La autoridad noruega de protección de datos, Datatilsynet, ha multado al grupo Elkjøp con 20 millones de coronas noruegas (algo más de 1,8 millones de euros) por prácticas de consentimiento inválido en su club de clientes nórdico, Elgiganten Kundklubb. La decisión, fechada el 1 de junio de 2026, llega tras una investigación iniciada hace casi cinco años por una queja ante la autoridad sueca IMY, que en septiembre de 2022 derivó el caso a Noruega al determinarse que el responsable del tratamiento es la matriz Elkjøp Nordic AS.
La sanción confirma los argumentos planteados en julio de 2021 por un experto en privacidad, conocido como "That Privacy Guy", a quien la empresa respondió por escrito que la pertenencia al club era condición indispensable para recibir ofertas. Datatilsynet concluye que ese consentimiento no era libre, ni específico, ni informado, y que la compañía reutilizó los datos recabados para publicidad y seguimiento de conversiones sin la evaluación de compatibilidad exigida por el artículo 6.4 del RGPD.
El caso también destapa un incumplimiento procedimental: ni IMY ni Datatilsynet notificaron al denunciante el resultado de la investigación, contraviniendo el artículo 77.2 del RGPD, que obliga a la autoridad supervisora a informar al reclamante del progreso y la resolución. El afectado ha pedido explicaciones por escrito y advierte de que podría activar el procedimiento de infracción de la Comisión Europea. Tras la resolución, prepara una demanda civil contra Elkjøp por el tratamiento ilícito de sus datos personales.
