skip to Main Content

CNIL: KASPR multata di 200.000 euro per violazioni GDPR nel data scraping

Il 5 dicembre 2024, la CNIL (Commission Nationale de l’Informatique et des Libertés, Autorità Francese per la Protezione dei Dati) ha deciso di imporre una multa di 200.000 euro a KASPR, a causa di numerose violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR). Questa decisione è stata presa in seguito a numerose denunce riguardanti l’uso improprio di dati personali raccolti tramite un’estensione per il browser Chrome commercializzata dalla società.

KASPR propone un’estensione che permette agli utenti di ottenere i dettagli di contatto professionali di persone presenti su LinkedIn e altri siti, come i registri di nomi di dominio. Tali dati vengono successivamente utilizzati dai clienti dell’azienda per finalità di prospezione commerciale, reclutamento e verifica dell’identità. Complessivamente, il database di KASPR contiene circa 160 milioni di contatti.

La CNIL ha avviato un’indagine in seguito a numerose lamentele da parte di individui contattati da soggetti che avevano ottenuto i loro dati tramite l’estensione offerta da KASPR. L’inchiesta ha portato alla luce diverse irregolarità, tra cui l’assenza di una base giuridica valida per il trattamento dei dati personali, la mancata definizione e il rispetto di un periodo di conservazione proporzionato alle finalità del trattamento, e la trasparenza insufficiente nel fornire informazioni agli interessati. Inoltre, è emersa una violazione del diritto degli interessati ad accedere ai propri dati.

In aggiunta alla sanzione pecuniaria, la CNIL ha imposto a KASPR una serie di obblighi correttivi. L’azienda deve interrompere la raccolta di dati personali delle persone che hanno limitato la visibilità dei propri contatti e cancellare i dati raccolti in modo non conforme. Se non fosse possibile identificare tali dati, sarà necessario informare gli interessati del trattamento e concedere loro la possibilità di opporsi. Inoltre, è stato richiesto a KASPR di porre fine alla pratica del rinnovo automatico della conservazione dei dati personali e di garantire che le persone interessate siano informate in modo chiaro e comprensibile sul trattamento dei loro dati. L’azienda deve anche rispondere in maniera esaustiva alle richieste di accesso, fornendo tutte le informazioni disponibili sulle fonti dei dati raccolti.

KASPR ha un periodo di sei mesi per conformarsi a queste disposizioni, con scadenza fissata al 18 giugno 2025.

Questo caso dimostra l’importanza di rispettare le norme del GDPR, in particolare nei confronti delle pratiche di raccolta automatizzata dei dati. La decisione della CNIL invia un segnale forte alle aziende, ribadendo che la trasparenza e il rispetto dei diritti degli interessati non possono essere compromessi.

 

Per maggiori dettagli, è possibile consultare i comunicati stampa ufficiali:

Back To Top