La autoridad francesa de protección de datos, la Commission Nationale de l’Informatique et des Libertés (CNIL), ha anunciado el cierre del requerimiento impuesto a la empresa KASPR mediante la Délibération SAN-2026-004, de 4 de marzo de 2026, confirmando que las medidas correctoras adoptadas por la compañía son suficientes para dar por cumplidas las obligaciones derivadas del procedimiento sancionador previo.
El origen del caso se sitúa en la decisión SAN-2024-020, de 5 de diciembre de 2024, en la que la CNIL impuso a KASPR una multa de 240.000 euros por un modelo de negocio basado en la recopilación y explotación comercial de datos de contacto procedentes de perfiles de LinkedIn, incluyendo información de usuarios que habían restringido expresamente la visibilidad de sus datos. La autoridad apreció, entre otras infracciones, vulneraciones del principio de minimización, deficiencias en la información a los interesados y una gestión inadecuada del derecho de acceso.
La relevancia de la noticia publicada el 6 de marzo de 2026 no radica en una nueva sanción, sino en el análisis detallado que realiza la CNIL sobre qué constituye una remediación efectiva en este tipo de tratamientos. La autoridad considera acreditado que KASPR ha adoptado medidas estructurales significativas, entre ellas la eliminación de su base de datos, el cese completo de la recogida de datos en LinkedIn, la revisión de su política de conservación y la mejora de la transparencia, incluyendo la información a los interesados en todas las lenguas oficiales de la Unión Europea.
Desde una perspectiva de compliance, esta decisión adquiere especial interés para empresas que operan en ámbitos como el scraping, el lead generation o el data brokerage, al evidenciar que la diferencia entre un expediente sancionador prolongado y su cierre efectivo reside en la calidad, profundidad y verificabilidad de las medidas correctoras adoptadas. No basta con ajustes formales o parciales, sino que las autoridades esperan cambios estructurales que eliminen el origen del incumplimiento y garanticen la conformidad futura.
En definitiva, la CNIL consolida un criterio claro: en modelos de negocio basados en la explotación masiva de datos personales, la remediación debe ser integral, documentada y alineada con los principios del RGPD, constituyendo un elemento clave tanto para mitigar sanciones como para restablecer la confianza regulatoria.
