Google y Amazon han sido multados por la CNIL en Francia por instalar cookies en los dispositivos de los usuarios sin obtener el correspondiente consentimiento previo ni proporcionar la información relevante.
La CNIL, la autoridad de protección de datos de Francia, informó la semana pasada de que tanto Google como Amazon habían sido sancionados por un tratamiento de cookies ilegítimo que condujo a un incumplimiento de la normativa de protección de datos nacional. Tras varias investigaciones que tuvieron lugar entre diciembre de 2019 para amazon.fr y marzo de 2020 en el caso de google.fr, la CNIL descubrió que ambas páginas violaban el Artículo 82 de la normativa de protección de datos nacional.
Google infringió el artículo 82 de la ley de protección de datos francesa hasta en tres ocasiones, mientras que Amazon lo hizo dos veces.
Tras la investigación, se descubrió que ambas páginas habían estado instalando cookies de manera automática en los ordenadores de los usuarios, sin solicitarles ninguna acción por su parte ni consentimiento previo. Dichas cookies se consideraron no esenciales para la prestación del servicio, y por tanto deberían instalarse sólo con consentimiento expreso del usuario. Esta práctica infringe el Artículo 82 de la ley de protección de datos francesa, e ignora el requisito de obtener consentimiento previo antes de instalar cookies en los dispositivos de los usuarios.
Mientras que tanto google.fr como amazon.fr contaban con un banner que se mostraba en la parte inferior de la pantalla e informaba a los usuarios bien del acuerdo de confidencialidad de la empresa (en el caso de Google) o de la aceptación de las cookies por medio del uso de la página (en el caso de Amazon), los dos banners incumplían la normativa de cookies y no proporcionaban la información requerida, infringiendo así el Artículo 82 de la ley de protección de datos francesa. En el caso de Google, el banner directamente no aportaba ningún tipo de información sobre las cookies que se habían instalado de forma automática. Por otro lado, el botón de “consultar ahora” que estaba disponible en el banner de google.fr tampoco conducía a los usuarios a ninguna información sobre las cookies.
En amazon.fr, por su parte, mientras que el banner sí avisaba a los usuarios de la instalación automática de las cookies a través del uso de la página web, esta información no era clara ni completa. El banner no especificaba que las cookies se instalaban en los ordenadores de los usuarios se empleaban principalmente para mostrar anuncios personalizados. Tampoco explicaba si el usuario podía rechazar dichas cookies ni cómo hacerlo.
Además, en el caso de google.fr, incluso después de emplear el mecanismo disponible a través del botón “consulta ahora” para desactivar la personalización de los anuncios, una de las cookies publicitarias se quedaba almacenada en el ordenador del usuario y continuaba leyendo la información correspondiente. El mecanismo de oposición de la página de Google se consideró incorrecto, derivando en una infracción adicional del artículo 82 de la ley francesa de protección de datos.
Google y Amazon han sido multados con un total de 100 y 35 millones, respectivamente.
GOOGLE LLC fue multado con 60 millones de euros y GOOGLE IRELAND LIMITED, con 40 millones de euros. La CNIL justificó estos importes y la decisión de hacerlo público en la seriedad de la triple infracción de Google, el alcance de dicho buscador y la cantidad de usuarios que se vieron afectados por ello, alrededor de cincuenta millones. Los beneficios de publicidad generados por compañías como Google provienen de manera indirecta de los datos recogidos por medio de las cookies publicitarias instaladas en los ordenadores de los usuarios. Desde una actualización que tuvo lugar en septiembre de 2020 en la página de google.fr, las cookies ya no se instalan de manera automática en los dispositivos de los usuarios, sin embargo, el banner no informa a los usuarios de las finalidades para las cuales se emplean las cookies, ni se ofrece orientación sobre cómo pueden oponerse a las mismas. Además de las multas impuestas a GOOGLE LLC y GOOGLE IRELAND LIMITED, también se emitió un requerimiento por el cual se impondrá una multa de 100.000 euros diarios si, tras tres meses, las empresas no informan a sus usuarios de manera adecuada conforme a la normativa nacional correspondiente.
Por su parte, AMAZON EUROPE CORE fue multado con 35 millones de euros, proceso que también se ha hecho pública debido a la seriedad de las infracciones. Se consideró que, dada la popularidad de la página amazon.fr, millones de residentes franceses visitan este sitio diariamente, con la correspondiente instalación de cookies. Además, la principal actividad de la empresa es la venta de bienes de consume, por lo que los anuncios personalizados, posibles debido al uso de dichas cookies, condujeron a un aumento significativo de la visibilidad de dichos productos en otras páginas web. Se tuvo en cuenta también que, hasta la reestructuración de la web de amazon.fr que se dio en septiembre de 2020, la empresa instalaba cookies en los ordenadores de los usuarios residentes en Francia de manera continua y sin informarles. Independientemente de la fuente o camino que conducía a los usuarios a la página, estos recibían bien información insuficiente o ninguna información en absoluto sobre las cookies instaladas en sus dispositivos. Amazon también ha recibido el requerimiento por el cual se impondrán 100.000 euros de multa adicionales por cada día si en tres meses no se han implementado todos los requisitos correspondientes.
La CNIL ha modificado y publicado su guía y recomendaciones sobre el uso de cookies conforme al RGPD.
El pasado 1 de octubre de 2020, la CNIL publicó sus orientaciones sobre el uso de cookies y otros dispositivos de rastreo. Estas orientaciones son parte de su plan de acción sobre la publicidad dirigida y la aplicación del RGPD. La CNIL requiere que todas las partes implicadas cumplan con las normas recogidas en su guía, y especifica que el período de implementación no debería ser superior a los seis meses. La CNIL ha indicado también que monitorizará de manera continua otros requisitos que no han sido modificados y, cuando sea necesario, adoptará las medidas correctivas que procesan para respetar la privacidad de los individuos.
