Sanción de la CNIL en materia de plazos de conservación y seguridad de la información

La sancionada por la autoridad de control de protección de datos francesa, la Commission Nationale de l’Informatique et des Libertés (CNIL), ha sido INFOGREFFE, empresa que a través de su sitio web (https://www.infogreffe.fr/) permite a cualquier persona consultar información legal sobre empresas.

El motivo de la sanción ha sido la infracción de los siguientes artículos:

-Artículo 5.1.e RGPD, sobre el principio de limitación del plazo de conservación de los datos (no más tiempo del necesario para los fines del tratamiento de los datos personales).

-Artículo 32 RGPD, sobre la obligación de garantizar la seguridad de la información a partir de la aplicación de medidas técnicas y organizativas apropiadas.

¿Cómo se ha llegado a esta conclusión?

Por lo que respecta al plazo de conservación, la empresa anunciaba en su página web que los datos personales no se guardaban más allá de 36 meses desde la última acción o última prestación de servicio. Sin embargo, la CNIL descubrió en su investigación la existencia de cuentas inactivas más antiguas que ese plazo. 

En cuanto a la inexistencia de medidas de seguridad adecuadas, la CNIL verificó que la sancionada no requería a sus usuarios el establecimiento de contraseñas seguras y que, además, estas contraseñas junto con la información de recuperación de cuentas se almacenaban sin ningún tipo de protección ni cifrado.

Por todo lo anterior, INFOGREFFE ha sido sancionada al pago de una multa de 250.000 euros.