Informe jurídico n.º 86 – Agosto de 2025. 

 

Cookies y segmentación de usuarios de internet: situación actual.

El 1 de septiembre, la CNIL impuso una multa de 325 millones de euros a Google y de 150 millones de euros a la filial irlandesa del grupo Shein, dos cantidades que elevarán significativamente la media de las sanciones decididas por la CNIL en los últimos meses.

Google fue sancionado por mostrar anuncios insertados entre los correos electrónicos de los usuarios de Gmail y por colocar cookies al crear cuentas de Google, sin el consentimiento válido de los usuarios franceses.

La CNIL también exige a Google que elimine esta visualización de anuncios en un plazo de seis meses y que obtenga el consentimiento válido de los usuarios para la colocación de cookies publicitarias al crear una cuenta de Google, bajo pena de una multa de 100.000 euros diarios. 

La multa impuesta a Shein también se relaciona con el incumplimiento de las normas aplicables a las cookies, que se instalan en los dispositivos de los usuarios que visitan el sitio web "shein.com".

Estas importantes multas forman parte de las diversas medidas adoptadas por la Comisión para regular el seguimiento y la segmentación de los usuarios de internet, y fueron publicadas en su sitio web en 2019.

La CNIL ya había multado a Google con 150 millones de euros en diciembre de 2021 por infringir la normativa sobre cookies y con 50 millones de euros por la falta de transparencia y claridad de su política de privacidad y por la falta de una base legal para la publicidad personalizada.

Recientemente, también sancionó a la empresa Orange por prácticas similares de envío de publicidad en forma de correos electrónicos.

Estas decisiones nos brindan la oportunidad de revisar las prácticas de segmentación de usuarios de internet y el marco legal correspondiente.

Las normas aplicables a casos específicos son específicas: la Comisión recuerda que las operaciones relacionadas con el uso de rastreadores y la prospección electrónica no se rigen por el RGPD, sino por otras normas: la directiva "ePrivacy", transpuesta al artículo 82 de la Ley de Protección de Datos para los rastreadores, y la L. 34-5 de la CPCE para la prospección comercial por medios electrónicos.

Las prácticas consideradas no conformes se refieren principalmente a la colocación de rastreadores sin el consentimiento del usuario, pero también a la creciente práctica de utilizar "muros de cookies", que condicionan el acceso del usuario a un servicio a su aceptación de la colocación de rastreadores en su terminal.

La CNIL no considera que esta práctica sea ilegal en sí misma, a diferencia de algunos de sus homólogos europeos.

Sin embargo, subraya que el consentimiento debe otorgarse libremente y que las alternativas que se ofrecen al usuario deben presentarse de forma equilibrada, sin incentivarlo a utilizar una opción en lugar de otra (por ejemplo, haciendo que una opción sea más compleja que la otra).

También es necesario que el consentimiento sea informado, lo que significa que las personas comprendan plena y claramente las consecuencias de sus decisiones.

Estas decisiones de la CNIL son también la culminación de las quejas presentadas por la ONG noyb hace más de dos años ante numerosas autoridades de protección de datos (APD) en Europa, principalmente en relación con el fenómeno de los muros de cookies o el pago por aceptación y la cuestión de la transparencia en la recopilación de datos.

Así pues, a mediados de agosto, el Tribunal Administrativo Federal austriaco siguió la opinión de la Autoridad Austriaca de Protección de Datos y consideró que la existencia de varios fines para la colocación de cookies requiere un consentimiento por separado.

Según el tribunal, agrupar diferentes fines de procesamiento infringiría la libertad de decisión e invalidaría el consentimiento.

"Este nivel de detalle está estrechamente vinculado al requisito de que el consentimiento debe otorgarse para un propósito específico", afirma la nota explicativa de la sentencia.

Estos recientes acontecimientos confirman la postura de las autoridades de supervisión de que el marco jurídico, y en particular la Directiva sobre privacidad electrónica, se aplica estrictamente al consentimiento, especialmente en lo que respecta a las cookies no esenciales.

Las autoridades ya no toleran los consentimientos "por defecto" ni las interfaces de información vagas.

