- CNIL impone 325 M€ a Google y 150 M€ a Shein por cookies sin consentimiento.
- El regulador detecta "muro de cookies" y anuncios en Gmail sin permiso válido.
- En Shein, las cookies seguían activas incluso tras rechazarlas, con 12 M de visitas/mes.
- Ambas compañías apelarán; Google tiene 6 meses para corregir o pagará 100.000 € al día.
La autoridad francesa de protección de datos, la CNIL, ha impuesto sanciones millonarias a dos gigantes tecnológicos por incumplir las reglas sobre consentimiento de cookies. En concreto, Google afronta 325 millones de euros y Shein 150 millones tras constatarse prácticas que vulneraban la normativa vigente en Francia.
El regulador sostiene que ambas compañías instalaron o mantuvieron cookies sin autorización válida o sin respetar la elección del usuario. Tanto Google como Shein han confirmado que recurrirán la decisión, mientras la CNIL subraya que estas medidas encajan en su estrategia de control del consentimiento digital iniciada hace años.
Qué sanciona exactamente la CNIL
De acuerdo con la CNIL, el núcleo del problema está en el consentimiento inequívoco y libre exigido por el RGPD y la Directiva ePrivacy. El organismo documentó prácticas donde la negativa no se respetaba o donde aceptar cookies era la vía predeterminada, con información insuficiente.
El supervisor francés remarca que desde 2020 ha multado reiteradamente conductas similares, advirtiendo al mercado de que el consentimiento debe ser tan fácil de rechazar como de aceptar y que no caben atajos en materia de transparencia.
El caso Google: consentimiento viciado y anuncios en Gmail
La multa a Google asciende a 325 millones de euros en total, repartidos entre Google LLC (200 M€) y Google Ireland (125 M€). La CNIL reprocha, entre otros puntos, la presencia de anuncios en las pestañas «Promociones» y «Social» de Gmail sin obtener un permiso previo válido conforme a la normativa francesa.
El regulador también cuestiona el diseño de alta de cuentas, al considerar que planteaba un «muro de cookies» que inducía a aceptar el rastreo publicitario. Esta configuración, a juicio de la CNIL, no garantizaba una elección libre e informada por parte del usuario.
Las cifras ilustran el alcance: la CNIL alude a más de 74 millones de cuentas de usuarios en Francia y a 53 millones de personas expuestas a esa publicidad insertada en Gmail. Los inspectores sostienen que el consentimiento no era suficientemente claro ni equilibrado.
Además de la sanción económica, Google dispone de seis meses para adecuar sus sistemas; si no lo hace, se arriesga a 100.000 euros diarios de penalización. La empresa señala que ya ha introducido mejoras y que apelará el fallo; fuentes del caso indican que la fiscalía llegó a plantear una sanción de hasta 520 M€, superior a la finalmente impuesta.
El caso Shein: cookies activas pese al rechazo del usuario
La CNIL sanciona a Shein con 150 millones de euros tras constatar, en pruebas realizadas en agosto de 2023, que ciertas cookies seguían funcionando incluso cuando el usuario optaba por no aceptarlas. También se detectó la colocación de cookies publicitarias desde el primer acceso, antes de cualquier elección.
El regulador subraya el carácter masivo de la práctica: la web francesa de Shein registra en torno a 12 millones de visitas mensuales. La autoridad añade que la compañía «debía conocer sus obligaciones» vista la abundante casuística sancionadora desde 2020.
Como contexto económico, la cuantía de 150 M€ supone alrededor del 2% de los 7.684 millones de euros que Shein declaró como ingresos en Europa en 2023 (la empresa está registrada en Irlanda). La CNIL también precisa que la plataforma introdujo correcciones durante el procedimiento.
Shein ha reaccionado con firmeza: cataloga la multa de desproporcionada, aprecia sesgo en el proceso y sostiene que ha colaborado plenamente. La empresa impugnará la decisión ante las instancias competentes, insistiendo en que su cumplimiento actual es adecuado.
Tendencia regulatoria y precedentes
La actuación contra Google y Shein se inscribe en una línea de trabajo en la que Francia se ha posicionado como punta de lanza regulatoria en Europa. El foco: práctica de cookies, mecanismos oscuros de consentimiento y publicidad personalizada sin autorización válida.
Entre los precedentes recientes destacan sanciones a Amazon, Meta y TikTok por problemas de consentimiento, diseño asimétrico entre aceptar y rechazar o información insuficiente. La CNIL reitera que la transparencia no es optativa y que el usuario debe poder ejercer su elección sin fricciones.
Qué cambia para usuarios y empresas
Para las compañías con tráfico masivo en Francia, el mensaje es claro: hay que revisar banners y flujos de alta para garantizar que rechazar sea tan sencillo y visible como aceptar, evitando diseños que condicionen la decisión del usuario.
En el plano publicitario, es previsible una mayor dependencia de enfoques contextuales y de soluciones respetuosas con la privacidad cuando el consentimiento no se logra. La medición y la segmentación deberán apoyarse en datos mejor calificados y permisos explícitos.
Para los ciudadanos, estos expedientes refuerzan el derecho a decidir sobre el rastreo, con garantías adicionales frente a prácticas opacas. La CNIL recuerda que retirar el consentimiento debe ser posible en cualquier momento y con la misma facilidad que otorgarlo.
Las claves, de un vistazo
-
Google: 325 M€, anuncios en Gmail sin permiso previo válido, «muro de cookies» en el alta y plazo de 6 meses para corregir.
-
Shein: 150 M€, cookies operativas tras el rechazo y colocación previa a la elección del usuario; 12 M de visitas/mes.
-
Base legal: RGPD y Directiva ePrivacy, con énfasis en consentimiento libre, informado y fácilmente revocable.
-
Escenario: la CNIL endurece su vigilancia sobre cookies y prácticas de diseño que condicionan la decisión.
El expediente a Google y Shein por las cookies constituye una llamada de atención a todo el sector digital: sin consentimiento válido no hay publicidad personalizada, y quien cruce esa línea asumirá sanciones elevadas y obligaciones de corrección en plazos estrictos, con el usuario en el centro de la ecuación.