En un procedimiento sancionador incoado por la Comisión Nacional francesa de Informática y Libertades (CNIL), no se ha ordenado a la start-up israelí-estadounidense Lusha que pague una multa o cese en sus actividades ilegales. Acusada de haber tomado datos de contacto de las libretas de direcciones de sus usuarios, el organismo francés de control de la protección de datos se dio cuenta de que el RGPD no se aplicaba en su caso.
La CNIL ha examinado el caso de la start-up estadounidense
La start-up israelí-estadounidense Lusha es conocida por comercializar una extensión para navegadores web. Revela a los usuarios los datos profesionales de las personas con perfil en LinkedIn o Salesforce. La herramienta funciona con varias aplicaciones de gestión de contactos como Mailbook, Simpler o Cleaner Pro.
Si para Lusha, su extensión tiene por objeto luchar contra el fraude en línea, la CNIL no tenía la misma opinión. Para el regulador, la puesta en marcha no proporcionó suficiente información sobre cómo se recogieron y procesaron los datos. Tras recibir una quincena de denuncias entre 2018 y 2021, el presidente de la CNIL pidió a la formación restringida que investigara el caso Lusha.
Cada vez que la formación restringida ha tenido que analizar la actuación de una empresa en virtud del RGPD, ha sancionado a la empresa en cuestión al menos con una multa. Esta vez, la CNIL desestimó el caso contra Lusha.
Los tres artículos principales del RGPD no aplicables al caso Lusha
En su deliberación publicada a finales de 2022, el panel restringido afirma que la empresa ha recuperado sin su consentimiento los números de teléfono profesionales y las direcciones de correo electrónico de 1,5 millones de franceses. A pesar de este fracaso, la CNIL se dio cuenta de que era perfectamente posible que una empresa sin vínculos con Europa pusiera en marcha este proceso de recuperación de datos personales.
De hecho, el RGPD sanciona a las empresas establecidas en la Unión Europea. En pocas palabras, si una empresa es extranjera y tiene instalaciones en uno de los países miembros, tendrá que cumplir con el GDPR. Es el caso de WhatsApp y Amazon, empresas estadounidenses con presencia en Europa que han sido sancionadas por incumplir el marco legislativo europeo. Si la empresa no tiene su sede en Europa, el reglamento no se aplica. Por lo tanto, el criterio del establecimiento no puede aplicarse al caso de Lusha.
Dado que su ampliación no está vinculada a una oferta de bienes o servicios a los interesados, no es aplicable el criterio relativo a tales ofertas. Por último, la CNIL demostró que los datos recuperados por Lusha no permitían establecer el perfil de las personas objeto de la investigación. El criterio relativo al control del comportamiento de los interesados tampoco es aplicable.
Como joven medio de comunicación independiente, OnDigital Magazine necesita tu ayuda. Apóyenos siguiéndonos y marcándonos como favoritos en Google News. Gracias por su apoyo.
