La Commission nationale de l’informatique et des libertés (CNIL), l’Autorità garante per la protezione dei dati francese, ha inflitto una sanzione complessiva di 325 milioni di euro a Google per un presunto utilizzo di cookie senza consenso e l’inserimento di annunci pubblicitari in Gmail.
Il procedimento nasce da un reclamo presentato dall’associazione NOYB (None Of Your Business) nell’agosto 2022, che aveva denunciato pratiche scorrette legate all’uso della posta elettronica Gmail e al processo di creazione degli account Google.
Secondo le verifiche ispettive svolte tra il 2022 e il 2023, Google avrebbe mostrato messaggi pubblicitari simili a e-mail nelle schede “Promozioni” e “Social” di Gmail, senza previo consenso degli utenti.
Parallelamente, il percorso di creazione di un account Google era strutturato in modo da rendere più complesso il rifiuto dei cookie pubblicitari personalizzati rispetto alla loro accettazione, inducendo così gli utenti ad acconsentire senza essere adeguatamente informati.
Le violazioni hanno interessato oltre 74 milioni di account, di cui circa 53 milioni di utenti hanno effettivamente visualizzato gli annunci incriminati.
Indice degli argomenti
Il colosso di Mountain View sotto la lente dei garanti europei
Google LLC, con quartier generale a Mountain View in California, è oggi uno dei player tecnologici più influenti al mondo.
Dalla sua fondazione nel 1998 ha diversificato i propri servizi, passando dal motore di ricerca Google Search alla posta elettronica Gmail, da Google Maps a YouTube, fino a una galassia di applicazioni e piattaforme integrate nell’ecosistema digitale globale.
Con oltre 70 sedi operative in circa 50 Paesi e una forza lavoro globale che nel 2024 superava le 187.000 persone, la società è dal 2015 interamente controllata dalla holding Alphabet Inc., che nel 2024 ha registrato ricavi per 350 miliardi di dollari e utili superiori ai 100 miliardi.
Nel contesto europeo, il gruppo opera principalmente tramite Google Ireland Limited (GIL), incaricata della gestione dei prodotti nello Spazio economico europeo e in Svizzera, che nel solo 2022 ha generato oltre 72,6 miliardi di euro di fatturato. A livello locale, Google France, con sede a Parigi, costituisce l’articolazione sul territorio francese.
L’ampiezza delle dimensioni economiche e l’estensione della base utenti spiegano perché i procedimenti sanzionatori abbiano un impatto rilevante: basti pensare che, tra aprile 2021 e ottobre 2023, milioni di account Google sono stati creati da residenti in Francia, rendendo Gmail e i servizi connessi strumenti centrali nella vita quotidiana digitale.
Contesto internazionale e tensioni antitrust
La sanzione CNIL si inserisce in un contesto di crescente attenzione europea verso le pratiche dei grandi operatori digitali. Nei giorni precedenti, Google è stata multata dall’Autorità antitrust europea con 2,95 miliardi di euro per abuso di posizione dominante nel mercato della pubblicità digitale, con l’accusa di favorire i propri servizi a discapito di editori e concorrenti.
La decisione ha suscitato la reazione di Donald Trump, che ha definito la multa “ingiusta” e “discriminatoria” nei confronti delle aziende americane e ha minacciato l’imposizione di nuovi dazi tramite la Sezione 301 del Trade Act del 1974, nel caso la sanzione non venga annullata.
Trump ha inoltre incontrato Sundar Pichai, CEO di Google, per discutere della situazione e sottolineare l’intenzione di difendere le aziende americane da penalità “ingiustificate”.
E sul tema si inserisce la dichiarazione completa del Presidente della Repubblica, Sergio Mattarella, rilasciata il 6 settembre 2025 durante il Forum Ambrosetti di Cernobbio:
“Il mondo ha bisogno dell’Europa. Per ricostruire la centralità del diritto internazionale che è stata strappata. Per rilanciare la prospettiva di un multilateralismo cooperativo. Per regole che riconducano al bene comune lo straripante peso delle corporazioni globali – quasi nuove Compagnie delle Indie – che si arrogano l’assunzione di poteri che si pretende che Stati e Organizzazioni internazionali non abbiano a esercitare”.
