La autoridad francesa de protección de datos (CNIL) ha impuesto multas millonarias a Google y Shein por incumplir la normativa sobre privacidad en el uso de cookies. Estas sanciones forman parte de un conjunto de medidas que la CNIL viene aplicando desde 2019 para regular el uso de tecnologías de rastreo y segmentación de usuarios. El plan incluye la publicación de guías y recomendaciones sobre el uso de cookies, así como la imposición de sanciones. Algunos ejemplos son la guía de Muros de Cookies y la guía de Cookies y otros rastreadores.
Actualmente, los principales focos de atención son la obtención de un consentimiento válido y las prácticas cada vez más frecuentes como los muros de cookies, que condicionan el acceso a un servicio a la aceptación de cookies en el dispositivo del usuario.
En el caso de Google, la CNIL impuso una multa de 325 millones de euros por mostrar publicidad sin el consentimiento adecuado de los usuarios, tanto en los correos electrónicos como durante el proceso de creación de cuentas. El procedimiento se inició a raíz de una denuncia presentada por None of Your Business (NOYB) el 24 de agosto de 2022. Tras la investigación, se concluyó que Google mostraba anuncios en forma de correos electrónicos en las pestañas “Promociones” y “Social” de Gmail a los usuarios que habían activado la función de organizar la bandeja en “Principal, Promociones y Social”, sin haber obtenido su consentimiento. Además, durante la creación de una cuenta, la empresa instaba a los usuarios a aceptar cookies relacionadas con la visualización de anuncios personalizados, sin informar de manera clara que el depósito de cookies con fines publicitarios era un requisito para acceder a los servicios.
En paralelo, la CNIL sancionó a Shein con 150 millones de euros por incumplir varias obligaciones en materia de cookies. Entre las infracciones constatadas se encuentran la instalación de cookies publicitarias antes de que el usuariointeractuara con el banner y expresara su elección, la utilización de dos cookiebanners incompletos que no informaban adecuadamente sobre la finalidad publicitaria y en uno de los cuales únicamente se ofrecía la opción de aceptar todas las cookies, la falta de información clara sobre la identidad de terceros que podían instalar cookies y la ausencia de mecanismos efectivos para rechazar o retirar el consentimiento.
En conjunto, estas sanciones refuerzan el enfoque estricto de la CNIL frente a infracciones masivas, reiteradas e impactantes que vulneran la privacidad de los usuarios. Importante tener en cuenta que las cookies son un tema prioritario para muchas de las autoridades de protección de datos en Europa, que cada vez más establecen criterios sobre el análisis de cuándo se deben instalar determinadas cookies, cómo los requisitos de consentimiento deberán ser reflejados en el cookie banner y qué información deberá constar en las diferentes capas de privacidad al usuario.
Todo ello subraya la importancia de una cooperación entre los equipos de desarrollo de página web y de privacidad, y de una revisión cuidadosa y periódica de las páginas web que se revisen.