A autoridade francesa de proteção de dados, CNIL, multou a American Express Carte France em €1,5 milhão por colocar cookies publicitários em dispositivos dos usuários sem consentimento prévio. Os inspetores descobriram que o site da empresa instalava cookies de rastreamento assim que os visitantes acessavam a página inicial. Os cookies estavam ativos antes do aparecimento do banner de consentimento e continuaram operando mesmo quando os usuários selecionaram opções de recusa. A CNIL disse que alguns cookies também permaneceram ativos após a retirada do consentimento.
A American Express Carte France oferece serviços de cartão e financeiros por meio de sua plataforma online. A CNIL afirmou que a empresa não cumpriu suas obrigações legais sob a lei francesa de proteção de dados, que exige que cookies de publicidade e rastreamento sejam instalados somente após os usuários darem consentimento explícito. Essas regras se aplicam a cookies usados para análise comportamental, publicidade direcionada ou outras funções não essenciais.
A autoridade realizou inspeções em janeiro de 2023. De acordo com sua decisão, a empresa não gerenciou corretamente a coleta de consentimento, não impediu que cookies não essenciais carregassem automaticamente e não parou o processamento quando os usuários optaram por não participar. A CNIL enfatizou que esses requisitos estão em vigor há vários anos e que espera-se que as organizações implementem mecanismos eficazes de consentimento.
De acordo com as regulamentações de privacidade da UE e da França, o consentimento deve ser dado livremente e antecipadamente. Os usuários também devem poder retirar o consentimento facilmente. A CNIL afirmou que a American Express Carte France não atendia a esses padrões. A autoridade observou que violações relacionadas a cookies são um foco recorrente da fiscalização porque tecnologias de rastreamento podem revelar padrões de navegação e preferências pessoais.
A American Express afirmou que fez mudanças para atender aos requisitos de conformidade. A autoridade confirmou que algumas medidas corretivas já haviam sido implementadas quando a decisão foi emitida.
O caso se soma a uma série de ações de fiscalização em toda a Europa que visam empresas que não seguem as regras de cookies. A CNIL aplicou várias multas a empresas em setores como varejo, mídia e tecnologia. Analistas disseram que a multa demonstra que as obrigações de conformidade se aplicam igualmente a instituições financeiras e empresas não financeiras.
Usuários que visitaram o site afetado podem querer revisar as configurações do navegador e remover cookies indesejados. Especialistas em privacidade recomendam que os usuários verifiquem cuidadosamente os banners de consentimento e recusquem o rastreamento não essencial se preferirem exposição limitada de dados.