La Comisión Nacional de Informática y Libertades (CNIL) de Francia ha impuesto una sanción a Google LLC y Google Ireland Limited, tras una investigación sobre el uso de cookies y la inserción de publicidad en Gmail, mediante resolución publicada el 1 de septiembre de 2025.
En agosto de 2022, la organización NOYB presentó una denuncia ante CNIL en nombre de varios usuarios franceses que recibían correos promocionales en Gmail sin haber dado su consentimiento. La CNIL inició entonces dos procedimientos de investigación: uno sobre el tratamiento de datos en Gmail y otro sobre el uso de cookies y rastreadores en los servicios de Google.
La CNIL constató que, al crear una cuenta de Google, los usuarios franceses no eran informados de manera clara y suficiente sobre la obligatoriedad de aceptar las cookies con fines publicitarios. El proceso de consentimiento estaba además diseñado para favorecer la aceptación de cookies para publicidad personalizada, dificultando la opción de rechazarlas. Aunque Google modificó el proceso en octubre de 2023, permitiendo rechazar cookies con la misma facilidad que aceptarlas, la CNIL consideró que la información suministrada a los usuarios seguía siendo insuficiente.
En cuanto a Gmail, la CNIL determinó que Google, en calidad de responsable del tratamiento, insertaba publicidad de terceros anunciantes entre los correos electrónicos en las pestañas de “Promociones” y “Redes sociales”, sin obtener el consentimiento previo de los usuarios. Estos anuncios, por su formato y ubicación, podían confundirse con correos legítimos, lo que constituye una infracción de la legislación francesa y europea sobre comunicaciones electrónicas.
La CNIL impuso una multa de 200 millones de euros a Google LLC y de 125 millones de euros a Google Ireland Limited. Además, ordenó a ambas empresas informar claramente a los usuarios sobre la obligatoriedad de las cookies publicitarias y obtener su consentimiento expreso antes de mostrar anuncios en Gmail. Si no cumplen en un período de seis meses, se enfrentarán a una multa adicional de 100.000 euros diarios.
Esta decisión vuelve a confirmar la competencia de la CNIL para sancionar a gigantes tecnológicos por prácticas que vulneran la privacidad de los usuarios en Francia, incluso cuando las operaciones son transfronterizas. El asunto pone también de relieve la prudencia de las autoridades de control a la hora de analizar el modelo ‘Payor Okay’ de las grandes plataformas, del cual no existe aún un criterio claro.