TikTok es el último gigante tecnológico en ser educado por el organismo de control de protección de datos de Francia por infringir las reglas sobre el consentimiento de cookies.
La sanción de 5 millones de euros anunciada hoy por la CNIL se relaciona con un flujo de consentimiento de cookies que TikTok había utilizado en su sitio web (tiktok.com) hasta principios del año pasado, en el que el regulador descubrió que no era tan fácil para los usuarios rechazar las cookies como para aceptarlos, por lo que esencialmente estaba manipulando el consentimiento al facilitar que los visitantes del sitio aceptaran su seguimiento en lugar de optar por no participar.
Este fue el caso cuando el organismo de control verificó el proceso de TikTok, en junio de 2021, hasta la implementación del botón «Rechazar todo» en el sitio en febrero de 2022, que parece haber resuelto el problema. (Y puede explicar la multa relativamente pequeña impuesta en este caso, junto con la cantidad de usuarios y menores afectados, así como la aplicación relacionada solo con su sitio web, no con su aplicación móvil).
Las cookies de seguimiento se utilizan normalmente para ofrecer publicidad basada en el comportamiento, pero también se pueden utilizar para otras actividades del sitio, como el análisis.
“Durante la verificación realizada en junio de 2021, la CNIL observó que, si bien las empresas TikTok Reino Unido y TikTok Irlanda ofrecieron un botón que permitía aceptar las cookies de inmediato, no implementaron una solución equivalente (botón u otro) para permitir el usuario de Internet a rechazar su depósito con la misma facilidad. Fueron necesarios varios clics para rechazar todas las cookies, y solo uno para aceptarlas”, señala el organismo de control en un comunicado de prensa. [translated from French with machine translation].
“El Comité restringido consideró que hacer que el mecanismo de rechazo sea más complejo en realidad equivale a disuadir a los usuarios de rechazar las cookies y alentarlos a favorecer la facilidad del botón ‘Aceptar todo’”, agregó, diciendo que encontró que TikTok había violado un requisito legal para libertad de consentimiento: una violación del artículo 82 de la Ley de protección de datos francesa “ya que no era tan simple rechazar las cookies como aceptarlas”.
Además, la CNIL descubrió que TikTok no había informado a los usuarios «de manera suficientemente precisa» sobre los propósitos de las cookies, tanto en el banner de información presentado en el primer nivel del consentimiento de cookies como en el marco de la «interfaz de elección». que era accesible después de hacer clic en un enlace presentado en el banner. De ahí la constatación de varios incumplimientos del artículo 82.
La aplicación francesa se tomó bajo la Directiva de privacidad electrónica de la Unión Europea, que, a diferencia del Reglamento general de protección de datos (GDPR) de la UE, no requiere que las quejas que afectan a los usuarios en todo el bloque se remitan a un supervisor de datos principal en un país de la UE de establecimiento principal (si una empresa reclama ese estado, como lo hace TikTok con Irlanda para el RGPD).
Esto ha permitido al regulador francés emitir una serie de medidas coercitivas sobre las infracciones de cookies de Big Tech en los últimos años, golpeando a empresas como Amazon, Google, Facebook y Microsoft con algunas multas considerables (y órdenes de corrección) desde 2020, luego de una actualización de 2019 a su orientación sobre la Directiva de privacidad electrónica que estipuló que el consentimiento es necesario para el seguimiento de anuncios.
La actividad de Francia para limpiar el consentimiento de cookies parece un complemento importante para la aplicación transfronteriza de GDPR a un ritmo más lento, que apenas comienza a tener un impacto en los modelos comerciales basados en anuncios centrados en el seguimiento sin consentimiento, como las decisiones finales contra Facebook. e Instagram emitidos por la Comisión de Protección de Datos de Irlanda a principios de este mes.
Si los gigantes publicitarios de seguimiento y creación de perfiles se ven obligados a confiar en obtener el consentimiento del usuario para ejecutar publicidad conductual, es fundamental que la calidad del consentimiento recopilado sea libre y justa, no manipulada mediante el despliegue de trucos de diseño engañosos, como suele ser el caso, por lo que el El cumplimiento de las cookies de privacidad electrónica de la CNIL parece importante.
Solo el verano pasado, por ejemplo, se impidió que TikTok dejara de confiar en el consentimiento del usuario como base legal para procesar los datos de las personas para publicar anuncios ‘personalizados’ con un reclamo de interés legítimo como base legal (lo que implica que tenía la intención de dejar de pedir a los usuarios para su consentimiento) después de la intervención de las autoridades de protección de datos de la UE que advirtieron que tal movimiento sería incompatible con la Directiva de privacidad electrónica (y probablemente también violaría el RGPD).
Si bien las medidas de cumplimiento bajo ePrivacy solo se aplican en el propio mercado del regulador (Francia, en este caso), el impacto de estas decisiones puede ser mayor. Google, por ejemplo, siguió una sanción de la CNIL al revisar cómo recopila el consentimiento para las cookies en toda la UE. Puede que no sea así como responden todas las empresas, pero es probable que haya un costo asociado a la aplicación de diferentes configuraciones de cumplimiento para diferentes mercados de la UE, en lugar de solo aplicar un estándar (alto) en todos los mercados de la UE. Por lo tanto, la aplicación de la privacidad electrónica puede ayudar a establecer el estándar de la UE.
Se contactó a TikTok para comentar sobre la sanción de la CNIL. Un portavoz de la empresa nos envió este comunicado:
Estos hallazgos se relacionan con prácticas anteriores que abordamos el año pasado, incluida la facilitación del rechazo de cookies no esenciales y el suministro de información adicional sobre los propósitos de ciertas cookies. La propia CNIL destacó nuestra cooperación durante el curso de la investigación y la privacidad del usuario sigue siendo una prioridad para TikTok.