Cinco anos após denúncia de consentimento forçado, Elkjop recebe multa de €1,8 milhão

 (thatprivacyguy.com)
1 pontos por GN⁺ 7 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • O clube de clientes nórdico do grupo Elkjop exigia cancelar a associação para desativar e-mails de marketing, e um membro contestou isso em 2021 como violação do GDPR e da ePrivacy
  • A questão central era se uma estrutura em que só era possível recusar marketing direto abrindo mão dos benefícios do clube de clientes atendia ao requisito de consentimento livre
  • A autoridade sueca IMY encaminhou o caso para a jurisdição da controladora na Noruega, e a Datatilsynet aplicou em 1º de junho de 2026 uma multa de NOK 20 milhões, pouco mais de €1,8 milhão
  • A Datatilsynet concluiu que o consentimento era coercitivo, não específico e insuficientemente informado, e que os dados pessoais coletados foram reutilizados para publicidade e rastreamento de conversão sem a avaliação de compatibilidade exigida pelo Artigo 6(4) do GDPR
  • O reclamante afirmou ter descoberto o resultado pelo GDPRhub porque as autoridades não notificaram a decisão, e disse que exigirá explicações da IMY, além de anunciar um procedimento de infração na UE e ação civil contra a Elkjop

Estrutura em que recusar marketing levava ao cancelamento da associação

  • No verão de 2021, um membro do Elgiganten Kundklubb encontrou a forma de desativar e-mails de marketing no clube de clientes operado pelo grupo Elkjop em toda a região nórdica
  • Na prática, era um modelo em que, para parar o marketing, era necessário cancelar a própria associação ao clube de clientes
  • Em 30 de julho, o membro informou ao Data Protection Officer que esse modelo violava a lei
    • O Artigo 21(2) do GDPR concede a todas as pessoas o direito absoluto de oposição ao marketing direto
    • Pela Diretiva ePrivacy, o marketing por e-mail só é lícito com consentimento ou relação prévia com o cliente, e exige um opt-out simples no momento da coleta das informações e em todas as mensagens subsequentes
    • Segundo o Artigo 4(11) e o Artigo 7 do GDPR, o consentimento deve ser dado livremente e não pode estar vinculado a outras condições nem ser requisito obrigatório
  • A lógica era que, se a pessoa precisa abrir mão dos benefícios do clube para exercer um direito que já possui, então esse consentimento não foi dado livremente

Resposta da Elkjop e apresentação da reclamação

  • A Elkjop respondeu, em essência, que “para receber marketing/ofertas, é condição ser membro do clube de clientes”
  • Do ponto de vista do membro, ficou documentada uma estrutura que transformava o exercício de um direito em condição de adesão
  • Depois disso, o membro tomou várias medidas
    • Solicitou formalmente a limitação do tratamento com base no Artigo 18 do GDPR
    • Enviou um pedido completo de acesso do titular com base no Artigo 15
    • O escopo do pedido incluía base legal, legitimate interest balancing test, destinatários, subprocessadores, transferências internacionais, profiling e outros pontos
    • Apresentou reclamação à autoridade sueca Integritetsskyddsmyndigheten (IMY), com o número de referência DI-2021-6660
  • A empresa apontou para uma política de privacidade ambígua e depois ampliou o prazo do pedido de acesso para 90 dias, citando “complexidade” e “recursos internos limitados”

Como uma reclamação na Suécia levou a uma multa na Noruega

  • O clube de clientes era operado pela controladora norueguesa Elkjop Nordic AS, e entendeu-se que a controladora também tinha o poder real de decisão sobre as finalidades e os meios do tratamento
  • Em setembro de 2022, a IMY decidiu que não era a autoridade competente adequada
  • No sistema de balcão único do Artigo 56(1) do GDPR, a autoridade competente é a do país onde fica o estabelecimento principal do controlador
    • O estabelecimento principal fica na Noruega
    • A IMY encaminhou a investigação e a reclamação para a DPA norueguesa, a Datatilsynet
    • A Datatilsynet aceitou o caso
  • Depois disso, o caso seguiu por muito tempo sem novidades relevantes

