noyb ha presentado hoy una denuncia contra Kurier en virtud del GDPR. Hace tan solo unos meses, los usuarios se veían obligados a aceptar las cookies de Google y otras cookies de seguimiento cuando visitaban el sitio web del diario austriaco. Con ello, la empresa infringió claramente el GDPR, hecho que también confirmó la autoridad austriaca de protección de datos: Esta ya había prohibido a la revista de noticias Profil (que forma parte del mismo grupo mediático) utilizar ese consentimiento forzado.
Consentimiento forzado. Hace sólo unos meses, cualquiera que quisiera leer un artículo en kurier.at sin aceptar un gran número de cookies de seguimiento tenía un problema irresoluble: aunque el consentimiento se daba con un solo clic, el acceso al sitio web se denegaba si se seleccionaba la opción "Rechazar", bien oculta. Los usuarios, como el denunciante a principios de marzo de 2024, se veían obligados a consentir el rastreo. Ni siquiera se implementó la opción de fácil retirada exigida por la ley. Desde entonces, el sistema se ha modificado. Ahora los usuarios tienen la opción de dar su consentimiento o suscribirse a una suscripción de pago (Pay or Okay).
Violación reiterada de la ley. No es la primera vez que la autoridad austriaca de protección de datos (DSB) se enfrenta a esta violación. noyb presentó una denuncia por un banner forzado casi idéntico en profil.at en 2022. En aquel entonces, la DSB ordenó a la revista de noticias que adaptara su sitio web y obtuviera un consentimiento conforme a la ley. Esto nunca ocurrió. En su lugar, el grupo mediático Kurier, al que pertenecen tanto Profil como Kurier, decidió extender su práctica a kurier.at e impugnar la decisión de la autoridad. Aún no hay sentencia judicial firme.
¿Violaciones del GDPR sin consecuencias? Mientras tanto, el grupo mediático Kurier ha seguido forzando el consentimiento a pesar de la orden del OSD. Por tanto, la autoridad de protección de datos debería hacer uso por fin de sus competencias e imponer una multa "efectiva, proporcionada y disuasoria". Si incluso la segunda infracción del GDPR queda sin consecuencias, podría debilitar permanentemente la posición de la DPA.
Actualización 20 de agosto de 2024: El OSD decidió que Kurier efectivamente trató datos personales ilegalmente.