A autoridade francesa de proteção de dados multou três grandes empresas, Google, Shein e PayPal, um total de €486 milhões por violações da lei nacional de privacidade que regula o uso de dados pessoais. As penalidades seguem investigações sobre como as empresas coletaram e compartilharam informações dos dispositivos dos usuários para fins de publicidade e análise, sem base legal ou transparência suficientes.
A autoridade francesa de proteção de dados, Commission Nationale de l’Informatique et des Libertés (CNIL), afirmou que a multa de €250 milhões do Google estava vinculada ao uso de dados coletados dos dispositivos Android dos usuários para publicidade direcionada. A CNIL constatou que o Google não obteve consentimento válido dos usuários para certas operações de processamento e não apresentou informações claras e acessíveis sobre essas atividades.
A Shein, varejista online de moda, recebeu uma multa de €150 milhões relacionada ao seu aplicativo móvel e site. A CNIL afirmou identificar deficiências na forma como a Shein informava os usuários sobre a coleta de informações pessoais e como esses dados eram usados para marketing personalizado. O regulador também citou mecanismos inadequados para obter o consentimento dos usuários.
O PayPal foi multado em €86 milhões por práticas de dados que envolviam o processamento de dados dos usuários sem base legal adequada e a falta de transparência suficiente sobre o compartilhamento de informações pessoais com terceiros. A CNIL afirmou que as violações afetaram usuários em toda a França e observou que o nível das penalidades refletia tanto a escala das operações das empresas quanto a duração do processamento não conforme.
De acordo com o Regulamento Geral de Proteção de Dados (GDPR) da UE e a lei nacional de proteção de dados da França, as organizações devem fornecer informações claras aos usuários sobre como seus dados pessoais são coletados, processados e compartilhados. A CNIL afirmou que os avisos de privacidade e os mecanismos de consentimento das empresas não atendem a esses requisitos.
A CNIL afirmou que considerou fatores como o número de usuários afetados, a natureza dos dados envolvidos e a duração das infrações para determinar o valor de cada multa. O regulador também impôs prazos para que as empresas assumam a conformidade com suas práticas de processamento de dados e alertou que novas sanções poderão ocorrer caso persistam problemas.
As três empresas disseram que estão revisando as decisões e podem contestar aspectos das conclusões. O Google afirmou estar comprometido com a privacidade dos usuários e atualizar continuamente suas políticas e ferramentas. Shein afirmou que dialoga com reguladores e está trabalhando para alinhar suas práticas com a legislação aplicável. O PayPal disse que leva a proteção de dados a sério e irá avaliar a decisão.
Defensores da privacidade receberam as multas como uma reafirmação da autoridade dos reguladores para impor exigências de transparência e consentimento. Eles disseram que informações claras e acessíveis sobre o uso de dados são essenciais para o controle do usuário sobre informações pessoais em serviços digitais.
A ação da CNIL faz parte de um movimento regulatório mais amplo na Europa este ano para responsabilizar as plataformas de tecnologia e e-commerce pelas práticas de privacidade dos usuários. A aplicação do GDPR e das regras nacionais relacionadas aumentou a fiscalização de como as empresas utilizam dados pessoais para publicidade, análises e serviços personalizados.