No contexto: Recentemente, vimos um grande impulso para a privacidade do usuário na internet. Além do Regulamento Geral de Proteção de Dados (GDPR), os países europeus recuaram em vários casos em que a coleta de dados e o rastreamento de usuários estão relacionados.
O mais recente neste esforço focado na privacidade vem da França, onde a Commission nationale de l’informatique et des libertés (CNIL) multou o Google em 150 milhões de euros (US$ 170 milhões) e o Facebook em 60 milhões de euros (US$ 68 milhões) por fazer opt-out de cookies muito confusos para os usuários. Além das multas, ambas as empresas têm 90 dias para fazer alterações que permitam que os cookies sejam rejeitados mais facilmente ou sejam multados em € 100.000 por dia.
De acordo com a CNIL, o Facebook e o Google usam "padrões escuros" para induzir os usuários a aceitar cookies de rastreamento. Padrões escuros são métodos de projetar uma interface de usuário de uma maneira que confunde o usuário ou o leva a acreditar que não tem escolha – por exemplo, apresentar uma caixa de diálogo que força os usuários a aceitar cookies antes de acessar o conteúdo e, em seguida, ocultar os meios para rejeitar cookies atrás de outros menus.
O Google emprega um padrão escuro semelhante ao exemplo acima. O watchdog diz que os sites do Google, incluindo o YouTube, oferecem uma maneira de aceitar todos os cookies com um clique, mas os usuários precisam navegar por vários menus para rejeitar todos os cookies. A CNIL diz que o Google intencionalmente dificulta a rejeição de cookies para que os usuários sigam o caminho mais fácil e apenas os aceitem.
No caso do Facebook, a CNIL diz que a empresa também oferece uma solução de um clique para aceitar todos os cookies, mas exige vários cliques para recusá-los. Além disso, o Facebook rotula enganosamente o botão para desativar "Aceitar cookies", levando as pessoas a acreditar que não têm escolha.
A CNIL diz que ambas as instâncias violam a lei europeia, exigindo que os cidadãos compreendam suas decisões completamente ao consentir a coleta de dados. Curiosamente, o CNIL não está contando com a lei GDPR atual em nenhum dos casos. Em vez disso, está empregando uma legislação mais antiga chamada ePrivacy Directive.
O TechCrunch observa que os reguladores de privacidade da Irlanda impõem violações do GDPR apresentadas por qualquer membro da UE, mas são muito lentos para agir. Muitas empresas de tecnologia dos EUA localizam suas sedes europeias na Irlanda, principalmente por causa da tributação e regulamentação mais relaxadas. No entanto, a Diretiva ePrivacy permite que as nações europeias apliquem penalidades diretamente em seus próprios países. Portanto, a França está usando para garantir que o Facebook e o Google sejam responsabilizados em tempo hábil.