El organismo de control francés, a la caza de multas

Image of Carlo Cilento

Publicado el 14 feb 2023 y editado el 17 ago 2023 por Carlo Cilento

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

Ha sido un mes caliente para la privacidad en Francia. La Agencia Francesa de Protección de Datos (CNIL) ha impuesto multas a tres grandes empresas tecnológicas (Apple, TikTok y Microsoft). Todas las decisiones son interesantes, y una de ellas viene acompañada de una cuantiosa multa.

La CNIL no para de multar

  1. La Directiva sobre la privacidad y las comunicaciones electrónicas
  2. Multa de 8 millones de euros a Apple por rastreo ilegal
  3. TikTok fue multada con 5 millones de euros por un lío con las cookies
  4. Multa de 60 millones de euros a Microsoft por las cookies de Bing
  5. Algunas consideraciones
  6. Reflexiones finales
Logo of MichelinMichelin chose Simple AnalyticsJoin them

La Directiva sobre la privacidad y las comunicaciones electrónicas

Todos los casos giran en torno al artículo 5 de la Directiva sobre la privacidad y las comunicaciones electrónicas de la UE. En nuestros blogs escribimos mucho sobre el RGPD, pero la Directiva sobre la privacidad y las comunicaciones electrónicas también es muy importante en lo que respecta a la privacidad.

El GDPR se conoce como la "ley de cookies", pero la Directiva es la verdadera ley de cookies. El artículo 5 exige el consentimiento para leer y escribir cualquier información almacenada en el equipo terminal del usuario. La norma abarca las cookies, pero también se aplica a tecnologías diferentes, como los identificadores de publicidad (como en el caso de Apple).

La Directiva contiene dos excepciones. El consentimiento no es necesario para el tratamiento necesario de la información:

  • Para hacer posible la comunicación (por ejemplo, las compañías telefónicas necesitan procesar los números de teléfono).
  • Para prestar un servicio solicitado por el usuario. Esta exención incluye las llamadas cookies esenciales utilizadas por los sitios web, como las cookies que almacenan las preferencias de la interfaz de usuario o rastrean los artículos en un carrito de la compra.

Las cookies necesarias para el marketing y la analítica web no son cookies esenciales y sólo pueden procesarse tras recabar el consentimiento. Por eso se ven tantos molestos anuncios de cookies cuando se navega por Internet.

En general, se trata de un régimen más estricto en comparación con el GDPR, ya que este último permite el tratamiento de datos personales sobre bases distintas del consentimiento, como el interés legítimo o la ejecución de un contrato (escribimos más sobre las bases jurídicas aquí).

Otra diferencia importante es que la Directiva no es directamente aplicable. Por tanto, las autoridades de protección de datos (APD) de cada Estado miembro no aplican directamente la Directiva, sino las leyes nacionales que la desarrollan (en el caso de la CNIL, sería la Ley francesa de Protección de Datos).

Multa de 8 millones de euros a Apple por rastreo ilegal

El primer caso se refiere a los identificadores de publicidad. iOS 14.6 utiliza identificadores de publicidad para rastrear la actividad del usuario y personalizar los anuncios en su App Store. El sistema operativo no pide el consentimiento del usuario, pero ofrece una opción de exclusión en su configuración de privacidad. La CNIL consideró que se trataba de una infracción de la Directiva sobre privacidad electrónica y multó a Apple con 8 millones de euros. Según Politico, Apple tiene intención de recurrir la decisión.

Esta sentencia no es nada nuevo. El RGPD exige que el consentimiento se dé mediante una clara acción afirmativa, y el Tribunal de Justicia de la UE ya ha aclarado que los sistemas de exclusión voluntaria nunca pueden recoger un consentimiento válido, por lo que las normas no pueden ser más claras. Y, sin embargo, las empresas siguen utilizando sistemas de exclusión voluntaria (incluso multinacionales con departamentos jurídicos bien financiados).

Cabe señalar dos cosas más. En primer lugar, el caso giraba en torno a iOS 14.6 específicamente, y la DPA no investigó el rastreo en otras versiones. En segundo lugar, Apple cambió su configuración de privacidad a partir de iOS 15 e implementó un sistema de opt-in para la opción de privacidad específica implicada en el caso. Esto no significa necesariamente que Apple ya no rastree a los usuarios sin su consentimiento; de hecho, la empresa se enfrenta a una demanda de privacidad en California por rastreo no autorizado.

french-watchdog.png

TikTok fue multada con 5 millones de euros por un lío con las cookies

En el segundo caso, la CNIL investigó las cookies del sitio web de TikTok. Lo que encontró no fue muy bueno.

