La entidad sancionada ha sido YAHOO EMEA LIMITED, y lo ha sido por dos motivos relacionados con el tratamiento de datos personales a partir de la instalación de las cookies.
- Por un lado, en relación a la instalación de cookies en los navegadores de los usuarios de su sitio web yahoo.com, aun cuando estos habían decidido rechazar dicha instalación.
- Por otro lado, en relación a la imposibilidad de los usuarios del sitio web Yahoo! Servicio de mensajería Mail de retirar su consentimiento otorgado previamente para su instalación.
Antes de analizar el contenido de la resolución sancionadora de la CNIL (Commission Nationale de l’Informatique et des Libertés, por sus siglas en inglés), es importante recordar que la instalación de tecnologías de seguimiento (como, entre otras, las cookies) en los dispositivos de los usuarios implica un tratamiento de datos personales. Esto es una cuestión que se encuentra fuera de debate por su propia naturaleza, así como por haber sido extensamente reconocido por las autoridades de protección de datos personales en todo el mundo.
La CNIL, autoridad francesa en la materia, ha considerado que ambos hechos constituyen una infracción del Reglamento General de Protección de Datos (RGPD), así como de la ley nacional francesa de protección de datos.
Por lo que respecta al primero de los hechos, se ha llevado a cabo un tratamiento de datos personales sin contar con una base de legitimación para ello (en este caso, la base de legitimación es el consentimiento, que los usuarios habían rechazado otorgar o no habían otorgado). Las cookies instaladas alcanzaban la veintena y su finalidad era publicitaria.
Por lo que respecta a los usuarios del servicio de mensajería de Yahoo!, la sanción viene motivada por el hecho de que en el momento en que los interesaban manifestaban su intención de retirar el consentimiento para la instalación de cookies, desde Yahoo! se les informaba de que la consecuencia de esto es que perderían el acceso al servicio de mensajería, por lo que en muchos de los casos el resultado era que los interesados quedaban totalmente desincentivados para retirar el consentimiento.
Ante lo anterior, la CNIL ha considerado que esta práctica va en contra del consentimiento libre que se requiere en la normativa de protección de datos, y que implica que tanto otorgar el consentimiento como retirarlo o denegarlo debe hacerse libremente. No existe un consentimiento libre si el usuario espera algún perjuicio y consecuencia negativa de no otorgarlo, como ocurre en este caso.