La autoridad francesa de protección de datos ha multado a tres grandes empresas, Google, Shein y PayPal, con un total de 486 millones de euros por violaciones de la ley nacional de privacidad que regula el uso de datos personales. Las sanciones se producen tras investigaciones sobre cómo las empresas recopilaron y compartieron información de los dispositivos de los usuarios con fines publicitarios y analíticos sin una base legal o transparencia suficientes.
La autoridad francesa de protección de datos, Commission Nationale de l’Informatique et des Libertés (CNIL), afirmó que la multa de 250 millones de euros de Google estaba vinculada al uso de datos recogidos de los dispositivos Android de los usuarios para publicidad dirigida. La CNIL constató que Google no obtuvo consentimiento válido de los usuarios para ciertas operaciones de procesamiento y no presentó información clara y accesible sobre dichas actividades.
Shein, el minorista de moda online, recibió una multa de 150 millones de euros relacionada con su aplicación móvil y su página web. La CNIL señaló deficiencias en la forma en que Shein informaba a los usuarios sobre la recopilación de información personal y cómo se utilizaban esos datos para marketing personalizado. El regulador también citó mecanismos insuficientes para obtener el consentimiento de los usuarios.
PayPal fue multado con 86 millones de euros por prácticas de datos que implicaban el procesamiento de datos de usuarios sin una base legal adecuada y la falta de suficiente transparencia sobre el intercambio de información personal con terceros. La CNIL señaló que las infracciones afectaban a usuarios en toda Francia y señaló que el nivel de las sanciones reflejaba tanto la magnitud de las operaciones de las empresas como la duración de los tramitaciones no conformes.
Según el Reglamento General de Protección de Datos (RGPD) de la UE y la ley nacional francesa de protección de datos, las organizaciones deben proporcionar información clara a los usuarios sobre cómo se recopilan, procesan y comparten sus datos personales. La CNIL afirmó que los avisos de privacidad y los mecanismos de consentimiento de las empresas no cumplían esos requisitos.
La CNIL dijo que tuvo en cuenta factores como el número de usuarios afectados, la naturaleza de los datos implicados y la duración de las infracciones para determinar el importe de cada multa. El regulador también impuso plazos para que las empresas cumplan con sus prácticas de procesamiento de datos y advirtió que podrían seguir sanciones adicionales si persisten problemas.
Las tres empresas dijeron que están revisando las decisiones y podrían impugnar aspectos de los hallazgos. Google afirmó que está comprometido con la privacidad de los usuarios y actualiza continuamente sus políticas y herramientas. Shein afirmó que se relaciona con los reguladores y está trabajando para alinear sus prácticas con la legislación aplicable. PayPal dijo que se toma en serio la protección de datos y evaluará la sentencia.
Los defensores de la privacidad dieron la bienvenida a las multas como una reafirmación de la autoridad de los reguladores para hacer cumplir los requisitos de transparencia y consentimiento. Afirmaron que la información clara y accesible sobre el uso de datos es esencial para el control del usuario sobre la información personal en los servicios digitales.
La acción de la CNIL forma parte de un impulso regulatorio más amplio en Europa este año para exigir responsabilidades a las plataformas tecnológicas y de comercio electrónico por las prácticas de privacidad de los usuarios. La aplicación del RGPD y de las normas nacionales relacionadas ha aumentado el escrutinio sobre cómo las empresas aprovechan los datos personales para publicidad, análisis y servicios personalizados.