Cinco años después de denunciar el consentimiento forzado, Elkjop recibe una multa de €1.8 millones

 (thatprivacyguy.com)
1 puntos por GN⁺ 7 시간 전 | 1 comentarios | Compartir por WhatsApp
  • El club de clientes nórdico del grupo Elkjop exigía darse de baja del club para desactivar los correos de marketing, y un miembro denunció en 2021 que esto violaba el GDPR y la ePrivacy
  • El punto en disputa era si una estructura en la que solo se puede rechazar el marketing directo renunciando a los beneficios del club de clientes cumple con el requisito de consentimiento libre
  • La autoridad sueca IMY remitió el caso a la jurisdicción de la empresa matriz en Noruega, y Datatilsynet impuso el 1 de junio de 2026 una multa de NOK 20 millones, algo más de €1.8 millones
  • Datatilsynet concluyó que el consentimiento era forzado, no específico y no estaba suficientemente informado, y que además se reutilizaron datos personales recopilados para publicidad y seguimiento de conversiones sin realizar la evaluación de compatibilidad exigida por el artículo 6(4) del GDPR
  • El denunciante afirmó que se enteró del resultado a través de GDPRhub porque las autoridades no le notificaron la decisión, y anunció que pedirá explicaciones a IMY y que impulsará un procedimiento de infracción de la UE y una demanda civil contra Elkjop

La estructura en la que rechazar marketing llevaba a salir del club

  • En el verano de 2021, un miembro de Elgiganten Kundklubb encontró la forma de desactivar los correos de marketing en el club de clientes que el grupo Elkjop operaba en toda la región nórdica
  • En la práctica, para dejar de recibir marketing tenía que cancelar la propia membresía del club de clientes
  • El 30 de julio, el miembro informó al Data Protection Officer que este sistema violaba la ley
    • El artículo 21(2) del GDPR otorga a toda persona un derecho absoluto de oposición al marketing directo
    • Según la ePrivacy Directive, el email marketing solo es lícito con consentimiento o cuando existe una relación previa con el cliente, y además debe ofrecer una opción de opt-out sencilla en el momento de recopilar los datos y en todos los mensajes posteriores
    • Según los artículos 4(11) y 7 del GDPR, el consentimiento debe otorgarse libremente y no puede estar atado a otras condiciones ni convertirse en un requisito obligatorio
  • La lógica era que, si para ejercer un derecho ya existente había que renunciar a los beneficios del club de clientes, entonces ese consentimiento no podía considerarse libre

La respuesta de Elkjop y la presentación de la denuncia

  • Elkjop respondió, en esencia, que “ser miembro del club de clientes es una condición para recibir marketing/ofertas”
  • Desde la perspectiva del miembro, esto dejó por escrito una estructura que convertía el ejercicio de un derecho en una condición de inscripción
  • Después, el miembro inició varios procedimientos
    • Solicitó formalmente la limitación del tratamiento conforme al artículo 18 del GDPR
    • Envió una solicitud completa de acceso del interesado conforme al artículo 15
    • El alcance de la solicitud incluía base jurídica, legitimate interest balancing test, destinatarios, subencargados, transferencias internacionales y perfilado, entre otros puntos
    • Presentó una denuncia ante la autoridad sueca Integritetsskyddsmyndigheten (IMY), con número de referencia DI-2021-6660
  • La empresa remitió a una política de privacidad ambigua y luego amplió a 90 días el plazo para responder a la solicitud de acceso, alegando “complejidad” y “recursos internos limitados”

Cómo una denuncia en Suecia terminó en una multa en Noruega

  • El club de clientes era operado por la empresa matriz noruega Elkjop Nordic AS, y se consideró que la autoridad real para decidir los fines y medios del tratamiento también correspondía a la matriz
  • En septiembre de 2022, IMY decidió que no era la autoridad competente adecuada
  • En el sistema de ventanilla única del artículo 56(1) del GDPR, la autoridad competente es la del país donde el responsable tiene su establecimiento principal
    • El establecimiento principal estaba en Noruega
    • IMY remitió la investigación y la denuncia a la DPA noruega, Datatilsynet
    • Datatilsynet aceptó el caso
  • Después, el caso continuó durante mucho tiempo sin novedades relevantes

