La autoridad francesa de protección de datos, CNIL, multó a American Express Carte France con 1,5 millones de euros por colocar cookies publicitarias en dispositivos de usuario sin consentimiento previo. Los inspectores descubrieron que la web de la empresa instalaba cookies de seguimiento en cuanto los visitantes accedían a la página principal. Las cookies estaban activas antes de que apareciera un banner de consentimiento y seguían funcionando incluso cuando los usuarios seleccionaban opciones de rechazo. La CNIL indicó que algunas cookies también permanecieron activas tras la retirada del consentimiento.
American Express Carte France ofrece servicios de tarjetas y financieros a través de su plataforma online. La CNIL afirmó que la empresa no cumplió con sus obligaciones legales bajo la ley francesa de protección de datos, que exige que las cookies publicitarias y de seguimiento se instalen solo después de que los usuarios hayan dado un consentimiento explícito. Estas normas se aplican a las cookies utilizadas para análisis de comportamiento, publicidad dirigida u otras funciones no esenciales.
La autoridad realizó inspecciones en enero de 2023. Según su decisión, la empresa no gestionó correctamente la recogida de consentimientos, no impidió que las cookies no esenciales se cargaran automáticamente y no dejó de procesar cuando los usuarios se detuvieron por no participar. La CNIL subrayó que estos requisitos llevan varios años vigentes y que se espera que las organizaciones implementen mecanismos de consentimiento efectivos.
Según las normativas de privacidad de la UE y Francia, el consentimiento debe darse de forma libre y previa. Los usuarios también deben poder retirar su consentimiento fácilmente. La CNIL afirmó que American Express Carte France no cumplía con estos estándares. La autoridad señaló que las violaciones relacionadas con las cookies son un foco recurrente de aplicación porque las tecnologías de seguimiento pueden revelar patrones de navegación y preferencias personales.
American Express ha informado que ha realizado cambios para cumplir con los requisitos de cumplimiento. La autoridad confirmó que algunas medidas correctivas ya se habían implementado cuando se emitió la decisión.
El caso se suma a una serie de acciones de aplicación en toda Europa dirigidas a empresas que no cumplen las normas sobre cookies. La CNIL ha impuesto varias multas a empresas de sectores como retail, medios y tecnología. Los analistas afirmaron que la multa demuestra que las obligaciones de cumplimiento se aplican por igual a instituciones financieras y empresas no financieras.
Los usuarios que visitaron el sitio web afectado pueden querer revisar la configuración de su navegador y eliminar las cookies no deseadas. Los especialistas en privacidad recomiendan que los usuarios revisen cuidadosamente los banners de consentimiento y rechacen el seguimiento no esencial si prefieren una exposición limitada de datos.