TikTok es el último gigante tecnológico al que el organismo francés de control de la protección de datos ha amonestado por infringir las normas sobre consentimiento de cookies.
La sanción de 5 millones de euros anunciada hoy por la CNIL se refiere a un flujo de consentimiento de cookies que TikTok había utilizado en su sitio web (tiktok.com) hasta principios del año pasado, en el que el regulador descubrió que no era tan fácil para los usuarios rechazar las cookies como aceptarlas, por lo que esencialmente estaba manipulando el consentimiento al hacer que fuera más fácil para los visitantes del sitio aceptar su seguimiento que optar por no aceptarlo.
Este fue el caso cuando el organismo de control comprobó el proceso de TikTok, en junio de 2021, hasta la implementación de un botón «Rechazar todo» en el sitio en febrero de 2022, que parece haber resuelto el asunto. (Y puede explicar la multa relativamente pequeña impuesta en este caso, junto con el número de usuarios y menores afectados – así como la aplicación relativa solo a su sitio web, no a su aplicación móvil).
Las cookies de rastreo se utilizan normalmente para ofrecer publicidad basada en el comportamiento, pero también pueden utilizarse para otras actividades del sitio, como la analítica.
«Durante el control efectuado en junio de 2021, la CNIL observó que, si bien las empresas TikTok Reino Unido y TikTok Irlanda ofrecían un botón que permitía aceptar inmediatamente las cookies, no habían puesto en marcha una solución equivalente (botón u otro) que permitiera al internauta rechazar su depósito con la misma facilidad. Eran necesarios varios clics para rechazar todas las cookies, frente a uno solo para aceptarlas», señala el organismo de control en un comunicado de prensa [traducido del francés con traducción automática].
«La Comisión Restringida consideró que hacer que el mecanismo de rechazo sea más complejo, en realidad equivale a disuadir a los usuarios de rechazar las cookies y alentarlos a favorecer la facilidad del botón ‘Aceptar todas'», agregó, diciendo que encontró que TikTok, por lo tanto, había incumplido un requisito legal para la libertad de consentimiento – una violación del artículo 82 de la Ley de Protección de Datos francesa «ya que no era tan simple rechazar las cookies como aceptarlas.»
Además, la CNIL constató que TikTok no había informado a los usuarios «de manera suficientemente precisa» de los fines de las cookies, tanto en el banner informativo presentado en el primer nivel del consentimiento de las cookies como en el marco de la «interfaz de elección» accesible tras hacer clic en un enlace presentado en el banner. De ahí que se constataran varias infracciones del artículo 82.
La aplicación francesa se ha llevado a cabo en virtud de la Directiva sobre la privacidad y las comunicaciones electrónicas de la Unión Europea, que, a diferencia del Reglamento General de Protección de Datos (RGPD) de la UE, no exige que las reclamaciones que afectan a usuarios de todo el bloque se remitan a un supervisor de datos principal en un país de la UE de establecimiento principal (si una empresa reclama ese estatus, como hace TikTok con Irlanda para el RGPD).
Esto ha permitido al regulador francés imponer una serie de sanciones por infracciones de cookies de Big Tech en los últimos años, golpeando a empresas como Amazon, Google, Facebook y Microsoft con algunas fuertes multas (y órdenes de corrección) desde 2020, tras una actualización de 2019 de su orientación sobre la Directiva de privacidad y comunicaciones electrónicas que estipulaba que el consentimiento es necesario para el seguimiento de anuncios.
La actividad de Francia para depurar el consentimiento de las cookies parece un complemento importante a la aplicación transfronteriza del RGPD, que se produce a un ritmo más lento y que apenas está empezando a tener un impacto en los modelos de negocio basados en la publicidad y centrados en el seguimiento sin consentimiento, como las decisiones finales contra Facebook e Instagram emitidas por la Comisión de Protección de Datos de Irlanda a principios de este mes.
Si los gigantes de la publicidad de seguimiento y perfilado se ven obligados a depender de la obtención del consentimiento del usuario para ejecutar la publicidad basada en el comportamiento, es fundamental que la calidad del consentimiento recogido sea libre y justa -no manipulada mediante el despliegue de trucos de diseño engañosos, como ha sido el caso- por lo que la aplicación de las cookies de ePrivacy de la CNIL parece importante.
El verano pasado, por ejemplo, se impidió que TikTok dejara de basarse en el consentimiento del usuario como base jurídica para procesar los datos de las personas con el fin de publicar anuncios «personalizados» y adoptara el interés legítimo como base jurídica (lo que implicaba que tenía la intención de dejar de pedir el consentimiento a los usuarios) tras la intervención de las autoridades de protección de datos de la UE, que advirtieron de que esa medida sería incompatible con la Directiva sobre la privacidad y las comunicaciones electrónicas (y probablemente también con el RGPD).
Aunque las medidas coercitivas en virtud de la Directiva sobre la privacidad y las comunicaciones electrónicas solo se aplican en el mercado del regulador (Francia, en este caso), las repercusiones de estas decisiones pueden ser más amplias. Google, por ejemplo, respondió a una sanción de la CNIL revisando la forma en que recaba el consentimiento para las cookies en toda la UE. Puede que no todas las empresas respondan así, pero es probable que la aplicación de diferentes configuraciones de cumplimiento para los distintos mercados de la UE suponga un coste, frente a la mera aplicación de una norma (elevada) en todos los mercados de la UE. Así que la aplicación de la privacidad y las comunicaciones electrónicas puede ayudar a fijar el listón de la UE.
Nos pusimos en contacto con TikTok para que comentara la sanción de la CNIL. Un portavoz de la empresa nos envió esta declaración:
Estos hallazgos se refieren a prácticas pasadas que abordamos el año pasado, incluyendo facilitar el rechazo de cookies no esenciales y proporcionar información adicional sobre los propósitos de ciertas cookies. La propia CNIL destacó nuestra cooperación en el curso de la investigación y la privacidad de los usuarios sigue siendo una prioridad para TikTok.