       

Fue interrogado por el Senado este verano. Anton Carniaux, director de asuntos públicos y legales de Microsoft Francia, admitió que no podía "garantizar" que los datos de los ciudadanos franceses alojados en Europa nunca se transmitirían al gobierno estadounidense. bajo la Ley de Nube, aunque "esto nunca ha sucedido".

En este contexto de dependencia de los gigantes estadounidenses, el gobierno danés ha anunciado el lanzamiento oficial de una iniciativa para evaluar la integración de soluciones de código abierto en sus servicios públicos.

El 9 de septiembre, la DGE y la DGCCRF publicaron el borrador de la designación de las autoridades nacionales encargadas de la aplicación del reglamento europeo sobre IA.

El documento incluye un diagrama que muestra las numerosas autoridades competentes según los artículos pertinentes del reglamento y las finalidades del tratamiento mediante IA.

Gracias al trabajo del subdirector de la misión jurídica de DINUM, ahora es posible consultar el mapa de controles de la CNIL por año y sector de actividad.

El mapeo se centra en estos controles y no incluye todas las acciones de la CNIL, como la sensibilización sobre el terreno, las notificaciones formales, las sanciones, etc.

Se basa en los datos que la CNIL publica en data.gouv.

 

instituciones y organismos europeos

La actualidad europea está muy activa en esta época del año, debido a la actividad de las instituciones y, en particular, del Tribunal de Justicia de la Unión Europea (TJUE).

La propuesta de reglamento sobre el control de las comunicaciones ("Control de chats"), destinada a prevenir y combatir los abusos sexuales cometidos contra menores, vuelve a estar en la agenda del Consejo Europeo del 12 de septiembre de 2025, bajo la Presidencia danesa.

La propuesta revisada contempla la posibilidad de analizar las comunicaciones en el terminal del usuario antes de que se envíen y constituye, a juicio de muchos científicos y miembros de la sociedad civil, un paso atrás con respecto al texto de la presidencia polaca.

El 8 de septiembre se publicó una nueva carta abierta (la cuarta sobre este tema) firmada por más de 600 científicos de 34 países.

Hace hincapié en la ineficiencia y los riesgos de esta propuesta en términos de cifrado y menciona posibles alternativas.

El 4 de septiembre, la Comisión Europea puso en marcha el proceso para adoptar una decisión de adecuación en materia de protección de datos con Brasil.

Una vez adoptada, esta decisión será la primera decisión de adecuación para América Latina desde las relativas a Argentina el 3 de junio de 2003 y a Uruguay el 21 de agosto de 2012.

Las autoridades brasileñas también han iniciado un proceso destinado a adoptar una decisión equivalente que permita la libre circulación de datos brasileños hacia la UE.

Los siguientes pasos consistirán en presentar el proyecto de decisión para su revisión al Comité Europeo de Protección de Datos (CEPD) y al Consejo de Ministros que representa a los Estados miembros de la UE.

El Parlamento Europeo también examinará la propuesta.

El 5 de septiembre, La Comisión Europea ha anunciado que multará a Google con 2.950 millones de euros. por infringir las normas antimonopolio de la UE al distorsionar la competencia en el sector de la tecnología publicitaria ("adtech").

Supuestamente, Google favoreció sus propios servicios de tecnología publicitaria en línea en detrimento de los proveedores de servicios de tecnología publicitaria, los anunciantes y los editores en línea de la competencia.

La Comisión ordenó a Google que pusiera fin a estas prácticas de favoritismo y que implementara medidas para eliminar los conflictos de intereses inherentes a su cadena de suministro de tecnología publicitaria.

Google dispone ahora de 60 días para informar a la Comisión sobre cómo piensa proceder.

Esta sanción provocó una reacción inmediata de Estados Unidos, y Donald Trump indicó su intención de tomar medidas de represalia contra la UE.

El 3 de septiembre, en su decisión T-553/23 | Latombe contra Comisión, la El Tribunal de Justicia de la Unión Europea ha rechazado la demanda interpuesta por el eurodiputado Philippe Latombe para anular la tercera versión del acuerdo sobre transferencia de datos entre la UE y Estados Unidos. el Marco de Protección de Datos (DPF), considerando que Estados Unidos "garantizaba un nivel adecuado de protección de datos personales".

