Πρόστιμο 800.000 ευρώ επέβαλε η γαλλική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (CNIL)& στην ιδιοκτήτρια εταιρεία της δημοφιλούς πλατφόρμας Discord για πολλαπλές παραβάσεις της νομοθεσίας για τα προσωπικά δεδομένα.
Μεταξύ άλλων, στην απόφαση αναφέρεται ότι η Discord δεν είχε καθορίσει πολιτική περιόδου διατήρησης δεδομένων και ότι το μητρώο δραστηριοτήτων επεξεργασίας της δεν αναφέρει καμία περίοδο διατήρησης για τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία.
Έτσι, τα δεδομένα είχαν διατηρηθεί για περισσότερα από έξι χρόνια, την ημερομηνία κατά την οποία κυκλοφόρησε το Discord, ενώ η εταιρεία δεν προέβη σε καμία διαγραφή ή τακτική αρχειοθέτηση των δεδομένων στο τέλος μιας καθορισμένης περιόδου.
Στη βάση δεδομένων Discord υπήρχαν 2.474.000 εκατομμύρια λογαριασμοί Γάλλων χρηστών που δεν χρησιμοποίησαν τον λογαριασμό τους για περισσότερα από τρία χρόνια και 58.000 λογαριασμοί που δεν χρησιμοποιήθηκαν για περισσότερα από πέντε χρόνια, χωρίς η εταιρεία να έχει παράσχει καμία συγκεκριμένη εξήγηση ή αιτιολόγηση για τη διατήρηση των δεδομένων που συνδέονταν με αυτούς τους ανενεργούς λογαριασμούς.
Η Discord δεν συμμορφώθηκε με τις υποχρεώσεις της για διαφάνεια, καθώς οι περίοδοι αποθήκευσης δηλώθηκαν με γενικό τρόπο, χωρίς να είναι επαρκώς σαφείς.
Από προεπιλογή, οι χρήστες έπρεπε να εκτελέσουν διάφορες ενέργειες για έξοδο από την εφαρμογή Discord σε Windows και Linux. Η εφαρμογή διαμορφώθηκε ώστε να παραμένει ενεργή ακόμα και όταν ο χρήστης κλείνει το κύριο παράθυρο (επιλέγοντας το εικονίδιο “X” που βρίσκεται πάνω δεξιά), γεγονός που καθιστά δυνατή τη συνέχιση της φωνητικής επικοινωνίας χωρίς να καταλαμβάνει άλλο χώρο στην επιφάνεια εργασίας του υπολογιστή.
Μόνο ένας μικρός δείκτης καθιστά κατανοητό ότι η εφαρμογή είναι ενεργή. Αυτή η ένδειξη υπήρχε στη γραμμή εργασιών, η οποία βρίσκεται κάτω δεξιά στην οθόνη των Microsoft Windows, δίπλα στην ημερομηνία και την ώρα.
Παράλληλα, κατά τη δημιουργία ενός λογαριασμού στο Discord, έγινε αποδεκτός ένας κωδικός πρόσβασης που αποτελείται από έξι χαρακτήρες, συμπεριλαμβανομένων γραμμάτων και αριθμών. Ο εισηγητής της CNIL έκρινε ότι τέτοιοι κωδικοί πρόσβασης, χωρίς επαρκή κριτήρια πολυπλοκότητας και καμία σύνδεση με πρόσθετα μέτρα ασφαλείας, δεν διασφαλίζουν την ασφάλεια των προσωπικών δεδομένων που επεξεργάζεται η εταιρεία και την αποτροπή της πρόσβασης μη εξουσιοδοτημένων τρίτων σε αυτά τα δεδομένα.
Η Discord θα έπρεπε να έχει πραγματοποιήσει εκτίμηση αντικτύπου στην προστασία δεδομένων (εφεξής «DPIA»), καθώς πληρούνται δύο κριτήρια για να θεωρηθεί ότι η επεξεργασία ήταν πιθανό να δημιουργήσει υψηλό κίνδυνο: συλλογή δεδομένων μεγάλης κλίμακας και συλλογή δεδομένων για ευάλωτα άτομα.
Η απόφαση είναι διαθέσιμη στη γαλλική γλώσσα.