Autoridades francesas multam o TikTok por seu fluxo de consentimento de cookies enganoso
permissão de cookies
Quando se trata de permissão de cookies, o TikTok é a mais recente empresa de internet a receber uma palestra das autoridades de proteção de dados da França.
fluxo de consentimento de cookies
O fluxo de consentimento de cookies do TikTok (tiktok.com) foi objeto do anúncio da CNIL de uma multa de € 5 milhões hoje; o regulador descobriu que não era tão fácil para os usuários recusar cookies quanto aceitá-los, então o TikTok estava essencialmente manipulando o consentimento, tornando mais fácil para os visitantes do site aceitar seu rastreamento do que recusar.
Essa era a situação em junho de 2021, quando o watchdog examinou o procedimento do TikTok, e assim permaneceu até fevereiro de 2022, quando uma opção “Recusar tudo” foi adicionada ao site, momento em que o problema parecia resolvido. Dada a quantidade de usuários e crianças afetados por este caso (bem como o fato de que a aplicação foi limitada ao site e não ao aplicativo móvel), a punição relativamente modesta aplicada neste caso parece fazer sentido.
Embora os cookies de rastreamento sejam usados com mais frequência para fornecer anúncios direcionados com base nos hábitos de navegação do usuário, eles também podem ser usados para análises e outros fins.
TikTok UK e o TikTok Ireland
Embora o TikTok UK e o TikTok Ireland tenham fornecido um botão para aceitar cookies instantaneamente, o CNIL descobriu que nenhuma das empresas implementou um mecanismo (botão ou não) para permitir que o usuário da Internet negue seu depósito da mesma maneira direta. O cão de guarda observou em um comunicado de imprensa [do francês com tradução automática] que “recusar todos os cookies exigia vários cliques, mas aceitá-los exigia apenas um”.
“O Comitê restrito considerou que tornar o mecanismo de recusa mais complexo, na verdade, desencoraja os usuários a recusar cookies e os encoraja a favorecer a facilidade do botão “Aceitar tudo””, acrescentou, dizendo que descobriu que o TikTok violou um requisito legal para liberdade de consentimento — uma violação do Artigo 82 da Lei de Proteção de Dados da França “uma vez que não era tão simples recusar cookies quanto aceitá-los”.
Além disso, a CNIL determinou que o TikTok não informou os usuários sobre os objetivos dos cookies “de maneira suficientemente específica”, tanto no banner de informações exibido no primeiro nível do consentimento do cookie quanto no contexto da “interface de escolha” que estava disponível após clicar em um link oferecido no banner. Portanto, várias violações do artigo 82 foram descobertas.
Ao contrário do Regulamento Geral de Proteção de Dados da UE (GDPR), que exige que as reclamações que afetam os usuários em todo o bloco sejam encaminhadas a um supervisor principal de dados em um país da UE de estabelecimento principal (se uma empresa reivindicar esse status, como o TikTok faz com a Irlanda para o GDPR), a França tomou medidas de execução sob a Diretiva de Privacidade Eletrônica da UE.
Devido a isso, o regulador francês emitiu uma série de imposições sobre infrações de cookies de Big Tech nos últimos anos, incluindo empresas como Amazon, Google, Facebook e Microsoft com algumas multas pesadas (e ordens de correção) desde 2020, após uma atualização de 2019. à sua orientação sobre a Diretiva de Privacidade Eletrônica, que estipulava que o consentimento é necessário para o rastreamento de anúncios.
Os esforços da França para limpar o consentimento de cookies parecem ser um complemento útil para o ritmo mais lento da aplicação transfronteiriça do GDPR, que só agora está começando a ter efeito nos modelos de negócios baseados em anúncios centrados no rastreamento sem consentimento (consulte, para exemplo, as decisões finais contra o Facebook e o Instagram emitidas pela Comissão Irlandesa de Proteção de Dados neste mês).
A aplicação de cookies de ePrivacy da CNIL é crucial, pois garante que a qualidade do consentimento adquirido seja livre e justo, em vez de ser influenciada pela aplicação de métodos de design enganosos, como tradicionalmente ocorre ao coletar informações do usuário para fins de rastreamento e criação de perfil.
No verão de 2018, por exemplo, as autoridades de proteção de dados da UE intervieram para impedir que o TikTok mudasse sua base legal para processar os dados das pessoas para exibir anúncios “personalizados” de confiar no consentimento do usuário para uma reivindicação de interesse legítimo (o que implica que pretendia parar de perguntar usuários para consentimento) (e provavelmente violam o GDPR também).
regulamentos de ePrivacy
Os regulamentos de ePrivacy só são aplicáveis dentro do mercado doméstico do regulador (França), mas seu alcance pode se estender além das fronteiras do país. Após uma multa da CNIL, o Google, por exemplo, atualizou seus procedimentos de consentimento de cookies em toda a União Europeia. Aplicar uma variedade de configurações de conformidade para vários mercados da UE pode não ser a melhor resposta para todos os negócios, mas é mais caro do que usar um único (alto) padrão em toda a linha. Como resultado, a UE pode usar a imposição de ePrivacy para estabelecer padrões.
Para obter sua opinião sobre a punição do CNIL, entramos em contato com o TikTok. Declaração da corporação fornecida a nós por um porta-voz:
O que eles estão falando
Essas descobertas estão relacionadas a práticas anteriores que abordamos no ano passado, incluindo facilitar a rejeição de cookies não essenciais e fornecer informações adicionais sobre os propósitos de determinados cookies. A própria CNIL destacou nossa cooperação durante a investigação e a privacidade do usuário continua sendo uma prioridade para o TikTok.