CNIL, Autorità Garante francese per la protezione dei dati personali, multa DISCORD per 800.000 euro

La CNIL, Commission nationale de l’informatique et des libertés, ha deciso di indagare di propria iniziativa, senza che siano state presentate denunce. L’Autorità ha condotto diversi tipi di indagine: ha effettuato un controllo online sia sul sito Web “discord.com” che sull’applicazione mobile DISCORD, insieme ad un’indagine documentale.

In particolare l’Autorità ha riscontrato la:

• Mancata definizione e rispetto di un periodo di conservazione dei dati adeguato alla finalità (art. 5.1.e del GDPR)
• Inosservanza dell’obbligo di informazione (art. 13 del RGPD)
• Mancata protezione dei dati per impostazione predefinita (articolo 25.2 del GDPR)
• Mancata garanzia della sicurezza dei dati personali (art. 32 GDPR)
• Mancato svolgimento di una valutazione d’impatto sulla protezione dei dati (articolo 35 del GDPR)

Sulla base delle risultanze emerse durante le indagini, il comitato ristretto – l’organo della CNIL preposto all’emissione delle sanzioni – ha ritenuto che la società non avesse rispettato diversi obblighi previsti dal Regolamento generale sulla protezione dei dati (GDPR). Ha imposto una multa di 800.000 euro a DISCORD INC. che è stata resa pubblica.

L’importo della sanzione è stato deciso tenendo conto delle violazioni individuate, del numero di persone interessate, ma anche tenendo conto degli sforzi compiuti dall’azienda per rispettare tutta la procedura e del fatto che il suo modello di business non si basa sullo sfruttamento dei dati personali .