Google e Amazon são multadas em mais de €135 milhões por utilização indevida de cookies.
As empresas Google e Amazon foram sancionadas na última quinta-feira (10) pela Agência reguladora de proteção de dados francesa- CNIL, por coletarem cookies não-essenciais sem o consentimento de seus usuários. As multas são significativas: o Google foi sancionado em € 100 milhões de euros e a Amazon, por sua vez, em € 35 milhões de euros. Os domínios autuados foram franceses, o Google.fr e o Amazon.fr, respectivamente.
O Caso Google.fr
Em 16 de março de 2020, a CNIL realizou uma verificação online no site google.fr onde revelou que, no momento em que um usuário entrava no site, cookies eram lançados automaticamente em seu computador, sem qualquer ação de sua parte. Vários desses cookies tinham fins publicitários. O “comitê restrito”, o órgão da CNIL responsável por sancionar tratamentos inadequados de proteção de dados, observou três violações do artigo 82 da Lei de Proteção de Dados do país.
Disparo de cookies sem consentimento prévio do usuário
Quando um usuário acessava a página google.fr, diversos cookies com finalidade publicitária eram lançados automaticamente em seu computador, sem a ciência, ou, ainda, seu consentimento. Segundo o artigo 82 da lei de proteção de dados francesa, cookies não essenciais devem, de forma mandatória, solicitar o consentimento expresso do usuário antes de serem disparados. Dessa forma, o comitê considerou que a empresa descumpriu a normativa.
Falta de transparência aos usuários das ferramentas de busca do google.fr
Quando um usuário acessava a página google.fr, um banner de informações era exibido na parte inferior da página, contendo os seguintes informes “Lembrete sobre as regras de privacidade do Google” na frente do qual apareceram dois botões intitulados “Me lembrar mais tarde” e “Consulte agora ”. O banner não fornecia ao usuário qualquer informação relativa aos cookies que já haviam sido disparados em seu computador no momento em que o titular chegou ao site. Ainda nesse sentido, mesmo quando a opção escolhida era “Consultar agora” a informação também não era fornecida.
A comissão restrita considerou, portanto, que a informação prestada pela empresa não permitia aos usuários da ferramenta do site google.fr residentes sa França serem informados de forma clara e, principalmente, prévia, sobre o disparo de cookies em seu computador. Dessa forma, o titular era compelido à um tratamento o qual não tinha ciência, não havendo a possibilidade de escolha, ou recusa.
A deficiência parcial da ferramenta de “oposição”
Outra falha encontrada no tratamento de dados pessoais vinculados à carga participativa do titular no site google.fr, acontecia na personalização dos anúncios. No momento que um usuário desativava a personalização de propagandas na pesquisa do Google através do mecanismo que lhe era disponibilizado no botão “Consultar agora”, um dos cookies publicitários permanecia em seu computador e continuava a ler informações destinadas ao servidor para o qual estava anexado.
A comissão considerou, portanto, que o mecanismo de “oposição” implementado pelas empresas era parcialmente defeituoso, em violação do artigo 82 da Lei de Proteção de Dados.
A sanção emitida ao Google.fr
O Comitê responsável pela definição da sanção aplicável estabeleceu a multa do Google no montante de 100 milhões de euros. Em sua decisão, a CNIL justificou os valores face à gravidade da já referida tripla violação do artigo 82.º da Lei de Proteção de Dados francesa. Ademais, também destacou o enorme alcance do mecanismo de busca do Google na França e o fato de que as práticas corporativas afetaram quase cinquenta milhões de usuários no país. Por fim, ela apontou os lucros consideráveis que as empresas obtiveram das receitas de publicidade geradas diretamente a partir dos dados coletados pelos cookies de publicidade emitidos de forma ilegal.
O caso da Amazon
A Amazon frança, por sua vez, infringiu dois norteadores vinculados ao artigo 82 da lei de proteção de dados francesa. Assim como o Google.fr, a Amazon também disparava cookies com fins publicitários sem a ciência ou autorização de seus usuários – e foi responsabilizada por isso. Por fim, a CNIL apontou problemas vinculados à falta de informação nos próprios avisos de cookies.
Fundamentalmente pensados para fornecerem informações e ajudarem o titular de dados na tomada de decisão sobre o tratamento de seus dados pessoais, a ferramenta da Amazon falhou. Em primeiro lugar, o comitê apontou que, no caso de um usuário que visitou o site amazon.fr, as informações fornecidas não eram claras ou completas.
Considerou, também, que o banner de informação exibido pela empresa, redigido como “Ao utilizar este site, concorda com a nossa utilização de cookies para fornecer e melhorar os nossos serviços. Saiba mais “, continha apenas uma descrição generalizada e aproximada das finalidades de todos os cookies disparados. Em particular, a CNIL relatou que, mesmo depois de ler o banner exposto no site, o usuário não era capaz de compreender que os cookies lançados em seu computador, e que tinham como objetivo principal a exibição de anúncios personalizados. Ela também observou que o banner não indica ao usuário que ele possuía o direito de recusar esses cookies.
Em seguida, o comitê restrito observou que o descumprimento da empresa com suas obrigações era ainda mais evidente no caso de usuários que acessavam o site amazon.fr após clicarem em um anúncio publicado em outro site. Ela ressaltou que, neste caso, os mesmos cookies foram colocados sem que nenhuma informação fosse emitida aos internautas.
A sanção da Amazon
Dessa forma, seguindo os mesmos norteadores que a condenação do Google, a CNIL estipulou uma multa à empresa AMAZON EUROPE CORE de 35 milhões de euros, tornada pública. O valor retido, bem como a publicação da multa, foram justificados pela gravidade das infrações verificadas, segundo decisão publicada no portal oficial da agência