El Sr. hizo hincapié en particular en que el organismo de apelación estadounidense, el "Tribunal de Revisión de Protección de Datos" (DPRC, por sus siglas en inglés), no es imparcial y depende del poder ejecutivo.

También señaló la práctica de los servicios de inteligencia de recopilar grandes cantidades de datos personales en tránsito desde la Unión Europea, sin la autorización previa de un juez o una autoridad administrativa independiente y, por lo tanto, sin directrices suficientemente claras y precisas.

El Tribunal rechaza la solicitud de anulación.

Subraya que el funcionamiento de la DPRC está sujeto a una serie de salvaguardias, que la Comisión Europea supervisa la aplicación del DPF y considera suficiente que las actividades de inteligencia llevadas a cabo por agencias estadounidenses estén sujetas a revisión judicial posterior por parte de la DPRC.

La decisión del Tribunal de Justicia de la UE puede ser recurrida ante el TJUE, y el diputado Philippe Latombe ya ha expresado su intención de interponer dicho recurso.

El 4 de septiembre, en una sentencia importante (Asunto C-413/23 P | EDPB/CRU), el TJUE revocó una decisión del Tribunal de Justicia de la Unión Europea relativa al concepto de datos personales.

Se pronuncia sobre el recurso presentado por el Supervisor Europeo de Protección de Datos (SEPD) en relación con la sentencia del Tribunal de Justicia de la UE que anuló su decisión de 2020.

En esta decisión, el Supervisor Europeo de Protección de Datos (SEPD) concluyó que la Junta Única Europea de Resolución (JUR) había infringido el RGPD de las instituciones europeas al comunicar a una firma de contabilidad los comentarios de los acreedores y accionistas sobre el procedimiento de quiebra de un banco español.

El TJUE considera que las opiniones personales de los individuos constituyen información personal y que el Tribunal debería haberlas tratado como tal.

Asimismo, considera que el riesgo de reidentificación relacionado con el tratamiento y la transferencia de datos personales debe evaluarse caso por caso en el momento de la recogida, y que el Tribunal erró al anular la decisión inicial del CEPD, en parte porque no había determinado si el contenido de los comentarios seudonimizados contenía realmente información personal.

Sin embargo, el TJUE se puso del lado de la CRU en la cuestión de bajo qué condiciones los datos seudonimizados también pueden considerarse datos personales, escribiendo en su decisión que "Los datos seudonimizados no deben considerarse como datos personales a efectos de la aplicación (del RGPD) en todos los casos y para cada persona." en la medida en que la pseudonimización pueda, según las circunstancias del caso, impedir eficazmente que personas distintas del responsable del tratamiento identifiquen al interesado de tal manera que, para ellas, el interesado no sea o deje de ser identificable.

En otra sentencia también de fecha 4 de septiembre (Sentencia C 655/23, IP v Quirin Privatbank AG), el Tribunal se pronunció sobre la existencia de un derecho de interposición de medidas cautelares para impedir el tratamiento de datos por parte del responsable del tratamiento, y sobre el alcance del daño moral.

El Tribunal considera que el RGPD no ofrece un recurso judicial preventivo contra el tratamiento ilícito de datos en el futuro, pero que los Estados miembros pueden preverlo.

También aclaró que sentimientos como la humillación o la preocupación pueden ser suficientes para demostrar un daño moral, siempre que se presenten pruebas.

Añade que la gravedad de la falta del responsable del tratamiento de datos o la obtención de una orden judicial no deben influir en la cuantía de la indemnización, que sigue siendo exclusivamente compensatoria.

 

Noticias procedentes de los países miembros de la Unión Europea.

En Alemania, el Tribunal Federal del Trabajo dictaminó que un empleador había procesado ilegalmente los datos de salud de un empleado al vigilarlo para comprobar si estaba fingiendo su incapacidad para trabajar.

Además, le otorgó al empleado 1500 euros en concepto de daños morales.

La Autoridad Belga de Protección de Datos (APD) ha reprendido a un político que recogió la dirección de correo electrónico de una persona de una fuente pública y le envió mensajes políticos, en violación de los principios de licitud, limitación de la finalidad y transparencia del RGPD.

En España, Loro Parque, empresa que gestiona un zoológico y un parque acuático, fue multada con 250.000 euros por la APD por recoger huellas dactilares sin información ni consentimiento previos: las personas afectadas estaban obligadas a proporcionar sus huellas dactilares si tenían entradas promocionales que les daban acceso a ambos parques con una sola entrada.

