Què passa quan no es recull el consentiment: Multes reals i estudis de cas
Penses que els bàners de consentiment són opcionals? Penses que un simple avís de cookies és suficient? Els reguladors no hi estan d'acord — i tenen les proves. Des que el GDPR va entrar en vigor el 2018, les autoritats de protecció de dades d'Europa i arreu del món han imposat més de 4.500 milions d'euros en multes. Moltes d'aquestes estaven directament relacionades amb errors en la recollida d'un consentiment vàlid de l'usuari.
Aquí tens els casos reals, les xifres reals i el que signifiquen per al teu negoci.
Les multes més grans relacionades amb el consentiment de la història
Meta (Facebook/Instagram) -- Irlanda, 2023
La DPC irlandesa va constatar que Meta havia transferit dades d'usuaris de la UE als EUA sense mecanismes legals vàlids ni el consentiment adequat. Aquesta continua sent la multa GDPR més gran mai imposada. Meta també va ser multada amb 390 milions d'euros el gener de 2023 per obligar els usuaris a acceptar publicitat personalitzada com a condició per utilitzar Facebook i Instagram — una clara violació del requisit de consentiment «lliurement atorgat».
Amazon -- Luxemburg, 2021
Amazon va ser multada per processar dades personals amb fins de publicitat dirigida sense el consentiment adequat dels usuaris. L'autoritat de protecció de dades de Luxemburg (CNPD) va determinar que el sistema de segmentació publicitària d'Amazon no complia els requisits de consentiment del GDPR.
Google -- França (CNIL), 2022
La CNIL va multar Google perquè el seu mecanisme de consentiment de cookies a google.fr i youtube.com permetia acceptar totes les cookies amb un sol clic, però requeria múltiples clics per rebutjar-les. Es va dictaminar que aquest disseny asimètric — que fa que el rebuig sigui més difícil que l'acceptació — constitueix una violació del principi de consentiment «lliurement atorgat».
TikTok -- Irlanda, 2023
TikTok va ser multada per processar dades personals de menors sense el consentiment adequat ni mesures de transparència. La DPC va constatar que els comptes dels menors estaven configurats com a públics per defecte i que la configuració de privadesa de la plataforma no era prou accessible.
Criteo -- França (CNIL), 2023
L'empresa de tecnologia publicitària va ser multada per recopilar dades de navegació de milions d'usuaris mitjançant cookies de seguiment sense demostrar que s'havia obtingut un consentiment vàlid. La CNIL va constatar que Criteo no podia demostrar una cadena de consentiment vàlida des dels llocs web on es col·locaven les cookies.
No només les grans tecnològiques: Multes a petites empreses
No pensis que les multes són només per a les grans tecnològiques. Les autoritats de protecció de dades d'Europa multen regularment petites i mitjanes empreses per infraccions de consentiment:
- AEPD espanyola: Imposa regularment multes de 2.000 a 60.000 euros a petites empreses per deixar caure cookies sense consentiment o per no tenir polítiques de cookies.
- Garante italià: Va multar un petit lloc de comerç electrònic amb 20.000 euros per utilitzar Google Analytics sense mecanismes vàlids de transferència de consentiment.
- CNIL francesa: Va multar un lloc web de salut amb 150.000 euros per recopilar dades sensibles mitjançant formularis sense consentiment explícit.
- DSB austríaca: Va dictaminar que l'ús de Google Analytics sense consentiment és il·legal, establint un precedent que va afectar milers de negocis.
- APD belga: Va multar IAB Europe amb 250.000 euros per problemes en les cadenes de consentiment del TCF, demostrant que fins i tot el marc de consentiment en si mateix està subjecte a mesures d'aplicació.
Més enllà de les multes: Els costos ocults
Les sancions econòmiques només són la punta de l'iceberg. El dany real sovint inclou:
- Dany reputacional: Les multes GDPR són un registre públic. La teva marca s'associa amb violations de privadesa en notícies i resultats de cerca.
- Pèrdua d'ingressos publicitaris: Sense un CMP certificat, Google pot restringir la publicació d'anuncis a l'EEE. Els editors han informat d'una caiguda d'ingressos del 30-70% quan la seva configuració de consentiment no és conforme.