La decisión de Datatilsynet en 2026

  • El 1 de junio de 2026, Datatilsynet impuso al grupo Elkjop una multa de NOK 20 millones, algo más de €1.8 millones
  • El núcleo de la decisión coincidía con lo planteado en la denuncia de 2021
    • El consentimiento del club de clientes no era válido
    • El consentimiento era forzado
    • El consentimiento no era específico
    • Los miembros no habían sido suficientemente informados
  • Datatilsynet consideró que Elkjop también utilizó para publicidad y seguimiento de conversiones los datos personales recopilados a través del club de clientes
  • También se consideró problemático que no hubiera realizado la evaluación de compatibilidad exigida por el artículo 6(4) del GDPR antes de reutilizar los datos para otros fines
  • La decisión abarcó los artículos 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f) y 6(4)
    • Es decir, trató conjuntamente la licitud, equidad, transparencia y responsabilidad de toda la estructura

Consentimiento forzado y el problema del pay-or-consent

  • El consentimiento forzado, el pay-or-consent, el consentimiento agrupado y los modelos de “si no aceptas todo no puedes usar el servicio” se usan como si fueran el modo predeterminado en gran parte de la economía digital
  • El punto clave es que, si al rechazar el usuario pierde algo que originalmente tenía derecho a conservar, entonces ese consentimiento no puede ser libre
  • Tras cinco años y una multa de siete cifras, este punto quedó plasmado en una decisión pública

La obligación de notificar al denunciante y los siguientes pasos

  • El denunciante señaló que se enteró de la decisión un jueves por la mañana a través de GDPRhub, una wiki mantenida por voluntarios, y no por IMY ni por Datatilsynet
  • El artículo 77(2) del GDPR dispone que la autoridad de control debe informar al denunciante sobre el progreso y el resultado de la denuncia
    • No es una cuestión de discreción o cortesía, sino una obligación legal
    • La denuncia se presentó ante IMY, y el caso que IMY remitió terminó en una ejecución de varios millones de euros, pero ninguna de las autoridades involucradas informó al denunciante
  • El denunciante pidió a IMY una explicación por escrito y fijó un plazo de 5 días hábiles para responder
  • También afirmó que, si la respuesta era la esperada, plantearía la cuestión mediante el procedimiento de infracción de la Unión Europea
  • Como el proceso regulatorio ya terminó, también queda pendiente una demanda civil contra el grupo Elkjop, y señaló que su alcance podría ampliarse por los detalles de tratamiento adicional ilegal de datos personales
  • Si Elkjop hubiera aceptado el señalamiento en 2021, podría haber evitado la multa, el tratamiento ilícito, el daño a la marca y el litigio posterior

Lecturas relacionadas

1 comentarios

 
GN⁺ 7 시간 전
Opiniones de Hacker News

  • Qué bueno que al final esto salió bien, y ojalá más gente viviera así a medida que la distopía se pone peor
    Sobre todo en EE. UU., hacer valer tus derechos o siquiera leer todos los documentos que te piden firmar te pone en una clara desventaja frente a la gente que no dice nada o simplemente piensa “bueno, seguro está bien” para no molestar a los demás ni generar problemas