In questa dichiarazione, Mattarella sottolinea la necessità di un’Europa unita e forte per contrastare l’influenza crescente delle grandi corporazioni globali, paragonate alle storiche “Compagnie delle Indie”, che esercitano poteri che dovrebbero spettare agli Stati e alle organizzazioni internazionali.
Questo scenario evidenzia come le azioni regolatorie nei confronti di Google abbiano ormai rilevanza strategica globale, con impatti non solo sulla tutela della privacy e dei dati personali, ma anche sul mercato pubblicitario digitale e sulle relazioni commerciali tra Stati Uniti ed Europa.
Le norme violate
La CNIL ha contestato due distinti illeciti a carico di Google LLC e Google Ireland Ltd.
Violazione articolo L. 34-5 CPCE
In primo luogo, la violazione dell’articolo L. 34-5 del Codice francese delle Poste e delle Comunicazioni Elettroniche (CPCE), che vieta la prospezione commerciale elettronica senza il consenso preventivo e specifico dell’interessato.
Le indagini hanno accertato che agli utenti del servizio Gmail veniva offerta la possibilità di attivare le “funzionalità intelligenti” per organizzare la casella di posta in tre schede: “Principale”, “Promozioni” e “Social”.
Chi attivava questa impostazione vedeva comparire messaggi pubblicitari in forma di e-mail tra la corrispondenza privata nelle schede “Promozioni” e “Social”, senza alcun consenso.
La posizione della Corte di Giustizia
La CNIL, richiamandosi anche a una sentenza della Corte di giustizia dell’Unione europea del 25 novembre 2021, ha ritenuto che tali messaggi promozionali, non inviati da un utente a un altro ma visualizzati in uno spazio normalmente riservato alle e-mail private e apparentemente simili a comunicazioni autentiche, costituiscano a tutti gli effetti marketing diretto via e-mail.
Di conseguenza, la loro visualizzazione richiede il consenso esplicito dell’utente. L’Autorità ha inoltre osservato che, nell’aprile 2023, Google aveva modificato l’aspetto grafico di tali messaggi per ridurre il rischio di confusione con le e-mail legittime.
Tuttavia, ha ritenuto che queste modifiche non incidessero sul regime giuridico applicabile, poiché gli annunci restavano comunque assimilabili a e-mail vere e proprie.
Direttiva ePrivacy
Dall’altro lato, la CNIL ha rilevato la violazione dell’articolo 82 della Legge francese sulla protezione dei dati, che recepisce la direttiva ePrivacy in materia di cookie.
Fino all’ottobre 2023, il consenso degli utenti che creavano un account Google non era libero, poiché era più facile accettare i cookie pubblicitari personalizzati che rifiutarli. Inoltre, mancava un’informazione chiara sul fatto che l’accesso ai servizi del gruppo Google fosse subordinato all’accettazione di cookie, generici o personalizzati.
Sebbene nell’ottobre 2023 fosse stato introdotto un pulsante che rendeva teoricamente semplice rifiutare quanto accettare i cookie per pubblicità personalizzata, la CNIL ha concluso che il consenso non poteva considerarsi realmente informato.
Questo principio è ulteriormente rafforzato dalla giurisprudenza della Corte di Giustizia dell’Unione Europea. Nella decisione Meta (C-252/21 del 4 luglio 2023), la Corte ha stabilito che gli utenti devono avere la libertà di rifiutare trattamenti di dati non necessari per l’esecuzione del contratto senza rinunciare completamente all’uso del servizio, e devono poter accedere a un’alternativa equivalente che non comporti tali trattamenti.
Applicando questo principio, la CNIL ha evidenziato come Google non garantisse agli utenti francesi la possibilità di esercitare un consenso realmente libero e informato senza compromettere l’accesso ai servizi essenziali di Gmail e degli altri prodotti del gruppo.
Aspetti giuridici e competenza della CNIL
Un aspetto centrale riguarda la competenza territoriale. A differenza delle sanzioni basate sul GDPR, che attivano il meccanismo del one-stop-shop, in questo caso si applicano norme nazionali di recepimento della direttiva ePrivacy.