En primer lugar, el sitio web utilizaba tres cookies independientemente de que el usuario decidiera aceptarlas o rechazarlas. Dos eran cookies esenciales con arreglo a la Directiva sobre privacidad y comunicaciones electrónicas, pero una era una cookie de marketing. Eso no se puede hacer.

En segundo lugar, el banner de cookies ofrecía al usuario la opción de aceptar o personalizar las cookies de la primera capa, obligándole a acceder a la segunda capa y a realizar clics adicionales para rechazar las cookies. Este es un ejemplo de libro de texto de diseño engañoso - algo que ya hemos discutido en nuestro blog. Además, el banner no proporcionaba suficiente información al usuario. Por este motivo, la CNIL consideró que el banner de cookies no era conforme y que el sitio web estaba procesando cookies sin el consentimiento del usuario.

Como nota al margen, TikTok presentó una interesante defensa: "Rechazar las cookies es realmente sencillo en nuestro sitio web porque el usuario puede simplemente ignorar el banner de cookies y seguir navegando". Así que aceptar todas las cookies requiere un clic, y rechazarlas, cero... ¡así de fácil! Ni que decir tiene que la CNIL no se lo creyó.

Multa de 60 millones de euros a Microsoft por las cookies de Bing

El tercer caso se refiere a las cookies del dominio Bing.com y le costó a Microsoft una multa de 60 millones.

La autoridad consideró en primer lugar que el banner de cookies que aparecía en el sitio web no cumplía el GDPR ni las propias directrices de la CNIL. Al igual que el banner de TikTok.com, el de Bing no incluía una opción de rechazo en la primera capa y obligaba al usuario a realizar más clics innecesarios para rechazar las cookies.

La CNIL también descubrió que Bing.com colocaba una cookie para el fraude antipublicitario independientemente de las preferencias del usuario. Microsoft consideraba que esta cookie era esencial, pero la CNIL dictaminó lo contrario basándose en sus propias directrices. La autoridad también descubrió que se había colocado una cookie publicitaria sin consentimiento, lo que Microsoft alegó que era consecuencia de un error humano.

Algunas consideraciones

El momento de las decisiones contra TikTok y Microsoft no podría ser más oportuno. Un grupo de trabajo del Consejo Europeo de Protección de Datos se ocupó de los banners de cookies y publicó su informe poco después de que la CNIL publicara sus decisiones. Por cierto, la necesidad de un botón de rechazo en la primera capa de los banners es uno de los puntos principales del informe.

Cubrimos este tema en detalle en nuestro blog porque creemos que el informe es un buen indicador de cómo las autoridades de protección de datos tratarán los casos de cookies a partir de ahora. Esperemos que las multas de la CNIL contra TikTok y Microsoft por sus banners engañosos sirvan de ejemplo para otras APD.

La competencia es otro aspecto importante de las tres decisiones. La CNIL no dice nada nuevo a este respecto, pero sigue mereciendo la pena examinar la cuestión.

Apple, TikTok y Microsoft tienen sus filiales europeas en la República de Irlanda, y las tres alegaron que el CPD (la APD irlandesa) era competente para decidir sobre sus casos en virtud del RGPD. Pero los casos giraban en torno a violaciones de la privacidad y las comunicaciones electrónicas, y la Directiva sobre privacidad y comunicaciones electrónicas sigue normas de competencia diferentes a las del RGPD. Por eso la CNIL se consideró competente para imponer multas.

La competencia puede parecer un tecnicismo, pero es importante desde un punto de vista práctico. Algunas APD son más estrictas que otras, y la CNIL es mucho más estricta que el CPD. Si los casos se hubieran decidido en Irlanda, el resultado podría haber sido diferente y más favorable para las empresas.

Reflexiones finales

Es pronto para decirlo, pero puede que por fin veamos una ofensiva contra los banners de cookies engañosos. En Simple Analytics nunca hemos sido partidarios del uso de cookies, y mucho menos de esos molestos y a menudo engañosos cookiesbanner. La razón es que los propietarios de sitios web pueden obtener la información que necesitan para mejorar el rendimiento de su sitio web sin necesidad de cookies.

Somos una alternativa a Google Analytics sin cookies que cumple al 100% con la GDPR y no necesita un cookiebanner. ¿Tiene curiosidad por ver cómo es? No dude en probarlo.

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días