El 74 % de los sitios web más visitados en Europa no respeta el consentimiento de inclusión impuesto por la GDPR, porcentaje que asciende al 76 % en el caso de Estados Unidos, eludiendo, en este caso, la Ley de Privacidad de California (CPRA). Los sitios web más visitados comparten datos personales con un promedio de 17 terceros publicitarios en los EE. UU. y seis en Europa. Así lo pone de manifiesto el “Informe sobre el estado de la privacidad del sitio web 2024”, llevado a cabo por Privado.ai, compañía especializada en la privacidad de los datos, y basado en datos de la solución de monitoreo de consentimiento de Privado, recopilados en septiembre de 2024.
La compañía decidió publicar este informe en respuesta al aumento de multas por la privacidad tanto en el “viejo continente” como en EE.UU. En Europa se han producido seis grandes sanciones desde 2018. En EE.UU. al menos diez empresas han sido multadas desde 2022 por violar el cumplimiento del consentimiento en sitios web regulados por la CPRA, la FTC (Comisión Federal de Comercio) o la HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros Médicos).
Desde Privado señalan que el intercambio de datos personales de los sitios web se ha convertido en un importante riesgo legal para las empresas de todo el mundo. Y es que, tal y como recuerdan, para cumplir con la GDPR los sitios web en Europa deben bloquear la recopilación y el intercambio de datos personales con terceros, a menos que el usuario dé su consentimiento.
Vaibhav Antil, CEO de Privado, advierte que «Con las leyes de privacidad modernas ahora en vigor, los sitios web han agregado banners de cookies en un intento por cumplir con la normativa, pero los banners generalmente están mal configurados. Especialmente a medida que la tecnología de marketing cambia constantemente en los sitios web, los equipos de privacidad necesitan pruebas continuas de consentimiento en los sitios web para garantizar el cumplimiento».
Mayores sanciones impuestas en Europa
Seis de las 20 mayores multas de la Ley de Protección de Datos europeas desde 2018 se han producido por violaciones del cumplimiento del consentimiento en los sitios web, recuerdan desde la compañía, una de ellas a Amazon, con 746 millones de euros por infracciones relacionadas con la recopilación y el tratamiento de datos personales sin obtener el consentimiento adecuado de los usuarios. Aunque la multa está relacionada con diversas cuestiones de privacidad, una de las razones clave fue la falta de transparencia y la obtención insuficiente de consentimiento para los fines de publicidad dirigida.
WhatsApp también fue sancionada con 225 millones de euros por la Comisión de Protección de Datos de Irlanda por no proporcionar una información adecuada sobre cómo se recopilan y procesan los datos personales de los usuarios. Esta compañía no cumplió con la obligación de ser transparente con los usuarios sobre la manera en que se procesan sus datos, y no obtuvo el consentimiento adecuado para compartir los datos con otras empresas del grupo Facebook.
La Comisión Nacional de Informática y Libertades (CNIL) de Francia impuso una multa de 50 millones de euros a Google en este país por no obtener un consentimiento válido para la personalización de anuncios y el tratamiento de datos personales.
H&M fue multada, con 35,3 millones de euros, por la autoridad de protección de datos de Hamburgo por infringir las leyes de privacidad al recopilar y almacenar datos sobre empleados sin su consentimiento adecuado. Y, aunque no se trataba exclusivamente de un sitio web, la falta de consentimiento en el tratamiento de los datos de los empleados a través de sistemas internos digitales también estuvo involucrada en la sanción.
En el caso de British Airways la multa de 20 millones de libras, impuesta por la el Comisionado de Información (ICO) del Reino Unido tras un ataque cibernético que comprometió los datos personales de más de 400,000 personas. Aunque la sanción fue principalmente por la falta de medidas adecuadas de seguridad, también se vinculó con la falta de transparencia en cómo se obtenía el consentimiento para el uso de los datos de los clientes, así como la forma en que se procesaban.
Twitter, en Irlanda, tampoco se libró de una sanción de 450.000 euros impuesta por la Comisión de Protección de Datos de Irlanda por no garantizar que sus políticas de privacidad y la gestión del consentimiento estuvieran correctamente implementadas, en particular en relación con los datos personales de los usuarios que eran tratados sin su consentimiento explícito en algunos casos.
