En una decisión contundente que marca un nuevo hito en la defensa de la privacidad digital en Europa, el regulador francés de protección de datos ha asestado un duro golpe a dos gigantes del comercio online. La Comisión Nacional de Informática y Libertades (CNIL) ha multado a Google con una sanción de 325 millones de euros y a la plataforma china de moda Shein con 150 millones por prácticas sistemáticas que vulneraron el consentimiento de millones de usuarios franceses en el uso de sus datos personales para publicidad.

La medida, anunciada este miércoles a través de un comunicado oficial, se enmarca en una estrategia global y prioritaria que el organismo supervisor lleva aplicando de manera rigurosa durante los últimos cinco años contra el uso abusivo de las cookies, esos pequeños archivos de rastreo que se almacenan en los dispositivos de los internautas y que son la base de la publicidad segmentada en internet.

La investigación de la CNIL sobre Google desveló dos infracciones graves. En primer lugar, la compañía estadounidense integraba de forma predeterminada pestañas de Promociones y Redes Sociales dentro de su servicio de correo electrónico, Gmail, donde se intercalaban mensajes publicitarios con los correos personales de los usuarios. Según la autoridad gala, esta práctica, que transforma la bandeja de entrada en un espacio publicitario, requería de un consentimiento previo, explícito e informado que nunca se solicitó, infringiendo así la legislación francesa.

En segundo término, la CNIL determinó que el proceso para obtener el consentimiento para las cookies publicitarias era sesgado e insuficiente. Cuando un usuario creaba una cuenta en Google, la interfaz le incitaba activamente a optar por la publicidad personalizada, sin proporcionar una información clara y transparente sobre las implicaciones de su elección y sin dejar claro que el acceso a sus servicios estaba condicionado a la aceptación de este rastreo. Este diseño oscuro (dark pattern) invalida, a ojos del regulador, el consentimiento obtenido.

La cuantía récord de la multa a Google refleja el "número muy elevado" de afectados. La CNIL estima que en Francia hay más de 74 millones de cuentas de usuarios residentes, y de ellas, al menos 53 millones fueron expuestas a la publicidad en las pestañas de Gmail. La compañía dispone ahora de un plazo perentorio de seis meses para adaptar sus prácticas y alinear sus servicios con la ley. De no hacerlo, se enfrentará a una multa coercitiva de 100.000 euros por cada día de retraso.

Por su parte, la multinacional china Shein fue sancionada por un mecanismo de rastreo incluso más intrusivo. La CNIL constató que, al acceder a la web de la empresa, se implantaban cookies publicitarias en el dispositivo del usuario en el mismo instante de la conexión, antes de que este tuviera la más mínima oportunidad de aceptar o rechazar nada.

Esta práctica, que ignora por completo la autonomía del internauta, privaba a los consumidores de toda elección sobre el uso de sus datos. La CNIL ha subrayado el "carácter masivo" de esta infracción, dado que la plataforma de fast fashion recibe una media de 12 millones de visitas mensuales de usuarios residentes en Francia. La autoridad recordó, además, que ha sancionado prácticas idénticas en múltiples ocasiones desde 2020, por lo que Shein, como actor relevante en el mercado, era plenamente consciente de sus obligaciones legales.

Un factor que ha atenuado la sanción para Shein es que, durante el procedimiento, la empresa ya ha modificado su sitio web para cumplir con la normativa. Por este motivo, la CNIL no ha considerado necesario imponer medidas correctivas adicionales, más allá de la significativa multa económica. Esta doble sanción envía un mensaje inequívoco a la industria tecnológica: las prácticas opacas de obtención de consentimiento y el rastreo masivo de usuarios sin su autorización clara tienen consecuencias financieras severas en el espacio europeo, donde la protección de los datos personales se erige como un derecho fundamental.