Por Alejandra Izaguirre Hernandez
Desde su lanzamiento en 2015, la plataforma social DISCORD cuenta con millones de usuarios, siendo la mayoría gamers. Tal cantidad de usuarios supone, evidentemente, una cantidad de datos personales que también deben ser respetados por la plataforma. Sin embargo, el 10 de noviembre de 2022, la Comisión Nacional de Informática y Libertades (CNIL, la autoridad administrativa francesa independiente encargada de crear conciencia y compartir información sobre la cultura de protección de datos, con capacidad consultiva y poder sancionador administrativo) impuso la cuantiosa multa de 800.000 euros a DISCORD por incumplimiento del Reglamento General de Protección de Datos (RGPD).
En concreto, los artículos infringidos, según la CNIL, son:
- 5.1.e) del RGPD, relativo a los principios que dirigirán el tratamiento de los datos: DISCORD no contaba con una política escrita de retención de datos, de tal forma que había 2.474.000 cuentas de usuarios franceses en su base de datos que no se habían utilizado durante más de tres años y 58.000 cuentas que no se habían utilizado durante más de cinco años.
- 13 del RGPD, relativo a la información que debe facilitarse cuando los datos personales se obtienen del interesado: la información ofrecida sobre los períodos de retención de datos era incompleta, de tal manera que no existían períodos o criterios específicos para determinarlos.
- 25.2 del RGPD, relativo a la protección de datos desde el diseño y por defecto: en las salas de voz de DISCORD, cerrar la ventana ponía la aplicación en segundo plano, permaneciendo todavía el usuario conectado a la sala de voz cuando pensaban que se habían ido.
- 32 del RGPD, relativo a la seguridad del tratamiento de los datos: al momento de crear una cuenta en la plataforma, ésta acepta contraseñas de sólo seis caracteres que incluyen letras y números, de tal forma que la política de administración de contraseñas de no era lo suficientemente fuerte y restrictiva para garantizar la seguridad de las cuentas de los usuarios.
- 35 del RGPD, relativo a la evaluación de impacto relativa a la protección de datos: aun con el volumen de datos que trata DISCORD y el uso de sus servicios por parte de menores, dicha plataforma consideró que no era necesario realizar una evaluación de impacto de protección de datos.
Tras el procedimiento de investigación, DISCORD ha tomado nota de las indicaciones de la CNIL y la normativa infringida, y ha llevado a cabo las modificaciones necesarias para adaptarse y cumplir las imposiciones del RGPD.