    • Fui a un hospital nuevo y, durante el proceso de admisión, me pidieron que “firmara” en una pequeña tableta digital para poder tramitar bien el seguro
      Pedí que me mostraran una copia en papel de lo que estaba firmando, pero no la pudieron encontrar y, por alguna razón, tampoco podían imprimirla, así que al final me rendí, garabateé una firma con el dedo y me atendieron; es para volverse loco
    • Una vez renté un departamento en EE. UU., y en los papeles decía que el arrendador podía crear video, fotos y grabaciones de audio de mí y de mi familia, y usarlas para sus propios fines, incluyendo fines comerciales
      Me opuse, pero la actitud era que no iban a meter al equipo legal solo por mí, y que si no me gustaba podía irme
    • Yo soy de los que leen cada línea de los contratos que firma, incluyendo los términos de uso y la política de privacidad
      De hecho, me gusta porque así sé a quién le incomoda eso. Sirve para identificar a la gente que te da la mano pero no tiene intención de cumplir su palabra
      Esta experiencia incluso cambió la forma en que redacto estos documentos, y los últimos términos de uso y política de privacidad que escribí quedaron lo bastante cortos como para leerse de una sola sentada
    • Mi esposa dio a luz hace poco, y cuando llegamos al hospital las contracciones ya eran lo suficientemente seguidas como para que la internaran
      Aun así, el hospital le puso enfrente unas 10 páginas de consentimientos para firmar, y cuesta imaginar que alguien realmente las lea
      También cuesta imaginar que le fueran a negar la admisión por esos papeles
    • Sí. Da tristeza en especial ver que incluso en este mismo hilo hay gente diciendo “a este cliente lo vetaría de por vida” solo por conocer sus derechos
      Es lamentable que esta cultura esté tan extendida incluso entre estadounidenses que se consideran patriotas
      Este país se fundó sobre la rebelión y la defensa de los derechos, y de algún modo ahora parece que para muchos ciudadanos el ideal es exactamente lo contrario

  • Decisión real (en noruego): https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...
    Resumen cubierto por la entrada del blog y traducción automática de la sección 5.1 (incluye también algo de otro contenido): https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...
    Después vi que también había una decisión oficial en inglés: https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...

  • La frase “para recibir marketing/ofertas hay que ser miembro del club de clientes” por sí sola no se entiende muy bien
    Si fuera “para ser miembro del club de clientes, es condición recibir marketing/ofertas”, sería otro tema, pero la frase de arriba más bien suena a que para recibir marketing necesitas afiliarte al club
    Parece que algo se invirtió en la traducción o en la redacción

    • Es un problema de traducción. El original en noruego quería decir que para unirse al club de lealtad era necesario aceptar las actividades de marketing, pero la traducción automática lo pasó de forma literal sin convertirlo en una estructura natural en inglés
    • Sí, suena al revés, y probablemente lo correcto sería “para ser miembro del club de clientes, tienes que recibir marketing/ofertas”
    • Aquí “marketing/ofertas” parece referirse a promociones o descuentos
      O sea, para recibir descuentos o eventos especiales tienes que ser miembro del club, para ser miembro del club tienes que aceptar recibir correos, y según la ley de la UE de todos modos tendrías derecho a acceder a todos los descuentos
    • Yo tampoco lo entiendo. Que la membresía sea condición para recibir algo, según entiendo, solo significa que los no miembros no pueden o no deben recibir nada; no significa que el miembro necesariamente tenga que recibir algo
      Eso en sí suena completamente normal y razonable
    • Sonó como un error de traducción proveniente de una lengua del ámbito alemán
      Algo como “recibir ofertas es… una condición para permanecer inscrito”

  • Cinco años, qué chiste. La democracia y el Estado de derecho parecen ya no existir
    Los políticos se vuelven más ricos, nadie les planta cara, heredan los cargos a sus familiares, los impuestos siguen subiendo y los servicios siguen empeorando
    Por otro lado, resulta interesante poder presenciar en directo la destrucción de Europa y de las democracias occidentales
    Supongo que una decadencia dolorosa así debió de ocurrir al final del Imperio romano, y ahora parece que estamos viendo el final del imperio europeo/estadounidense

