse o interessado. A CNIL entendeu que a primeira medida não era suficiente, já que o acréscimo de uma cadeia de caracteres aleatória não seria suficiente, por si só, para impedir o acesso indevido aos dados pessoais de terceiros. Essa medida reduziria o risco, mas não o eliminaria, pois o acesso continuaria sendo possível, sendo, portanto, obrigatória a implementação da autenticação prévia.

A falha em notificar violação de dados pessoais

Durante a investigação, a CNIL também identificou que a empresa registrou um ataque de computador, do qual foi vítima em 1 de julho de 2019. Este ataque, utilizando o serviço de autenticação do aplicativo móvel do grupo , assumiu a forma de 800.000 tentativas de conexão de 10.000 endereços IP. Resultou em 4.000 autenticações bem-sucedidas e 275 acessos efetivos a contas de clientes. Esta violação não foi notificada ao CNIL.

A CNIL lembrou que, em caso de violação de dados pessoais, o princípio é o da notificação à autoridade de controle. A omissão de notificação é possível apenas como uma exceção, quando a violação provavelmente não colocar em risco os direitos e liberdades dos indivíduos.

A violação relativa a cookies

A CNIL deixou claro que os usuários deveriam ser informados e que seu consentimento fosse obtido antes de qualquer acesso ou registro para informações já armazenadas em seu equipamento. Qualquer depósito de cookies ou outros rastreadores deveria, portanto, ser precedido da informação e consentimento dos indivíduos. Este requisito não se aplicaria a cookies cujo único objetivo seria permitir ou facilitar a comunicação por meios eletrônicos ou que sejam estritamente necessários para a prestação de um serviço de comunicação online por solicitação expressa do utilizador.

A CNIL descobriu, durante as investigações, que o depósito de 39 (trinta e nove) cookies era automático no acesso da página inicial do website, e antes de qualquer ação do usuário. Dentre esses 39 (trinta e nove) cookies, 3 (três) pertenciam à solução Google Analytics (cookies _gid, _ga e _gat_gtag_UA_3928615_46). A CNIL esclareceu que um guia sobre a associação de contas do Google Analytics e Google Ads, publicado num dos sites da empresa Google, deixa claro que a integração do Google Analytics no Google Ads permite aos anunciantes saber com precisão quanto seus anúncios se traduzem em conversões e, em seguida, ajustar rapidamente sua publicidade e ofertas. Os anunciantes também podem combinar produtos para identificar seus segmentos mais interessantes e, em seguida, envolver esses usuários com mensagens personalizadas. Portanto, esses cookies não se destinavam exclusivamente a permitir ou facilitar a comunicação eletrônica e não eram estritamente necessários para a prestação do serviço. Seu registro deveria, portanto, obrigar a empresa a obter o consentimento prévio dos usuários.

Todavia, a CNIL esclarece que, ao final das investigações, o Carrefour interrompeu o depósito automático de cookies no acesso à página inicial do seu website.