CNIL multa Google e Facebook em 150 milhões de euros por vício no consentimento de cookies

Foi publicada ontem (6), uma decisão emitida em 31 de dezembro de 2021, na qual a CNIL – Autoridade Francesa de proteção de dados, multou a Google LLC e a Google Ireland Limited em 90 e 60 milhões de euros (R$577,89 milhões e R$385,26 milhões, aproximadamente com cotação atual) respectivamente. O motivo envolve a não observância de todos os requisitos necessários para que o consentimento (e sua revogação) sejam válidos perante o GDPR.

A autoridade informou que a recusa no uso de cookies no site google.fr e no youtube.com ferem o artigo 82 da lei interna nº78-17 sobre o Processamento, Arquivos de Dados e Liberdades Individuais referente a dados pessoais. Na sequência, foi realizada uma auditoria online conduzida pela CNIL como parte de sua campanha mais ampla de aplicação de suas diretrizes e recomendações sobre cookies, onde as infrações foram confirmadas e encaminhadas para a sanção financeira.

Aceite dos cookies era desproporcionalmente mais fácil do que sua recusa

A comissão restrita da CNIL constatou, após investigação, que os sites do google França e youtube ofereciam de forma facilitada o botão de aceite imediato para instalação de cookies, contudo, sua recusa necessitava de “vários cliques”, segundo a Autoridade. “No entanto, eles não implementam uma solução equivalente (botão ou outro) para permitir ao usuário recusar facilmente o depósito desses cookies. Vários cliques são necessários para recusar todos os cookies, contra apenas um para aceitá-los” Afirma a decisão.

Portanto, enfatizando o princípio estabelecido nas recomendações e diretrizes de cookies, de que os controladores de dados devem oferecer aos usuários a possibilidade de aceitar e recusar cookies e outros rastreadores com o mesmo grau de simplicidade, a CNIL considerou que tal mecanismo de recusa não oferece o mesmo grau de facilidade que o mecanismo de manifestação do consentimento, desconsiderando, portanto, as regras relativas à liberdade de consentimento. Segundo a análise da Autoridade, tal configuração constitui uma violação direta  do artigo 82 da Lei de Proteção de Dados interna da França (equivalente).

Sanção financeira e multas por atraso

Além das multas, o comitê restrito ordenou às empresas que disponibilizassem aos internautas localizados na França, no prazo de 3 meses, um meio de recusa de cookies tão simples quanto o existente para aceitá-los, a fim de garantir a liberdade de seu consentimento. Caso contrário, cada uma das empresas deverá  pagar uma multa no montante de 100.000 euros por dia de atraso.

Ambas as determinações fazem parte da estratégia geral de compliance iniciada pela CNIL há mais de 2 anos com players franceses e estrangeiros que detêm o controle de sites de alto tráfego e, ainda sim, mantem práticas contrárias à legislação sobre cookies e proteção de dados pessoais.

Desde 31 de março de 2021, data do término do prazo concedido a sites e aplicativos móveis para cumprimento das novas regras de rastreadores, a CNIL adotou cerca de 100 medidas corretivas (notificações formais e sanções) em relação ao não cumprimento com a legislação sobre cookies.