- Costos legals: Defensar-se de les denúncies, respondre a investigacions de les APD i reestructurar les pràctiques de dades pot costar centenars de milers en honoraris legals.
- Interrupció operativa: Les APD poden ordenar-te que deixis de processar dades completament fins que s'assoleixi el compliment — paralitzant efectivament el teu negoci en línia.
- Risc d'accions col·lectives: El GDPR permet accions legals col·lectives. Organitzacions de consumidors d'Àustria, França i Alemanya han presentat demandes col·lectives contra empreses per infraccions de consentiment.
Els errors de consentiment més comuns que donen lloc a multes
- Caselles de consentiment marcades prèviament: El GDPR ho prohibeix explícitament. El consentiment ha de ser una acció afirmativa.
- Murs de cookies: Bloquejar l'accés al contingut tret que els usuaris acceptin totes les cookies no és un consentiment «lliurement atorgat».
- Botons asimètrics: Destacar «Acceptar» mentre s'amaga o es minimitza «Rebutjar» viola el principi de consentiment lliure.
- Consentiment agrupat: Combinar el consentiment per a múltiples finalitats en una única acció d'«Acceptar» priva els usuaris de l'elecció específica a la qual tenen dret.
- Sense mecanisme de retirada: Si els usuaris no poden canviar o retirar fàcilment el consentiment, tota la recollida de consentiment és invàlida.
- Registres de consentiment absents: Sense registres amb marca de temps que mostrin qui va donar el consentiment, quan i per a quines finalitats, no pots demostrar el compliment durant una auditoria.
- Seguiment abans del consentiment: Carregar analítiques, píxels publicitaris o scripts de màrqueting abans que l'usuari faci una elecció és la infracció més habitual — i la més fàcilment detectable.
Com detecten els reguladors el no-compliment
Les autoritats de protecció de dades no esperen simplement les denúncies. Escanegen activament llocs web amb eines automatitzades que detecten:
- Cookies que es configuren abans de qualsevol interacció de consentiment
- Bàners de consentiment absents o incomplets
- Cadenes de consentiment invàlides o caducades
- Scripts de seguiment que s'activen abans que es registri el consentiment
- Dissenys de bàner asimètrics que afavoreixen l'acceptació
La CNIL francesa, per exemple, ha escanejat milers de llocs web i ha imposat desenes de multes basant-se únicament en la detecció automatitzada — sense cap denúncia d'usuari.
Com és el consentiment adequat el 2026
Per evitar multes i protegir el teu negoci, la teva implementació de consentiment ha de:
- Bloquejar totes les cookies i scripts no essencials fins que es doni el consentiment explícit
- Proporcionar el mateix pes visual a les opcions d'acceptar i rebutjar
- Permetre una elecció granular per categoria de cookie (analítiques, màrqueting, funcionals)
- Emmagatzemar registres de consentiment amb marques de temps i identificadors d'usuari
- Donar suport a IAB TCF 2.3 per a la publicitat programàtica
- Integrar Google Consent Mode V2 per a la publicació d'anuncis conforme
- Permetre la retirada fàcil del consentiment en qualsevol moment
- Mostrar en l'idioma de l'usuari
Com et protegeix FlexyConsent
FlexyConsent està creat específicament per prevenir les infraccions descrites anteriorment:
- Bloqueig automàtic de scripts: Cap seguiment s'activa fins que es doni el consentiment
- Disseny de bàner conforme: Botons d'acceptar/rebutjar iguals, sense patrons obscurs
- Registres preparats per a auditories: Cada decisió de consentiment es registra amb marques de temps
- CMP certificat per Google: Compleix els requisits de Google per a la publicació d'anuncis a l'EEE
- IAB TCF 2.3: Cadenes de consentiment vàlides per a la publicitat programàtica
- Consent Mode V2: Integració nativa de Google per a la continuïtat de la mesura
- 43 idiomes: Localització automàtica per a visitants globals
- Geosegmentació: Bàners adequats a la regió per a GDPR, CCPA, LGPD i més