Pertanto, la CNIL ha agito con piena autonomia in quanto garante dei trattamenti effettuati sui terminali di utenti residenti in Francia.
La responsabilità è stata attribuita congiuntamente a Google LLC e Google Ireland Ltd, poiché entrambe determinano finalità e mezzi delle attività di cookie e prospezione.
La presenza di Google France ha poi rafforzato il legame territoriale, configurando lo stabilimento” in Francia necessario a far valere la giurisdizione.
Funzionalità intelligenti e responsabilità congiunta
A partire dal quadro di responsabilità appena delineato, le cosiddette “funzionalità intelligenti” di Gmail rappresentano un esempio concreto di come Google LLC e Google Ireland Ltd condividano la responsabilità sui trattamenti dei dati.
Per gli utenti situati nello Spazio Economico Europeo (EEA), tali funzionalità – che consentono, tra l’altro, di separare la casella di posta in tre schede (“Principale”, “Promozioni” e “Social”) – sono disattivate di default, a differenza degli utenti nel resto del mondo, per i quali sono attive automaticamente.
Gli annunci pubblicitari visualizzati tramite Gmail vengono gestiti uniformemente a livello globale tramite il servizio Google Ads Discovery. La CNIL ha osservato che la disattivazione predefinita per gli utenti EEA costituisce solo una differenza di performance e non altera lo scopo pubblicitario complessivo del servizio.
Google Ireland Limited (GIL), pur gestendo operativamente i prodotti e i servizi nell’EEA, condivide la responsabilità con Google LLC, la società madre con sede in California. Quest’ultima mantiene un’influenza significativa sulle decisioni relative all’EEA, inclusa la protezione dei dati personali.
La CNIL ha pertanto concluso che entrambe le società determinano congiuntamente finalità e mezzi dei trattamenti relativi ai cookie e alla prospezione elettronica su Gmail per gli utenti francesi e dell’EEA, confermando la responsabilità condivisa già analizzata nella precedente decisione sanzionatoria SAN-2021-023.
Le prescrizioni e le conseguenze per Google
Oltre alla sanzione economica, la CNIL ha ordinato a Google di cessare la visualizzazione di annunci tra le e-mail di Gmail senza consenso degli utenti e di garantire un consenso realmente libero e informato per i cookie pubblicitari al momento della creazione di un account.
Google ha sei mesi di tempo per conformarsi, pena una sanzione giornaliera di 100.000 euro per ciascuna delle due società coinvolte.
I precedenti
La CNIL ha definito “negligente” l’atteggiamento del gruppo di Mountain View, ricordando che Google era già stata sanzionata due volte: nel 2020 con una multa da 100 milioni di euro e nel 2021 con un’ulteriore sanzione da 150 milioni di euro, sempre in materia di cookie.
Questa recidiva ha pesato nella determinazione dell’importo attuale, considerando anche la posizione dominante di Google sul mercato pubblicitario online e la diffusione globale del servizio Gmail, che è la seconda piattaforma di posta elettronica più utilizzata al mondo.
Impatti per utenti e imprese
Questa decisione sottolinea ancora una volta che la pubblicità occulta e i meccanismi di consenso ambigui non sono tollerati dalle autorità di protezione dati europee.
Per gli utenti, la sanzione rappresenta un rafforzamento del diritto a una comunicazione commerciale trasparente e controllata.
Per le imprese digitali, è un monito a semplificare i meccanismi di scelta, garantendo sempre parità di trattamento tra accettazione e rifiuto, ed evitando pratiche di dark pattern che inducano scelte poco consapevoli.
L’uso di cookie e strumenti analoghi resta soggetto a regole stringenti, anche al di fuori del perimetro GDPR.
Questa vicenda mostra come la combinazione di normativa nazionale ed europea – direttiva ePrivacy e giurisprudenza UE – continui a rappresentare un’arma efficace per contrastare pratiche scorrette dei colossi digitali, con impatti concreti non solo economici ma anche reputazionali.
