KASPR ha commercializzato un’estensione per il browser Chrome che consente ai clienti paganti di ottenere i dettagli di contatto professionali delle persone tramite scraping di cui visitano i profili sul social network LinkedIn. I dati di contatto raccolti consentono ai clienti della società di contattare le persone interessate, ad esempio per comunicazioni commerciali, recruiting o la verifica dell’identità.
Il garante privacy francese CNIL ha ricevuto numerosi reclami da parte di persone che sono state contattate da società che hanno ottenuto i loro dati di contatto tramite l'estensione di KASPR. Sulla base di quanto emerso nel corso di un'ispezione, la CNIL ha ritenuto che KASPR non avesse rispettato diversi obblighi previsti dal Regolamento generale sulla protezione dei dati GDPR e pertanto ha comminato a KASPR una sanzione amministrativa di euro 240.000. La sanzione è stata adottata in collaborazione con tutte le altre autorità di controllo europee coinvolte in quanto i soggetti interessati presenti nella banca dati di Kaspr sono rispettivamente situati in Svezia, Ungheria e Sassonia. La CNIL ha riscontrato le seguenti violazioni del GDPR . Mancato rispetto dell'obbligo di avere una base giuridica del trattamento articolo 6 del GDPR Su Linkedin, gli utenti possono scegliere tra quattro opzioni per determinare la visibilità delle proprie informazioni di contatto «Visibile solo a me» «Chiunque su LinkedIn» «Connessioni di 1° grado» Oltre ai dati di contatto degli utenti che li avevano resi visibili a tutti, KASPR ha raccolto anche i dati di contatto di coloro che avevano scelto di limitare la visibilità ai propri collegamenti di 1° e 2° grado. La CNIL ha ritenuto che la raccolta da parte di KASPR di dati di contatto per i quali gli utenti di LinkedIn avevano espressamente limitato la visibilità andasse oltre quanto ci si poteva ragionevolmente aspettare da persone che si registrano su un social network professionale. A difesa, la società ritiene che il trattamento si basi sulla base giuridica del legittimo interesse, poiché gli utenti di LinkedIn si registrano per beneficiare del collegamento con altri professionisti, e non è quindi necessario raccogliere il loro consenso. Sostiene, inoltre, che la necessità della verifica dell'identità rientra nelle ragionevoli aspettative dei professionisti in un contesto di crescenti rischi riguardanti la validità dei profili digitali. Per quanto la CNIL riconosca che l'interesse della Società possa essere qualificato come legittimo e che i dati raccolti per finalità di tali interessi possano apparire necessari, è necessario contemperarli con i diritti e le libertà degli interessati. Se un professionista registrato su LinkedIn sceglie di limitare la visibilità dei suoi dati di contatto, non si può sostenere che la raccolta dei suoi dati da parte della società KASPR rientri nelle ragionevoli aspettative di questa persona e quindi risultano prevalenti i diritti e le libertà degli interessati. In relazione alle altre basi giuridiche, la CNIL rileva che le persone i cui dati di contatto sono trasmessi alla società per gestire l'estensione KASPR non hanno mai acconsentito a ciò. Si rileva, poi, che nessun contratto vincola gli interessati alla società KASPR. Pertanto, la CNIL ritiene che né la base giuridica del consenso, né quella del contratto, né qualsiasi altra base giuridica adempimento di un obbligo legale, tutela degli interessi vitali dell'interessato o esecuzione di un compito di pubblico interesse , possa costituire una valida e idonea condizione di liceità per il trattamento in questione. Da quanto precede discende che la raccolta dei dati di contatto mediante l'importazione dei contatti LinkedIn degli utenti che hanno deciso di non rendere visibili a tutti gli altri utenti i propri dati di contatto, utilizzati per alimentare il database dell'estensione KASPR, è illecita in quanto viola l' articolo 6 del GDPR . Mancato rispetto dell'obbligo di definire e rispettare un periodo di conservazione dei dati proporzionato alle finalità del trattamento La CNIL ha notato che, per i dati raccolti dall'azienda in modo lecito, cioè quelli delle persone che hanno scelto di lasciare i loro dati di contatto visibili su LinkedIn, la società conservava i dati di contatto degli utenti per 5 anni a partire da ogni aggiornamento dei dati, che generalmente avviene quando una persona cambia lavoro o datore di lavoro. Tuttavia, per le persone che cambiano lavoro o datore di lavoro prima dei 5 anni, la CNIL ha notato che questo rinnovo del periodo di conservazione porta a conservare i loro dati per un tempo sproporzionatamente lungo . Mancato rispetto dell'obbligo di fornire trasparenza e informazioni ai soggetti interessati KASPR ha iniziato a informare gli interessati in merito alla raccolta dei loro dati personali solo nel 2022, ossia quattro anni dopo l'implementazione dell'estensione di KASPR. Le informazioni sono state fornite via e-mail in inglese, con un link per opporsi al trattamento. Oltre al ritardo di KASPR nell'informare i soggetti interessati, la modalità di informazione sulla raccolta dei dati personali email non è stata ritenuta idonea dalla CNIL a fornire informazioni in via trasparente e facilmente comprensibili. Mancato rispetto del diritto di accesso dei soggetti interessati Quando le persone che erano state contattate hanno chiesto a KASPR come fossero stati raccolti i loro dati, la società ha semplicemente risposto che i loro dati erano stati raccolti da fonti accessibili al pubblico. Dopo aver evidenziato che la società dovrebbe essere in grado di indicare «tutte le informazioni disponibili sulla fonte» dei dati personali, la CNIL ha rilevato che, anche se l'azienda non era tecnicamente in grado di specificare la fonte dei dati raccolti per ogni persona interessata, era comunque a conoscenza di alcune delle fonti che alimentavano il suo database , peraltro elencate nella sua informativa privacy. La CNIL, oltre ad aver imposto la sanzione sopramenzionata, ha ordinato alla società di cessare la raccolta dei dati dei soggetti interessati che hanno scelto di limitare la visibilità dei loro dati di contatto e cancellare i dati raccolti in questo modo . Se non è possibile distinguere i dati la cui visibilità è stata limitata, KASPR dovrà informare gli interessati, entro 3 mesi, del trattamento dei loro dati e della possibilità di opporsi ad esso, e utilizzare i loro dati esclusivamente per questa finalità interrompere il rinnovo automatico della conservazione dei dati personali delle persone interessate informare le persone i cui dati vengono raccolti in una lingua a loro comprensibile rispondere alle richieste di accesso dei soggetti interessati, fornendo tutte le informazioni disponibili sulle fonti di raccolta dei dati . KASPR dovrà adempiere alle misure correttive imposte entro 6 mesi e quindi entro il 18 giugno 2025.