Violación del RGPD: la Cnil multa a Discord

hace 1 año

La plateforme de discussion a fait l

La plataforma de debate Discord es multada con 800.000 euros por el Cnil. En cuestión: el incumplimiento de diversas obligaciones del Reglamento General de Protección de Datos (RGPD), en particular en materia de plazos de conservación y seguridad de los datos personales.

Tormenta en la plataforma de discusión Discord. En base a los hallazgos realizados durante las inspecciones, la formación restringida -el órgano de Cnil responsable de pronunciar sanciones- consideró que la empresa había incumplido varias obligaciones previstas por el Reglamento General de Protección de Datos (RGPD). Resultado: Discord recibe una multa de 800.000 euros hecha pública. “El monto de esta multa se decidió en vista de las infracciones identificadas, el número de personas involucradas, pero también teniendo en cuenta los esfuerzos realizados por la empresa para cumplir durante todo el procedimiento y el hecho de que su modelo de 'negocio no se basa en la explotación de datos personales' explica el Cnil.

Como recordatorio, Discord es una plataforma de chat, inicialmente utilizada por jugadores, ha visto dispararse su número de usuarios activos mensuales en los últimos años, alcanzando un máximo de 150 millones (cifra de noviembre de 2021). Ofrece un servicio de voz sobre IP y mensajería instantánea, en el que los usuarios pueden crear servidores, canales de texto, voz y video. La compañía, cuya sede central se encuentra en Estados Unidos, ha conseguido así que su plataforma sea “una herramienta de comunicación diaria”, tal y como indica su director y fundador Jason Citron.

Índice
  1. Varias infracciones sancionadas
  2. Comunicar claramente a los usuarios si abandonan o no la aplicación.
  3. Gestión de contraseñas más robusta
  4. La obligación de realizar un análisis de impacto

Varias infracciones sancionadas

El Cnil recuerda en su nota de prensa las diversas deficiencias constatadas en el marco del procedimiento de control. En primer lugar se cita el incumplimiento de la obligación de definir y cumplir un plazo de conservación de datos adaptado al objetivo perseguido (artículo 5.1.e del RGPD). De hecho, la empresa ha indicado que no tiene una política de retención de datos por escrito. Sin embargo, el Cnil indica "que había, dentro de la base de datos de Discord, 2.474.000 cuentas de usuarios franceses que no habían utilizado su cuenta durante más de tres años y 58.000 cuentas que no habían utilizado durante más de cinco años".

Sin embargo, la empresa ha cumplido con esta obligación de GDPR como parte del procedimiento, y ahora tiene una política de retención de datos por escrito, que prevé en particular la eliminación de cuentas después de dos años de inactividad. el usuario. También se cita el incumplimiento de la obligación de informar (artículo 13 del RGPD). En el momento de la verificación en línea realizada, faltaba información sobre los períodos de retención: no incluía duraciones precisas ni criterios para determinarlos. Un punto en el que la plataforma se dobló rápidamente.

Comunicar claramente a los usuarios si abandonan o no la aplicación.

También se constató el incumplimiento de la obligación de garantizar la protección de datos por defecto (artículo 25.2 del RGPD). De hecho, cuando un usuario conectado a un canal de voz cierra la ventana de la aplicación Discord haciendo clic en el ícono "X" ubicado en la parte superior derecha de Windows, en realidad solo está colocando la aplicación en el plan posterior y permanece conectado. Sin embargo, en Windows, hacer clic en "X" en la parte superior derecha de la última ventana visible de una aplicación le permite salir de la gran mayoría de las aplicaciones. Claramente, esto significa que los usuarios pueden ser escuchados por otros miembros de un canal de voz sin saberlo.

En este sentido, se consideró que Discord debe informar específicamente al usuario permitiéndole tomar conciencia de que sus palabras continúan siendo transmitidas y escuchadas por terceros. Para responder a esto, se ha configurado una ventana "pop-up" que permite, cuando la ventana se ha cerrado por primera vez, alertar a las personas conectadas a un canal de voz que la aplicación Discord todavía está en funcionamiento y que este parámetro puede ser modificado directamente por el usuario.

Gestión de contraseñas más robusta

Al momento de la verificación en línea, al crear una cuenta en Discord, se aceptó una contraseña que consta de seis caracteres que incluyen letras y números, indica el Cnil. Considerada como no lo suficientemente robusta y restrictiva, la política de administración de contraseñas de Discord no garantiza la seguridad de las cuentas de los usuarios. Ello constituye un incumplimiento de la obligación de garantizar la seguridad de los datos personales (artículo 32 del RGPD).

La compañía ha dado pasos en esta dirección y ahora exige a los usuarios definir una contraseña de al menos 8 caracteres, con al menos tres de las cuatro categorías de caracteres (minúsculas, mayúsculas, números y caracteres especiales) y, tras diez intentos fallidos de conexión, la empresa requiere la resolución de un captcha (pregunta-respuesta, por ejemplo una casilla de verificación o una selección de imágenes).

La obligación de realizar un análisis de impacto

Finalmente, se llamó a Discord sobre la obligación de realizar un análisis de impacto en materia de protección de datos (artículo 35 del RGPD). Teniendo en cuenta que esto no era necesario al principio, respondió positivamente a la solicitud de la CNIL y llevó a cabo dos evaluaciones de impacto para su procesamiento vinculado a la plataforma Discord y sus servicios esenciales, que concluyeron que no es probable que el procesamiento cree un alto riesgo para los derechos y libertades de las personas.

Si quieres conocer otros artículos parecidos a Violación del RGPD: la Cnil multa a Discord puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir