A autoridade francesa de proteção de dados CNIL impôs uma multa de €750.000 à Les Publications Conde Nast, empresa responsável pela Vanity Fair, por colocar cookies nos dispositivos dos usuários sem consentimento válido. A autoridade constatou que o site utilizava cookies não essenciais assim que os usuários chegavam à página, sem esperar a interação com o banner de consentimento. A CNIL afirmou que essa prática violava a lei francesa de proteção de dados e os requisitos da Diretiva ePrivacy, ambos obrigando a concordância explícita antes que rastreadores não essenciais sejam armazenados nos dispositivos.
O caso começou após uma reclamação apresentada em 2019, que levou a CNIL a examinar as práticas de cookies da Vanity Fair. A revisão inicial levou a um aviso formal emitido em 2021. A empresa comprometeu-se a corrigir seu mecanismo de consentimento, mas as verificações subsequentes da CNIL mostraram que as mudanças necessárias não haviam sido implementadas. O site continuou a colocar cookies de publicidade e rastreamento antes do consentimento, e usuários que tentaram recusar cookies ainda estavam sujeitos ao rastreamento.
A CNIL identificou várias violações durante sua investigação. Cookies não essenciais foram colocados assim que a página inicial foi carregada, e o banner de consentimento que apareceu não impediu que os cookies fossem armazenados. Alguns cookies usados para publicidade foram classificados como estritamente necessários, uma designação destinada apenas a funções técnicas essenciais para o funcionamento do site. Essa categorização permitiu que os cookies contornassem o requisito de consentimento. A CNIL também constatou que usuários que clicaram na opção de recusar ou tentaram retirar o consentimento não conseguiram impedir que cookies fossem colocados ou mantidos. A autoridade afirmou que o mecanismo de recusa não funcionou e que o site continuou a instalar rastreadores mesmo depois que os usuários optaram por não participar.
O regulador considerou a repetida falha em cumprir um fator significativo para determinar o valor da multa. A CNIL afirmou que a editora já havia sido instruída a mudar suas práticas e que havia recebido tempo para atualizar seu sistema. A continuidade da colocação de cookies sem consentimento e a rotulagem incorreta dos rastreadores de publicidade como essenciais foram consideradas violações graves que afetaram um grande número de usuários.
De acordo com a legislação francesa, os sites devem fornecer informações claras sobre o propósito dos cookies, identificar quaisquer terceiros que tenham acesso aos dados e obter consentimento explícito do usuário para todo rastreamento não essencial. O consentimento deve ser uma ação afirmativa clara, e os usuários devem ter um método fácil para recusar ou retirá-lo. A CNIL constatou que a Vanity Fair não atendia a esses requisitos e que os mecanismos fornecidos aos usuários eram enganosos ou ineficazes.
A decisão reforça o foco mais amplo da CNIL na aplicação de banners de consentimento e na implantação de cookies. A autoridade aplicou várias penalidades a grandes serviços online nos últimos anos por violações semelhantes, sinalizando que as práticas de consentimento continuam sendo prioridade. A CNIL afirmou que continuará monitorando sites que lidam com grandes volumes de tráfego de usuários e tomará medidas quando as regras de consentimento não forem seguidas.
A editora pode recorrer da decisão, mas a multa serve como um alerta para qualquer organização que opere na França e que use rastreamento online para publicidade ou análises. O caso também destaca a importância de opções claras de consentimento para usuários que esperam controlar quais informações são armazenadas em seus dispositivos. A CNIL afirmou que banners de cookies devem fornecer informações precisas e respeitar as escolhas dos usuários sem impor obstáculos artificiais ou implementar um design que os conduza à aceitação.