Las sanciones de CNIL a Google y Facebook, y la disparidad de criterios de las autoridades de protección de datos

La entrada del nuevo año 2022 ha sido intensa desde el punto de vista de la protección de datos personales en la Unión Europea. Esto se debe a que, el pasado 6 de enero, la autoridad de control en materia de protección de datos de Francia (el CNIL - Commission Nationale de l'Informatique et des Libertés) publicó dos resoluciones sancionadoras que imponen el pago de una multa, por un lado, a las empresas Google LLC y Google Ireland Limited y, por otro, a Facebook Ireland Limited.

En total, Google ha sido sancionada al pago de una cantidad que alcanza los 150 millones de euros, y Facebook de una cantidad de 60 millones de euros. En total, la sanción alcanza la enorme cantidad de 210 millones de euros.

La causante de esta sanción ha sido la consideración del CNIL de la existencia de una violación de las normas de protección de datos en relación con el uso de las cookies en las páginas web facebook.com, google.fr y youtube.com. En concreto, el problema que ha motivado la sanción ha sido el hecho de que la posibilidad de rechazar las cookies no se encuentra en una situación de equivalencia respecto de la posibilidad de aceptarlas: basta un único clic para que las cookies queden aceptadas, pero, en cambio, el rechazo de las mismas requiere un número mayor de clics. En consecuencia, el CNIL ha entendido que esto constituye un intento por parte de las sancionadas de obstaculizar el rechazo de las cookies.

Además de la millonaria sanción impuesta, el CNIL ha previsto una sanción adicional tanto para Google como para Facebook en el caso de que no subsanen los problemas detectados en el plazo de tres meses: deberán abonar una sanción añadida de 100.000 euros por cada día de retraso en dicha adecuación.

Los problemas que plantea este caso tienen relación tanto en cuanto al contenido de la norma y al debate sobre si esta forma de presentar las opciones a los usuarios impide o no considerar que el consentimiento prestado es libre, como en relación a la divergencia en cuanto a los criterios adoptados por las autoridades de protección de datos de los diferentes estados miembros de la Unión Europea en cuanto a su competencia para conocer de los asuntos regulados en sus normas nacionales relativas, en este caso, a las cookies.

En cuanto al hecho de si necesitar más clics del ratón para rechazar las cookies que para su aceptación implica un detrimento para la libertad de la prestación del consentimiento, no existe una interpretación homogénea entre las diferentes autoridades de protección de datos. Esta diferencia puede verse claramente entre el criterio adoptado en la resolución contra Google y Facebook por el CNIL y en los criterios que adopta la Agencia Española de Protección de Datos (AEPD). Esta última publicó en junio del pasado 2020 una Guía sobre el uso de las cookies, en la que incluye ejemplos de banners de cookies válidos a incluir en una página web. En estos ejemplos encontramos dos opciones igualmente válidas: por un lado, la inclusión tanto de un botón de aceptación de las cookies como uno para su rechazo en la primera capa de información (esto es, en la primera información que el usuario recibe relativa a las cookies de la web); ahora bien, por otro lado, la segunda opción que plantea es la inclusión del botón de aceptación junto a otro botón que permite acceder al panel de configuración a partir del cual las cookies deben poder ser rechazadas de forma fácil, con una opción de “rechazar todo” o la posibilidad de rechazo granular, de una a una. 

En esta segunda opción, perfectamente válida para la AEPD, el rechazo de las cookies requiere un número mayor de clics que su aceptación, sin que ello impida considerar que el consentimiento prestado es válido por cumplir con el requisito de ser libre.

Por lo que se refiere al debate competencial, encontramos dos posturas enfrentadas:

Por un lado, en el caso de Francia, el CNIL considera que tiene competencia para aplicar la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, norma que regula la instalación de las cookies en el caso francés, por considerar que esta competencia incluye aquellos casos en que las cookies se dirijan a ciudadanos establecidos en dicho territorio, aunque se trate de prestadores de servicios de la sociedad de la información establecidos fuera de su ámbito territorial.

Por otro lado, siguiendo un criterio competencial totalmente opuesto, se encuentra el caso de España, en el que la AEPD considera que es incompetente para la aplicación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE), norma reguladora de la forma de instalación de las cookies, en el caso de prestadores de servicios de la sociedad de la información establecidos fuera de su territorio. Esto lo vemos en una resolución de la AEPD publicada dos días después de las del CNIL en la que se inadmite a trámite el mismo procedimiento que en el caso francés.

La consecuencia más notoria que se deriva de esta situación de divergencia es la gran inseguridad jurídica a la que se enfrentan todos aquellos que quieran hacer uso de las cookies, ya que lo que se considera válido en un país puede ser motivo de una sanción (y, además, como acabamos de ver, bastante elevada) en otro

Sara Hervías Costa, Privacy Counsel, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias