En una decisió contundent que marca una nova fita en la defensa de la privacitat digital a Europa, el regulador francès de protecció de dades ha assestat un dur cop a dos gegants del comerç online. La Comissió Nacional d'Informàtica i Llibertats (CNIL) ha multat Google amb una sanció de 325 milions d'euros i a la plataforma xinesa de moda Shein amb 150 milions per pràctiques sistemàtiques que van vulnerar el consentiment de milions d'usuaris francesos en l'ús de les seves dades personals per a publicitat.
La mesura, anunciada aquest dimecres a través d'un comunicat oficial, s'emmarca en una estratègia global i prioritària que l'organisme supervisor porta aplicant de manera rigorosa durant els últims cinc anys contra l'ús abusiu de les cookies, aquests petits arxius de rastreig que s'emmagatzemen als dispositius dels internautes i que són la base de la publicitat segmentada a internet.
La investigació de la CNIL sobre Google va revelar dues infraccions greus. En primer lloc, la companyia nord-americana integrava de forma predeterminada pestanyes de Promocions i Xarxes Socials dins del seu servei de correu electrònic, Gmail, on s'intercalaven missatges publicitaris amb els correus personals dels usuaris. Segons l'autoritat gal·la, aquesta pràctica, que transforma la safata d'entrada en un espai publicitari, requeria un consentiment previ, explícit i informat que mai no es va sol·licitar, infringint així la legislació francesa.
En segon terme, la CNIL va determinar que el procés per obtenir el consentiment per a les cookies publicitàries era esbiaixat i insuficient. Quan un usuari creava un compte a Google, la interfície l'incitava activament a optar per la publicitat personalitzada, sense proporcionar una informació clara i transparent sobre les implicacions de la seva elecció i sense deixar clar que l'accés als seus serveis estava condicionat a l'acceptació d'aquest rastreig. Aquest disseny fosc (dark pattern) invalida, a ulls del regulador, el consentiment obtingut.
La quantia rècord de la multa a Google reflecteix el "nombre molt elevat" d'afectats. La CNIL estima que a França hi ha més de 74 milions de comptes d'usuaris residents, i d'elles, almenys 53 milions van anar exposades a la publicitat a les pestanyes de Gmail. La companyia disposa ara d'un termini peremptori de sis mesos per adaptar les seves pràctiques i alinear els seus serveis amb la llei. En cas de no fer-ho, s'enfrontarà a una multa coercitiva de 100.000 euros per cada dia de retard.
Per la seva part, la multinacional xinesa Shein va ser sancionada per un mecanisme de rastreig fins i tot més intrusiu. La CNIL va constatar que, en accedir al web de l'empresa, s'implantaven cookies publicitàries al dispositiu de l'usuari en el mateix instant de la connexió, abans que aquest tingués la més mínima oportunitat d'acceptar o rebutjar res.
Aquesta pràctica, que ignora per complet l'autonomia de l'internauta, privava els consumidors de tota elecció sobre l'ús dels seus datos. La CNIL ha subratllat el "caràcter massiu" d'aquesta infracció, ja que la plataforma de fast fashion rep una mitjana de 12 milions de visites mensuals d'usuaris residents en França. L'autoritat va recordar, a més, que ha sancionat pràctiques idèntiques en múltiples ocasions des de 2020, per la qual cosa Shein, com a actor rellevant al mercat, era plenament conscient de les seves obligacions legals.
Un factor que ha atenuat la sanció per a Shein és que, durant el procediment, l'empresa ja ha modificat el seu lloc web per complir la normativa. Per aquesta raó, la CNIL no ha considerat necessari imposar mesures correctives addicionals, més enllà de la significativa multa econòmica. Aquesta doble sanció envia un missatge inequívoc a la indústria tecnològica: les pràctiques opaques d'obtenció de consentiment i el rastreig massiu d'usuaris sense la seva autorització clara tenen conseqüències financeres importants en l'espai europeu, on la protecció de les dades personals s'erigeix en un dret fonamental.