Decisão da Datatilsynet em 2026

  • Em 1º de junho de 2026, a Datatilsynet aplicou ao grupo Elkjop uma multa de NOK 20 milhões, pouco mais de €1,8 milhão
  • O núcleo da decisão foi o mesmo apontado na reclamação de 2021
    • O consentimento do clube de clientes não era válido
    • O consentimento era coercitivo
    • O consentimento não era específico
    • Os membros não foram suficientemente informados
  • A Datatilsynet entendeu que a Elkjop também usou os dados pessoais coletados pelo clube de clientes para publicidade e rastreamento de conversão
  • Outro problema foi não ter realizado a avaliação de compatibilidade exigida pelo Artigo 6(4) do GDPR antes de reutilizar os dados pessoais para outra finalidade
  • A decisão cita os Artigos 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f) e 6(4)
    • A licitude, a justiça, a transparência e a responsabilização de toda a estrutura foram tratadas em conjunto

Consentimento forçado e o problema do pay-or-consent

  • Consentimento forçado, pay-or-consent, consentimento vinculado e modelos do tipo “se você não concordar com tudo, não pode usar o serviço” são tratados como padrão em grande parte da economia digital
  • O ponto central é que, se o usuário perde algo que teria o direito de manter ao recusar, esse consentimento não pode ser considerado livre
  • Após cinco anos e uma multa de sete dígitos, esse ponto passa a constar em uma decisão pública

Dever de notificação ao reclamante e próximos passos

  • O reclamante disse ter tomado conhecimento da decisão numa manhã de quinta-feira pelo GDPRhub, uma wiki mantida por voluntários, e não pela IMY ou pela Datatilsynet
  • O Artigo 77(2) do GDPR determina que a autoridade supervisora deve informar o reclamante sobre o andamento e o resultado da reclamação
    • Isso não é discricionariedade nem cortesia, mas obrigação legal
    • A questão é que a reclamação foi apresentada à IMY, o caso encaminhado por ela terminou em uma execução de milhões de euros, mas nenhuma das autoridades envolvidas informou o reclamante
  • O reclamante exigiu uma explicação por escrito da IMY e fixou prazo de resposta de 5 dias úteis
  • Afirmou que, se a resposta for a esperada, levantará a questão por meio do procedimento de infração da União Europeia
  • Como o processo regulatório terminou, também continua possível uma ação civil contra o grupo Elkjop, e ele afirmou que o escopo da ação pode se ampliar por causa de detalhes adicionais de tratamento ilegal de dados pessoais
  • Se a Elkjop tivesse acolhido a contestação em 2021, poderia ter evitado a multa, o tratamento ilícito, o dano à marca e o litígio posterior

Leituras relacionadas

1 comentários

 
GN⁺ 7 시간 전
Comentários do Hacker News

  • Ainda bem que isso acabou dando certo, e espero que mais gente viva assim à medida que a distopia piora
    Especialmente nos EUA, só por exercer seus direitos ou ler de fato todos os documentos que pedem para você assinar, a pessoa acaba sendo vista como inconveniente e fica em desvantagem em relação a quem prefere não criar atrito e simplesmente deixar passar com um “ah, tudo bem”