  • También está el problema de las empresas de la UE que obligan a los candidatos a aceptar políticas anti-privacidad antes de una entrevista. Confusamente, les ponen el nombre de “política de privacidad”
    Esas políticas dicen que la empresa y terceros, básicamente cualquiera, tienen derecho a usar datos, incluyendo voz e imagen, para cualquier propósito
    Por supuesto, lo redactan de forma un poco ambigua para que a una persona común le cueste entenderlo
    Me pregunto si en casos así también ha habido medidas similares

    • En lo personal no me he topado con eso, pero puedes presentar una queja ante la autoridad de protección de datos de tu zona
      Es muy probable que ese tipo de cláusulas no cumplan con los requisitos de conformidad
      Para maximizar el efecto, puedes hacerle a esa empresa una solicitud de acceso bajo el artículo 15 del GDPR para obtener la lista real de destinatarios de los datos, asegurándote de pedir específicamente ese punto, y luego enviar solicitudes también a todas esas empresas
      Eso puede abrir la puerta a más quejas; por ejemplo, por qué no enviaron la información del artículo 14, o si la base jurídica original era el consentimiento y ese consentimiento no se otorgó libremente, si esa base jurídica era realmente adecuada
    • Hace poco me molestó un poco ver que una empresa de la UE estaba usando https://www.crosschq.com/

  • Entiendo la postura de esta persona, pero igual me da risa que haya vuelto a demandar a una autoridad legal que falló a su favor

    • No entiendo qué quiere decir. Suena a que planea demandar a la empresa en cuestión y que quizá también podría presentar una queja contra la autoridad sueca de protección de datos.
      La entidad que falló a su favor fue la autoridad noruega de protección de datos.
    • Si ves el informe de Datatilsynet, la autoridad noruega de protección de datos, cita como contexto “varias denuncias y reportes”.
      Quizá IMY determinó que este asunto estaba fuera de su jurisdicción y remitió la queja a Datatilsynet, y luego olvidó avisarle a Hanff al cerrar el caso, o puede que Datatilsynet nunca le haya respondido nada.
    • Si él influyó en la creación del GDPR, el resto del público en general se siente impotente y las autoridades encargadas tampoco hacen bien su trabajo, entonces puede que al final él sea el único que realmente exija responsabilidades.

  • Cita del original: La respuesta que recibí unos días después sirvió amablemente para dejar constancia de la infracción. Su postura era, en sus propias palabras, “para recibir marketing/ofertas tienes que ser miembro del club de clientes”.
    No veo cómo eso significa “si eres miembro del club, obligatoriamente tienes que recibir marketing/ofertas”.
    Más bien se entiende como “solo los miembros reciben marketing/ofertas”.

  • La Datatilsynet, la autoridad noruega de protección de datos, por mi experiencia siempre tiene en cuenta a los usuarios.
    Es una lástima que tarde tanto pasar por el sistema, pero suelen tomar buenas decisiones de manera consistente.

  • A mí la imagen no me cargaba y solo veía el prompt usado para generarla, pero la verdad eso me parece mejor

    • De mi lado sí se veían la imagen y el prompt, pero no se aplicaban los estilos a toda la página.
      Acabo de refrescar y ya cargó el CSS y el prompt ya no aparece.
      Probablemente el servidor web estuvo temporalmente saturado de tráfico y por eso a algunos visitantes no se les entregaban de forma consistente ni las imágenes ni los archivos CSS.
    • ¿No podría ser una descripción de accesibilidad para lectores de pantalla, en vez de un prompt?
    • Le indicaron al modelo que generara algo con estilo de “toma cinematográfica gran angular”, pero el resultado se fue más hacia una ilustración, así que da un poco de risa.

  • Que de verdad hayan multado a Elkjøp está muy bien y es totalmente justo, pero sí sorprende bastante que nunca se lo siguieran comunicando a la persona afectada.

    • La responsabilidad de avisarme no era de ellos, sino del regulador sueco IMY.