El CNIL sanciona a un ‘data broker’ por vulneraciones graves del RGPD
La Comisión Nacional de Informática y Libertades (CNIL), autoridad francesa de protección de datos, ha impuesto una multa de 80.000 euros a la empresa CALOGA, especializada en marketing digital, por múltiples infracciones al Reglamento General de Protección de Datos (RGPD). La decisión, adoptada el 15 de mayo de 2025, señala prácticas sistemáticas ilícitas de tratamiento de datos personales.
La empresa CALOGA se dedica al sector del marketing digital, actuando como un ‘data broker’. Su actividad principal consiste en la recopilación, tratamiento y cesión de datos personales con fines de prospección comercial. Específicamente, CALOGA capta direcciones de correo electrónico y otros datos de usuarios para enviarles comunicaciones promocionales, y también transmite estos datos a terceros socios comerciales, generalmente sin el consentimiento explícito de los interesados.
Este modelo de negocio ilegal se basa en la monetización de bases de datos personales, lo que la CNIL ha considerado especialmente problemático cuando no se respetan los principios del RGPD, como el consentimiento informado, la transparencia y la limitación de la finalidad.
La empresa recopiló y utilizó datos personales de millones de usuarios para enviar correos electrónicos promocionales sin contar con el consentimiento expreso de los interesados. Aunque CALOGA alegó actuar bajo un supuesto interés legítimo, la CNIL concluyó que, dada la naturaleza comercial del tratamiento, era imprescindible obtener el consentimiento previo.
Además de esta actividad de mercadotecnia masiva, CALOGA compartió información personal con socios comerciales sin informar adecuadamente a los usuarios ni recabar su consentimiento. Esta práctica vulnera el principio de transparencia y el derecho de los ciudadanos a controlar el uso de sus datos. Se le imputó también la infracción del artículo 5.1.e) del RGPD, que exige limitar el período de conservación de los datos personales. Esta empresa mantuvo los datos durante un período superior al necesario para los fines para los que fueron recogidos. De las investigaciones efectuadas por el CNIL se evidenció que CALOGA no justificó el período de conservación de los datos de los interesados, y que la finalidad de enviar correos en todo caso se entendía ya cumplida, no existiendo ninguna justificación para el almacenamiento prospectivo.
La CNIL justificó la gravedad de la sanción por el carácter masivo y sistemático de las infracciones. Las prácticas afectaron a un gran número de interesados y dichas infracciones constituían el modelo de negocio de la empresa. Además, la autoridad destacó la falta de medidas correctivas por parte de CALOGA, a pesar de haber sido advertida previamente.
Otro factor agravante fue el impacto directo en los derechos de los usuarios, quienes no fueron informados ni tuvieron control sobre el uso de su información personal. La CNIL recordó que el cumplimiento del RGPD no depende de la existencia de directrices específicas, sino que es una obligación legal directa para cualquier responsable del tratamiento.
El CNIL nos vuelve a recordar en este caso lo más básico en relación con las actividades de prospección comercial: es necesario proporcionar transparencia e información suficiente a los interesados, y el envío de contenido publicitario solo puede realizarse con su consentimiento, salvo excepciones establecidas en la normativa. El ‘data brokerage’ es un modelo de negocio que, por no ser transparente ni por contar con el consentimiento del interesado, es incompatible con el RGPD.