    • Fui a um hospital novo e, no processo de cadastro, pediram que eu “assinasse” num pequeno tablet digital para que o seguro fosse processado corretamente
      Quando pedi que me mostrassem uma cópia em papel do que eu estava assinando, não conseguiram encontrar, e por algum motivo também não podiam imprimir, então no fim desisti, rabisquei uma assinatura com o dedo e fui atendido, o que é enlouquecedor
    • Já aluguei um apartamento nos EUA em que os documentos diziam que o proprietário podia fazer gravações de vídeo, fotos e áudio minhas e da minha família e usá-las para os próprios fins, inclusive comerciais
      Eu me opus, mas a atitude era basicamente que não iam envolver o jurídico por minha causa e, se eu não gostasse, podia ir embora
    • Eu sou do tipo que lê cada linha de todo contrato que assino, incluindo termos de uso e política de privacidade
      Até gosto de perceber quem se incomoda com isso, porque mostra quem aperta sua mão sem ter intenção de cumprir a palavra
      Essa experiência também mudou a forma como escrevo esses documentos, e os últimos termos de uso e política de privacidade que redigi ficaram curtos o bastante para serem lidos de uma vez só
    • Minha esposa deu à luz recentemente, e quando chegamos ao hospital as contrações já estavam próximas o suficiente para internação
      Mesmo assim, o hospital colocou na frente dela cerca de 10 páginas de formulários de consentimento para assinar, e é difícil imaginar que esperassem que alguém realmente lesse aquilo
      Também é difícil imaginar que recusariam a internação por causa desses papéis
    • Exato. É especialmente triste ver, até nesta própria thread, gente dizendo “eu baniria esse cliente para sempre” só porque ele conhece os próprios direitos
      É lamentável como essa cultura se espalhou tanto até entre americanos que se consideram patriotas
      Este país foi fundado sobre rebelião e afirmação de direitos, e de algum jeito agora o ideal para muitos cidadãos parece ser justamente o oposto

  • A decisão real (em norueguês): https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...
    O resumo tratado no post do blog e uma tradução automática da seção 5.1 (com algum outro conteúdo também): https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...
    Depois vi que também havia uma decisão oficial em inglês: https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...

  • Só pela frase “para receber marketing/ofertas é preciso ser membro do clube de clientes”, isso não fica muito claro
    Se fosse “para se tornar membro do clube de clientes, receber marketing/ofertas é condição”, aí seria outra questão, mas a frase acima parece significar justamente que é preciso entrar no clube para receber marketing
    Parece que algo foi invertido na tradução ou na formulação

    • É um problema de tradução. O original em norueguês queria dizer que, para entrar no clube de fidelidade, era necessário aceitar atividades de marketing, mas a tradução automática transportou isso literalmente sem adaptar para uma estrutura natural em inglês
    • Sim, soa invertido, e parece que o correto seria “para se tornar membro do clube de clientes, é preciso receber marketing/ofertas”
    • Aqui, “marketing/ofertas” parece significar benefícios de desconto
      A ideia parece ser que, para receber descontos ou promoções especiais, é preciso ser membro do clube e, para ser membro do clube, é preciso concordar em receber e-mails; mas, pela legislação da UE, a pessoa teria direito de acessar todos os descontos de qualquer forma
    • Eu também não entendo. Dizer que a filiação é condição para receber, no meu entendimento, só quer dizer que não membros não podem ou não devem receber nada, não que membros necessariamente tenham de receber alguma coisa
      Isso por si só parece totalmente normal e razoável
    • Soou como um erro de tradução vindo de uma língua germânica
      Algo como “receber ofertas é… uma condição para estar inscrito”

  • Cinco anos, isso parece piada. Democracia e Estado de direito aparentemente já não existem mais
    Os políticos ficam mais ricos, ninguém enfrenta isso, eles passam os cargos para a família, os impostos continuam subindo e os serviços continuam piorando
    Por outro lado, é interessante poder ver em tempo real a destruição da Europa e das democracias ocidentais
    Deve ter sido uma descida dolorosa parecida no fim do Império Romano, e agora parece que estamos vendo o fim dos impérios europeu/americano

