Francia ha decidido tomar medidas contra los patrones oscuros de los gigantes de la tecnología, multando a Google y Facebook con casi 240 millones de dólares por las cookies manipuladoras
Francia, Google y Facebook son multados con 210 millones de euros por cookies manipuladoras
Los sitios web intentan regularmente dirigir a los usuarios para que acepten sus cookies de seguimiento, por lo que es relativamente difícil rechazarlas. El jueves, el organismo de control de la protección de datos de Francia reaccionó contra estos trucos; conocidos en la industria tecnológica como «patrones oscuros, multando a Facebook, Google y YouTube con un total de 210 millones de euros (238 millones de dólares).
La agencia, conocida como CNIL, dijo que las acciones de las empresas violaban la ley francesa de protección de datos. Además de estas multas; 60 millones de euros para Facebook y 150 millones de euros para Google y su negocio de streaming de vídeo, les dio tres meses para cambiar el funcionamiento de sus mecanismos de aceptación/rechazo de cookies, o enfrentarse a nuevas multas de 100.000 euros al día.
El estricto régimen de privacidad en línea de Europa entró en acción en 2021, cuando las multas en virtud del hasta entonces menos temido Reglamento General de Protección de Datos (RGPD) ascendieron a más de 1.000 millones de euros, en gran parte gracias a las amplias multas impuestas a Amazon y WhatsApp en Luxemburgo e Irlanda, respectivamente.
Las últimas multas de la CNIL, sin embargo, estaban respaldadas por una legislación europea diferente: la Directiva sobre privacidad electrónica, que se transpuso a la legislación francesa hace casi dos décadas. Conocida popularmente como la «ley de las cookies», esta antigua (en tiempos de Internet) normativa debería haber sido sustituida hace cinco años, aunque el proceso legislativo se ha estancado repetidamente.
La ley de cookies y la decisión de la CNIL francesa
El consentimiento del usuario es fundamental para la ley de cookies y, según la CNIL, Facebook y Google no lo han obtenido correctamente.
«Se requieren varios clics para rechazar todas las cookies, frente a uno solo para aceptarlas», se quejó el regulador sobre los sitios de Google y YouTube.
Lo mismo ocurre con el sitio web de Facebook, con un añadido especialmente divertido: «La CNIL también observó que el botón que permite al usuario rechazar las cookies se encuentra en la parte inferior de la segunda ventana y se titula «Aceptar cookies»«. En todos estos casos, según la CNIL, los mecanismos disuaden a los usuarios de rechazar las cookies, en un proceso que «afecta a la libertad de consentimiento de los internautas.»
«Estamos revisando la decisión de la autoridad y seguimos comprometidos a trabajar con las autoridades pertinentes», dijo un portavoz de Meta, propietario de Facebook. «Nuestros controles de consentimiento de cookies dan a la gente más control sobre sus datos, incluyendo un nuevo menú de configuración en Facebook e Instagram donde la gente puede volver a visitar y gestionar sus decisiones en cualquier momento, y seguimos desarrollando y mejorando estos controles.»
Un portavoz de Google informó: «La gente confía en nosotros para que respetemos su derecho a la privacidad y los mantengamos a salvo. Somos conscientes de nuestra responsabilidad de proteger esa confianza y estamos llevando a cabo nuevos cambios y un trabajo activo con la CNIL a la luz de esta decisión en el marco de la Directiva sobre privacidad electrónica.»
«Los «patrones oscuros» de Facebook y Google
No es la primera vez que se acusa a Facebook y a Google de emplear patrones oscuros para manipular a la gente y socavar su privacidad.
Hace unos años, poco después de que entrara en vigor el GDPR, grupos de consumidores de toda Europa pidieron a los reguladores nacionales de la privacidad que investigaran los «patrones oscuros». El Consejo Noruego de Consumidores (NCC); que lideró la iniciativa, presentó una queja formal contra Google ante el Supervisor de Protección de Datos de Noruega.
Sin embargo, según el mecanismo de «ventanilla única» del GDPR, las reclamaciones deben ser gestionadas por el regulador del país donde la empresa tiene su sede europea; es decir, Irlanda, para la mayoría de las Big Tech. Así pues, la queja de NCC se dirigió a la Comisión de Protección de Datos irlandesa; notoriamente lenta y con escasos fondos, donde ha languidecido desde entonces.
La CNIL de Francia ha evitado esta trampa al dirigirse a Google y Facebook en virtud de la Ley de Privacidad Electrónica. Como señaló repetidamente en sus declaraciones del jueves, es competente para imponer multas por violaciones de la privacidad electrónica en territorio francés.
«La decisión de la CNIL envía una fuerte señal de que los usuarios deben poder tomar decisiones reales y justas en línea; y no ser manipulados para «aceptar» lo que interesa a las empresas», reiteró el jueves 6 de enero de 2022 el jefe de política digital de la NCC, Finn Myrstad.
