Caso Orange: Multa histórica de la CNIL y paralelismos con la legislación española

El reciente caso de Orange frente a la Comisión Nacional de la Informática y las Libertades de Francia (CNIL) ha puesto de manifiesto una vez más la importancia del cumplimiento normativo en materia de protección de datos y privacidad en el entorno digital. La multa impuesta, que asciende a 50 millones de euros, surge de dos incumplimientos clave: la falta de consentimiento para el envío de comunicaciones comerciales electrónicas y el tratamiento indebido de cookies tras la revocación del consentimiento.

Orange utilizó su plataforma de correo electrónico, “Mail Orange”, para mostrar anuncios publicitarios en las bandejas de entrada de los usuarios con apariencia de correos electrónicos convencionales. Sin embargo, en ningún momento solicitó consentimiento para la visualización de estos anuncios. Además, la empresa no ofreció mecanismos claros para que los usuarios pudieran oponerse a su recepción. Estos hechos vulneran el artículo L.34-5 del Code des postes et des communications électroniques (en adelante, «CPCE»), alineado con el marco europeo establecido en la Directiva ePrivacy (2002/58/CE).

El artículo 13 de la Directiva ePrivacy establece que las comunicaciones comerciales no solicitadas requieren consentimiento previo, libre, específico e informado por parte del destinatario. Este principio fue reafirmado por el Tribunal de Justicia de la Unión Europea (TJUE) en su sentencia de 25 de noviembre de 2021, donde se determinó que la visualización de anuncios en bandejas de entrada con apariencia de correos electrónicos constituye una forma de marketing directo, y por lo tanto, debe cumplir con los requisitos de consentimiento.

Asimismo, el artículo 288 del Tratado de Funcionamiento de la Unión Europea (TFUE) señala que las directivas son vinculantes en cuanto al resultado que deben lograr, permitiendo a los Estados miembros flexibilidad en su implementación. Sin embargo, la armonización en la aplicación de estas normas es clave.

En este sentido, la CNIL desestimó los argumentos de Orange, que intentó señalar una contradicción entre el CPCE y la Directiva ePrivacy. La autoridad francesa aclaró que la legislación nacional debe interpretarse de forma coherente con las disposiciones europeas, garantizando así una protección uniforme en toda la Unión Europea.

La CNIL también concluyó que Orange, como proveedor del servicio de mensajería electrónica, es directamente responsable del cumplimiento de estas obligaciones, independientemente de la responsabilidad que puedan tener los anunciantes.

Por otro lado, Orange también continuó leyendo cookies publicitarias y estadísticas en su sitio web, incluso después de que los usuarios hubieran revocado su consentimiento. Aunque se ofrecía una interfaz para la retirada de dicho consentimiento, esta no garantizaba la detención efectiva de la lectura de cookies. Los datos recopilados eran enviados a servidores externos, fuera del control de los usuarios.

El artículo 82 de la Ley de Protección de Datos francesa exige que cualquier acceso o almacenamiento de información en dispositivos electrónicos debe contar con el consentimiento previo del usuario, que debe ser revocable de forma efectiva. La continuidad en la lectura de cookies tras la retirada del consentimiento constituye una infracción, independientemente de si la información es utilizada posteriormente.

La CNIL impuso una multa de 50 millones de euros, siguiendo los criterios del artículo 83.4 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, «RGPD»), debido al carácter intrusivo de su publicidad y de la lectura de cookies tras la revocación del consentimiento. La sanción se basa en la gravedad de las infracciones, el número de usuarios afectados (más de 250.000 anuales) y el beneficio económico obtenido, considerando el volumen de negocio global de 44,1 mil millones de euros como referencia.

En España, el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, «LSSICE») prohíbe el envío de comunicaciones comerciales no solicitadas por medios electrónicos sin consentimiento previo. Esta normativa transpone directamente el artículo 13 de la Directiva ePrivacy, estableciendo un paralelismo con el artículo L.34-5 del CPCE. Asimismo, el artículo 22.2 de la LSSICE regula el uso de cookies, exigiendo que su instalación y lectura cuenten con un consentimiento previo, informado y libre, y que su retirada sea respetada de forma efectiva. Este artículo se asemeja al artículo 82 de la Ley de Protección de Datos francesa. Estas disposiciones están alineadas con los principios del artículo 6 del RGPD, que establece las bases legales para el tratamiento de datos personales, y el artículo 7 del RGPD, que regula las condiciones para que el consentimiento sea válido.

En España, el incumplimiento de estas disposiciones podría conllevar sanciones tanto en el marco de la LSSICE como del RGPD. Según el artículo 83.4 del RGPD, las infracciones graves relativas al consentimiento pueden acarrear sanciones de hasta 10 millones de euros o el 2% del volumen de negocio global anual. Por su parte, la LSSICE establece sanciones específicas según la gravedad de la infracción. Las infracciones graves, recogidas en el artículo 38.3.c, pueden sancionarse con multas de hasta 150.000 euros, mientras que las infracciones leves, reguladas en el artículo 38.4.g, tienen una sanción máxima de 30.000 euros.

Por tanto, el caso de Orange subraya la importancia de implementar mecanismos efectivos para la obtención y gestión del consentimiento en las comunicaciones electrónicas y el uso de cookies. Tanto la normativa francesa como la española se encuentras alineadas con el Derecho de la Unión Europea. En el contexto español, una infracción similar podría acarrear sanciones tanto en virtud del RGPD como de la LSSICE, con un impacto financiero significativo.

Las organizaciones deben asegurarse de cumplir con los requisitos legales en todas sus prácticas de marketing digital y gestión de cookies, garantizando siempre el respeto a los derechos de los usuarios y la transparencia en el tratamiento de sus datos. Para más información o asesoramiento personalizado, no dude en ponerse en contacto con nuestro equipo.

Mar González Beltrán
mar.gonzalez@deloyers.com

Cookie	Duración	Descripción
__utma	2 años	Se usa para distinguir usuarios y sesiones. La cookie se crea cuando se ejecuta la biblioteca JavaScript y no hay ninguna cookie __utma. La cookie se actualiza cada vez que se envían datos a Google Analytics.
__utmb	30 minutos	Se usa para determinar nuevas sesiones o visitas. La cookie se crea cuando se ejecuta la biblioteca JavaScript y no hay ninguna cookie __utmb. La cookie se actualiza cada vez que se envían datos a Google Analytics.
__utmc	Fin de sesión	No se usa en ga.js. Se configura para interactuar con urchin.js. Anteriormente, esta cookie actuaba junto con la cookie __utmb para determinar si el usuario estaba en una nueva sesión o visita.
__utmt	10 minutos	Se usa para limitar el porcentaje de solicitudes.
__utmv	2 años	Se usa para almacenar datos de variables personalizadas de visitante. Esta cookie se crea cuando un programador usa el método _setCustomVar con una variable personalizada de visitante. También se usaba para el método _setVar retirado. La cookie se actualiza cada vez que se envían datos a Google Analytics.
__utmz	6 meses	Almacena la fuente de tráfico o la campaña que explica cómo ha llegado el usuario al sitio. La cookie se crea cuando se ejecuta la biblioteca JavaScript y se actualiza cada vez que se envían datos a Google Analytics.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Analíticas".
cookielawinfo-checkbox-functional	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Funcionales".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-others	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otras".

Caso Orange: Multa histórica de la CNIL y paralelismos con la legislación española

¿Hablamos?

CONTACTO

Caso Orange: Multa histórica de la CNIL y paralelismos con la legislación española

Aviso de cookies