A autoridade nacional francesa de proteção de dados, a Commission Nationale de l’Informatique et des Libertés (CNIL), impôs uma multa de €3,5 milhões a uma empresa francesa por compartilhamento indevido de dados de usuários e violação das regras sobre rastreamento de cookies, segundo uma decisão regulatória publicada no final de dezembro de 2025. A sanção reflete violações de obrigações sob as leis francesas e europeias de proteção de dados relativas ao consentimento e transparência no tratamento de informações pessoais.
A ação da CNIL decorre de uma investigação que concluiu que a empresa divulgou os dados pessoais dos membros a terceiros sem obter consentimento válido dos indivíduos envolvidos. O regulador identificou falhas na forma como a empresa coletava, usava e compartilhava informações de rastreamento vinculadas à atividade online dos usuários, incluindo mecanismos de rastreamento baseados em cookies frequentemente usados para personalizar serviços de publicidade digital e análise.
De acordo com a lei francesa, a implementação de cookies e tecnologias similares de rastreamento exige consentimento claro, informado e livremente dado dos usuários antes que essas tecnologias sejam ativadas em seus dispositivos. Cookies de rastreamento podem coletar dados sobre o comportamento de um usuário em vários sites, e reguladores da UE enfatizaram que o consentimento deve ser específico e inequívoco para cada finalidade, em conformidade com as proteções de privacidade sob os padrões de proteção de dados da UE, como o Regulamento Geral de Proteção de Dados (GDPR) e regras nacionais relacionadas.
A CNIL determinou que as práticas da empresa não atendiam a esses requisitos de consentimento e que o compartilhamento de dados excedia o que havia sido divulgado aos usuários no momento da coleta. Ações recentes de fiscalização da CNIL, incluindo multas de grande destaque contra grandes plataformas por violações de consentimento relacionadas a cookies, sinalizam um escrutínio intensificado do cumprimento das obrigações de consentimento e transparência no rastreamento digital e uso de dados.
Com a multa imposta, a empresa deve ajustar seus mecanismos de tratamento de dados e consentimento de cookies para se alinhar aos requisitos legais. As agências reguladoras da UE têm autoridade para impor o cumprimento e aplicar sanções quando as organizações não obtêm o consentimento adequado ou não fornecem informações claras sobre como os dados pessoais são usados.
A penalidade financeira reflete tanto a natureza das falhas de consentimento quanto a dimensão dos dados pessoais envolvidos. A decisão da CNIL ilustra o aumento da fiscalização regulatória na Europa em relação à privacidade do usuário, práticas transparentes de dados e adesão às regras estabelecidas para rastreamento de tecnologias e compartilhamento de dados.