La CNIL está multando a empresas tecnológicas por cuestiones de consentimiento
No se trata de un déjà vu. La CNIL, la autoridad francesa de protección de datos, ha impuesto tres multas distintas -todas relacionadas con el consentimiento o la falta del mismo- en menos de dos semanas.
A principios de enero, la CNIL impuso a Apple una multa de 8 millones de euros por no recabar el consentimiento de los usuarios franceses de iPhone para realizar un seguimiento. Poco más de una semana después, la CNIL anunció una multa de 5 millones de euros a TiKTok por incumplimiento del consentimiento de cookies. Y menos de una semana después, la CNIL impuso al desarrollador de juegos para móviles Voodoo una multa de 3 millones de euros por utilizar el IDFV de Apple para rastrear a los usuarios sin su consentimiento.
Las tres medidas tienen ciertas similitudes, pero merece la pena prestar atención a los detalles y a sus posibles ramificaciones.
No, gracias
Para dictar estas sentencias, la CNIL se basó alternativamente en la Ley francesa de protección de datos y en la Directiva sobre privacidad y comunicaciones electrónicas, en lugar de en GDPR, para evitar problemas de jurisdicción. Muchas grandes empresas tecnológicas no europeas, como Apple, Meta y TikTok, tienen su sede europea en Irlanda, lo que convierte a la Comisión de Protección de Datos irlandesa (CPD) en su principal autoridad de control.
La enorme influencia de Irlanda en la aplicación GDPR es un hecho que no sienta bien a la mayoría de los defensores de la privacidad, que consideran que la CPD es demasiado blanda con las grandes empresas tecnológicas.
Ese vudú que (no) se hace
El caso Voodoo de la CNIL es interesante porque llama la atención sobre una solución de ATT. Como parte de su marco AppTrackingTransparency, Apple exige que todos los Third-Parties obtengan un consentimiento explícito antes de acceder al IDFA (identificador para publicidad) de un usuario para el seguimiento y la personalización de anuncios. La política de Apple también establece explícitamente que los desarrolladores tienen prohibido combinar el IDFV (identificador para vendedores) con otros datos para rastrear a los usuarios a través de sitios y aplicaciones sin el permiso del usuario.
El IDFV es un identificador persistente que Apple asigna a los publishers y que éstos pueden utilizar con fines analíticos en las aplicaciones de su propia cartera (y sólo en las aplicaciones de su propia cartera).
Según la CNIL, Voodoo mostraba a los usuarios un aviso ATT, pero si decían que no al seguimiento IDFA, el desarrollador seguía utilizando el IDFV para rastrear a las personas con fines publicitarios sin obtener su consentimiento. En otras palabras, Voodoo hacía parecer que estaba respetando la elección del usuario mostrando un aviso ATT, pero en realidad Voodoo simplemente no aceptaba un "no" por respuesta.
Tikked off
A estas alturas ya es un meme que todas las grandes plataformas sociales parezcan dedicar la mitad de su tiempo a copiar características de TikTok, pero aquí hay algo que harían mejor en no copiar: patrones oscuros para recoger el consentimiento. Entre mayo de 2020 y junio del año pasado, la CNIL realizó una serie de comprobaciones para ver si el mecanismo de TikTok para recoger el consentimiento estaba a la altura. (Es importante señalar que la investigación de la CNIL se centró en el sitio web de TikTok, no en su aplicación móvil). En opinión de la CNIL, aunque TikTok ofrecía un botón para aceptar las cookies, no había ningún botón o "solución equivalente" para rechazar el seguimiento de las cookies con la misma facilidad. Se necesitaban varios clics para rechazar todas las cookies y un solo clic para aceptarlas.
La CNIL también concluyó que TikTok no informaba a los usuarios "de manera suficientemente precisa" sobre los fines de las diferentes cookies.
Manzana podrida
Y luego está la multa de la CNIL contra Apple, que se posiciona como un firme protector de la privacidad, una postura que molesta a la mayoría de las empresas de AdTech. En marzo de 2021, el grupo de presión France Digitale, que representa a las startups francesas, presentó una denuncia contra Apple, argumentando que Apple rastreaba a los usuarios de iOS 14.6 dentro de sus propias aplicaciones sin pedir consentimiento. A pesar de que Apple empezó a recabar el consentimiento tras la denuncia de 2021, solo lo hizo a partir de los dispositivos con iOS 15 (aunque utilizando su propio aviso de anuncios personalizados y no los avisos restrictivos de ATT requeridos para terceros). La CNIL multó a Apple por permitir la publicidad personalizada por defecto en versiones anteriores de su sistema operativo móvil.
Aunque, desde cierto punto de vista, la sentencia de la CNIL contra Apple es una victoria moral para los desarrolladores, una multa de 8 millones de euros para Apple no es ni siquiera un error de redondeo.
Como señaló IAB France en un comunicado tras el anuncio de la multa, "durante muchos años Apple ha tenido una ventaja comparativa indebida sobre todos los demás actores del ecosistema móvil que no han gozado de la misma impunidad."
En lugar de llamarlo "multa", también se podría decir que 8 millones de euros, para Apple, es el coste bastante asequible de hacer negocios a costa de los competidores.
Fuente: Adexchanger