Una rara sanción de privacidad para Apple: el organismo de control de protección de datos de Francia, la CNIL, ha anunciado que impuso una sanción de 8 millones de euros (~8,5 millones de dólares) al fabricante del iPhone por no obtener el consentimiento de los usuarios móviles locales antes de colocar (y/o leer ) identificadores de anuncios en sus dispositivos en violación de la ley local de protección de datos.
La decisión de sanción se emitió el 29 de diciembre, pero no se hizo pública hasta ayer (el texto de la decisión está disponible aquí en francés).
La CNIL actúa bajo la Directiva de privacidad electrónica de la Unión Europea, que permite que las autoridades de protección de datos a nivel de los Estados miembros tomen medidas sobre las quejas locales sobre infracciones, en lugar de exigir que se remitan a un supervisor de datos principal en el país donde la empresa en cuestión tiene su sede. establecimiento principal de la UE (como sucede con el nuevo Reglamento General de Protección de Datos de la UE, o GDPR).
Si bien el tamaño de esta multa de privacidad electrónica no va a causar noches de insomnio en Cupertino, Apple aprovecha las afirmaciones de privacidad del usuario sin igual para pulir su marca premium y diferenciar los iPhones del hardware más barato que ejecuta la plataforma Android de Google, por lo que cualquier mella en su reputación de proteger los datos del usuario debería doler.
La CNIL dice que estaba actuando en una queja contra Apple por mostrar anuncios personalizados en su App Store. La acción se relaciona con una versión anterior (14.6) del sistema operativo iPhone, según la cual, después de que el organismo de control investigó en 2021 y 2022, descubrió que el gigante tecnológico no había obtenido el consentimiento previo de los usuarios para procesar sus datos para la publicidad dirigida que se sirvió. cuando un usuario visitó la App Store de Apple.
CNIL descubrió que la versión 14.6 de iOS leía automáticamente los identificadores en el iPhone del usuario, lo que cumplía una serie de propósitos, incluida la activación de anuncios personalizados en la App Store, y que el procesamiento se produjo sin que Apple obtuviera el consentimiento adecuado, en opinión del regulador, ya que el consentimiento era se recopila a través de una configuración que se verificó previamente de forma predeterminada. (Nota: la guía de la CNIL de 2019 sobre la Directiva de privacidad electrónica estipula que el consentimiento es necesario para el seguimiento de anuncios).
Del comunicado de prensa de la CNIL [translated from French with machine translation]:
Debido a su finalidad publicitaria, estos identificadores no son estrictamente necesarios para la prestación del servicio (la App Store). En consecuencia, no deben poder ser leídos y/o depositados sin que el usuario haya manifestado su consentimiento previo. Sin embargo, en la práctica, la configuración de segmentación de anuncios disponible en el icono “Configuración” del iPhone se verificó previamente de forma predeterminada.
Además, el usuario debía realizar una gran cantidad de acciones para desactivar con éxito este parámetro ya que esta posibilidad no estaba integrada en el proceso de inicialización del teléfono. El usuario tenía que hacer clic en el icono ‘Configuración’ del iPhone, luego ir al menú ‘Privacidad’ y finalmente a la sección titulada ‘Publicidad de Apple’. Estos elementos no permitieron recabar el consentimiento previo de los usuarios.
La CNIL dijo que el nivel de la multa refleja el alcance del procesamiento (que señala que se limitó a la App Store); el número de usuarios franceses afectados; y las ganancias que Apple obtiene de los ingresos publicitarios generados indirectamente a partir de los datos recopilados por los identificadores, así como el regulador que tiene en cuenta que Apple se ha puesto en cumplimiento desde entonces.
Se contactó a Apple para comentar sobre la sanción de la CNIL. Un portavoz de la compañía confirmó que planea apelar y nos envió esta declaración:
Estamos decepcionados con esta decisión dado que la CNIL ha reconocido previamente que la forma en que publicamos anuncios de búsqueda en la App Store prioriza la privacidad del usuario, y apelaremos. Manzana Search Ads va más allá que cualquier otra plataforma de publicidad digital que conozcamos al brindarles a los usuarios una opción clara sobre si desean o no anuncios personalizados. Además, Manzana Search Ads nunca realiza un seguimiento de los usuarios en aplicaciones y sitios web de terceros, y solo utiliza datos propios para personalizar los anuncios. Creemos que la privacidad es un derecho humano fundamental y que un usuario siempre debe decidir si desea compartir sus datos y con quién.
No es la primera vez que Apple enfrenta un escrutinio crítico sobre el doble estándar de privacidad. En 2020, el grupo europeo de campañas de derechos de privacidad noyb presentó una serie de quejas ante los organismos de control de protección de datos de la UE sobre un identificador para anunciantes (también conocido como IDFA) integrado en el iPhone de forma predeterminada por Apple, argumentando que la existencia de IDFA era una violación similar de la consentimiento previo al principio de seguimiento.