Además, la APD multó a la Cámara de Comercio española con 500.000 euros por transferir los números de identificación fiscal de trabajadores autónomos a empresas privadas sin base legal.

En Italia, la APD multó a una empresa automovilística con 50.000 euros.

Esta última había organizado entrevistas de "reincorporación al trabajo" con sus empleados tras su ausencia, lo que dio lugar a una recopilación excesiva de datos, incluidos datos sensibles.

La APD también señala una violación de los principios de transparencia y validez del consentimiento de los empleados.

La Autoridad de Protección de Datos de Lituania (DPA, por sus siglas en inglés) ha ordenado a Vinted que deje de recopilar los números de teléfono de sus clientes con fines de verificación de cuentas.

Inicialmente, consideró que las razones invocadas por Vinted, a saber, la verificación de las cuentas de usuario y la garantía de la seguridad de la plataforma, no constituían un aspecto esencial del contrato entre el responsable del tratamiento de datos y el interesado.

También señaló que las condiciones de uso mencionaban otros posibles medios para verificar la identidad del usuario y que, por lo tanto, el tratamiento de datos personales no cumplía el criterio de necesidad establecido en el artículo 6(1)(b) del RGPD.

El Tribunal Administrativo Supremo de los Países Bajos dictaminó que un centro de salud mental no estaba obligado a cumplir con una solicitud de eliminación de datos.

La retención de datos era necesaria en virtud del contrato de tratamiento médico y para la gestión de los servicios del centro.

En Polonia, el banco ING Bank Śląski fue multado con 4.300.000 euros por escanear documentos de identidad sin motivo legítimo ni evaluación de riesgos..

La APD determinó que el banco había procesado datos sensibles, incluidos números PESEL y detalles de documentos, de forma innecesaria, infringiendo así el enfoque basado en el riesgo exigido por la normativa contra el blanqueo de capitales.

 

China está reforzando sus normas en materia de transferencia de datos al extranjero.

La filial de Dior en Shanghái está acusada por las autoridades de seguridad pública chinas de transferir ilegalmente datos de clientes a la sede central en Francia, sin cumplir con las normas obligatorias de evaluación de seguridad, notificación a los usuarios y cifrado.

La sucursal fue objeto de una sanción administrativa.

En Estados Unidos, 44 fiscales generales enviaron una carta a 13 empresas de inteligencia artificial, entre ellas OpenAI, CharacterAI, Replika y Meta, informándoles de que serían responsables si causaban daños a los niños.

La carta pone de relieve las recientes revelaciones relativas a las directrices técnicas de Meta para Meta AI y los chatbots de Facebook, WhatsApp e Instagram.

Este documento, aprobado por los equipos legales, políticos y técnicos de la empresa, autorizaba a los chatbots a invitar a los niños a mantener intercambios románticos o seductores con el chatbot, incluyendo comentarios sobre la apariencia de los niños, así como escenarios de juegos de rol.

A finales de agosto, el blog "Tech Community" de Microsoft anunció que la última actualización de MS Word para Windows guarda automáticamente, por defecto, los archivos de Word de los usuarios en su nube (OneDrive).

Microsoft presenta esta actualización como una mejora en seguridad, acceso, trabajo en equipo y el uso de la IA.

Si bien es posible modificar estos ajustes en las preferencias de Word, la carga predeterminada de documentos a una nube estadounidense plantea interrogantes relacionados con el RGPD, en lo que respecta a la confidencialidad de los datos y la accesibilidad de estos datos por parte de las autoridades públicas estadounidenses.

Las gafas inteligentes "Halo" están generando preocupación entre los expertos en inteligencia artificial.

L. Jarosvsky informa que estas nuevas gafas están siempre encendidas, lo graban todo y no tienen ningún indicador que avise a la gente de que están siendo grabados.

En una entrevista con TechCrunch, los fundadores de Halo supuestamente se desentendieron de toda responsabilidad, afirmando que en los estados de EE. UU. donde es ilegal grabar conversaciones en secreto sin el consentimiento de la otra persona, es responsabilidad del usuario obtener dicho consentimiento antes de usar las gafas.