  • Há também o problema de empresas da UE forçarem candidatos, antes da entrevista, a concordar com uma política anti-privacidade. De forma confusa, dão a isso o nome de “política de privacidade”
    A política diz que a empresa e terceiros, na prática qualquer um, recebem o direito de usar dados incluindo voz e imagem para qualquer finalidade
    Claro, tudo isso é escrito de forma levemente ambígua, para ser difícil para uma pessoa comum entender
    Fico curioso se já houve medidas semelhantes nesses casos

    • Pessoalmente nunca passei por isso, mas você pode apresentar uma reclamação à autoridade de proteção de dados local
      É bem provável que esse tipo de cláusula tenha dificuldade para cumprir os requisitos de conformidade
      Para maximizar o efeito, faça um pedido de acesso nos termos do artigo 15 do GDPR à empresa para obter a lista dos destinatários reais dos dados, exigindo especificamente esse item, e depois envie pedidos também a todas essas empresas
      Isso pode abrir espaço para reclamações adicionais. Por exemplo, por que não enviaram as informações do artigo 14, e se a base legal original era consentimento, se essa base legal era realmente adequada caso o consentimento não tenha sido dado livremente
    • Recentemente me incomodou um pouco ver uma empresa da UE usando https://www.crosschq.com/

  • Entendo a posição dessa pessoa, mas ainda acho engraçado que ela tenha processado de novo uma autoridade legal que decidiu o caso a seu favor

    • Não entendi o que isso quer dizer. Pelo que entendi, ele pretende processar a empresa em questão e talvez também apresentar uma reclamação contra a autoridade sueca de proteção de dados.
      Quem decidiu o caso a seu favor foi a autoridade norueguesa de proteção de dados
    • Se você olhar o relatório da Datatilsynet, a autoridade norueguesa de proteção de dados, ele cita como contexto “várias reclamações e denúncias”.
      É possível que a IMY tenha considerado que isso estava fora da sua jurisdição e encaminhado a reclamação para a Datatilsynet, e depois tenha se esquecido de avisar Hanff ao encerrar o caso, ou então que não tenha recebido nenhuma resposta da Datatilsynet
    • Se ele influenciou a criação do GDPR, enquanto o resto do público em geral sente uma sensação de impotência e os órgãos responsáveis não conseguem fazer seu trabalho direito, talvez no fim ele seja a única pessoa cobrando responsabilização

  • Citação do original: a resposta recebida alguns dias depois teve a gentileza de deixar a violação registrada. A posição deles era, nas palavras deles, “para receber marketing/ofertas, é preciso ser membro do clube de clientes”.
    Não entendo como isso vira “se você é membro do clube, necessariamente tem que receber marketing/ofertas”.
    Para mim, isso só quer dizer que “apenas membros recebem marketing/ofertas

  • Pela minha experiência, a Datatilsynet, a autoridade norueguesa de proteção de dados, mantém de forma consistente o usuário em mente.
    É uma pena que demore tanto para passar pelo sistema, mas no geral eles tomam decisões boas com consistência

  • A imagem não carregou para mim e só apareceu o prompt usado para gerá-la, mas sinceramente achei isso melhor

    • Para mim apareceram a imagem e o prompt, mas a página inteira estava sem estilo.
      Acabei de atualizar e agora o CSS carregou também, e o prompt não aparece mais.
      Acho que o servidor web ficou temporariamente sobrecarregado com o tráfego e, por isso, para alguns visitantes a imagem não foi entregue de forma consistente e, para outros, os arquivos CSS não foram
    • Será que não era uma descrição de acessibilidade para leitores de tela, em vez de um prompt?
    • Deram ao modelo a instrução de gerar no estilo de “still cinematográfico em grande angular”, mas achei meio engraçado que o resultado tenha ido mais para o lado de ilustração

  • O fato de a Elkjøp realmente ter sido multada é muito bom e totalmente justo, mas é bem surpreendente que a pessoa envolvida tenha continuado sem ser informada

    • A responsabilidade de me informar não era deles, e sim da autoridade reguladora sueca IMY