La compañía también ha sido acusada de hipocresía de privacidad en los últimos años por su tratamiento diferente en relación con el seguimiento de la actividad de la aplicación de los usuarios de iPhone para publicar sus propios “anuncios personalizados” frente a un requisito recientemente introducido de que las aplicaciones de terceros obtengan el consentimiento de los usuarios. – después de que introdujo la función Transparencia de seguimiento de aplicaciones (también conocida como ATT) en iOS en 2021.
Apple ha seguido cuestionando estas líneas de argumentos, alegando que cumple con las leyes de privacidad locales y ofrece un mayor nivel de privacidad y protección de datos para los usuarios de iOS que las plataformas rivales.
Mientras tanto, Francia ha sido muy activa en hacer cumplir las infracciones de privacidad electrónica contra los gigantes tecnológicos en los últimos años, con otro ejemplo el mes pasado cuando golpeó a Microsoft con una multa de 60 millones de euros por el diseño de patrón oscuro en relación con el seguimiento de cookies, después de encontrar a la empresa. no había ofrecido un mecanismo para que los usuarios rechazaran las cookies que fuera tan fácil como el botón que les presentaba para aceptarlas.
Amazon, Google y Meta (Facebook) también han recibido sanciones de la CNIL por infracciones relacionadas con cookies desde 2020. Y el año pasado, Google actualizó su ventana emergente de consentimiento de cookies en toda la UE para (finalmente) ofrecer un simple “aceptar”. opción “todo” o “rechazar todo” que se ofrece en el nivel superior.
tl;dr: Cumplimiento normativo de las obras de privacidad.
El flujo constante de ejecuciones y correcciones que las intervenciones de la CNIL han podido lograr para los usuarios en Francia a través de ePrivacy, una directiva de la UE mucho más antigua que el RGPD, ha arrojado una luz más crítica sobre el funcionamiento de esta última regulación de privacidad emblemática donde el escrutinio y la aplicación sobre los gigantes tecnológicos sigue empantanada por la compra de foros, los cuellos de botella procesales asociados y los problemas de recursos, así como por las disputas entre los reguladores sobre cómo resolver estos casos transfronterizos.
Pero si bien una queja del RGPD contra un gigante de la tecnología puede llevar años, el plural se hace cumplir, como los ~4.8 años que tomó finalizar las quejas publicitarias de “consentimiento forzado” contra dos propiedades de Meta, Facebook e Instagram, y aún con años probables de apelaciones. de esa decisión por delante (y con otras quejas aún más antiguas que siguen avanzando minuciosamente hacia una decisión final): la diferencia entre una directiva de la UE y un reglamento significa que la aplicación es pan-UE por defecto, en lugar de estar localizada en la jurisdicción del país. hacer cumplir la DPA. Eso significa que, con ePrivacy, cualquier despliegue de cumplimiento más amplio queda a discreción de una entidad sancionada, por lo que el impacto para los usuarios puede ser más localizado.
Además, cualquier sanción (eventual) del RGPD también puede ser más importante que las picaduras de privacidad electrónica: el RGPD permite multas de hasta el 4 % de la facturación anual global, mientras que la privacidad electrónica se atasca con un régimen más antiguo que deja en manos de los Estados miembros establecer sanciones “eficaces, proporcionadas y disuasorias”. (Ergo, los derechos de usuario aquí están atados a la política local).
Aunque las órdenes correctivas pueden tener mucho más impacto para la gran tecnología que las sanciones financieras dada la cantidad de ingresos que obtienen estos gigantes, ya que incluso las multas que ascienden a cientos de millones o más pueden cancelarse como solo un costo de hacer negocios. Mientras que las órdenes para cambiar las prácticas para cumplir con las leyes de privacidad pueden forzar reformas significativas.
Vale la pena señalar que la UE ha estado intentando, durante años, reemplazar la Directiva de privacidad electrónica, que ahora tiene más de dos décadas, con un Reglamento de privacidad electrónico actualizado. Sin embargo, el cabildeo de las grandes tecnológicas y las disputas de los legisladores sobre una propuesta de la Comisión de 2017 han conspirado para detener el archivo durante la mayor parte de este período.
Los Estados miembros, por fin, acordaron una posición de negociación común en febrero de 2021, lo que finalmente permitió que comenzaran las negociaciones tripartitas. Pero los debates entre los colegisladores de la UE sobre los detalles grandes y pequeños continúan, y no está claro cuándo (o incluso si) se puede llegar a un consenso.
Y eso significa que la veterana Directiva de privacidad electrónica aún puede tener años más de vida laboral, y millones más en multas tecnológicas, por delante.