TRACCIAMENTO ONLINE

Cookie e dark pattern, sanzione privacy milionaria per Google e Facebook in Francia: quale lezione per l’Italia

La CNIL francese ha sanzionato Google e Facebook per violazioni della normativa ePrivacy sui cookie. Due provvedimenti che arrivano in concomitanza con l’entrata in applicazione delle linee guida del nostro Garante Privacy dedicate proprio ai cookie e agli strumenti di tracciamento online. Ecco alcune utili lezioni per tutti i titolari del trattamento

10 Gen 2022
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

La CNIL francese, cioè la Commission Nationale de l’Informatique et des Libertés – omologa del nostro Garante in Francia – ha sanzionato recentemente, in dicembre, sia Google (comprensivo del sito YouTube) che Facebook (oggi: Meta Platforms Inc.) per simili condotte, con due provvedimenti gemelli: violazioni della normativa ePrivacy (derivante dalla Direttiva 2002/58) sui cookie.

L’ammontare delle sanzioni pecuniarie? 60 milioni di euro per Facebook, 150 milioni per Google, tra le somme più alte mai quantificate prima nell’Unione per tematiche afferenti ai cookie. Oltre a un obbligo di correggere i propri banner, onde rimediare a quanto segnalato dal CNIL, pena ulteriori sanzioni (100.000 euro al giorno) per il ritardo.

Il tutto in concomitanza con l’entrata in applicazione (sebbene già pubblicate in via definitiva dal giugno scorso) delle linee guida del Garante per la protezione dei dati personali dedicate proprio ai cookie e altri tracciatori online.

Ce n’è a sufficienza per esporre brevemente quanto accaduto nel caso francese e trarne lezioni utili anche per il nostro Paese, sebbene – come vedremo – si tratti in realtà di temi noti da tempo, con provvedimenti che si immaginano “esemplari”. Difatti la CNIL aveva cominciato ad applicare da aprile 2021 le proprie linee guida sui cookie ed è passata alla fase ispettiva-accertativa, con più di cento misure correttive emanate nel frattempo.

Premettiamo che i casi esaminati sono stati frutto di numerose segnalazioni arrivate negli anni alle autorità, relative a molteplici condotte e violazioni, a partire dal citato aprile 2021, data di entrata in applicazione delle linee guida francesi sul tema cookie.

Cookie: guida pratica alle cose da fare per mettersi in regola prima del 2022

Facebook e Google, sanzione cookie: la competenza territoriale

Ancillare alle questioni di merito ve n’è una di competenza territoriale, di minor rilievo generale ma sicuramente utile per chi opera con multinazionali e più Paesi, europei o meno, oltre a occupare vasto spazio nel provvedimento verso Facebook.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

Facebook e Google hanno entrambe opposto alla CNIL una questione relativa al c.d. one-stop-shop: cioè il meccanismo di sportello unico ex art. 56 GDPR, per cui sarebbe competente solo l’autorità capofila di stabilimento principale del titolare. Ad es. la sede europea di Facebook sarebbe solo quella irlandese, a Dublino, per cui la CNIL non avrebbe avuto competenza per giudicare le condotte della società – essendo casomai la sola autorità irlandese a poterlo fare.

L’autorità francese, d’altro canto, ha replicato di avere piena competenza per il rispetto delle disposizioni della Direttiva ePrivacy, relative a utenti francesi i cui dispositivi (e annessi dati personali ivi contenuti, tali sono quelli presenti nei cookie) siano oggetto di acceso o lettura da parte dei titolari, come previsto dalla legge nazionale francese di recepimento della predetta Direttiva.

Difatti, gli accertamenti della CNIL si sono incentrati solo sulla iniziale fase di trattamento rientrante nell’ambito ePrivacy (la citata lettura/scrittura di dati nei dispositivi), non già sulla fase ulteriore (trattamento dei dati raccolti per svariate finalità).

A conferma vi sarebbe analogo ragionamento avallato sia dalla Corte di Giustizia, nel noto procedimento C-673/17 avverso la società tedesca Planet49, sia dall’EDPB nel suo parere 5/2019 sulle interazioni tra Direttiva e GDPR.

La fonte dell’obbligo giuridico in parola starebbe al di fuori del GDPR e, pertanto, si applicherebbero le diverse disposizioni sulle comunicazioni elettroniche (in particolare, l’art. 5.3 della Direttiva), competenza inclusa. Il meccanismo one-stop-shop non trova spazio.

Detto ciò del perimetro del GDPR, la CNIL ha precisato che le “operazioni di accesso e/o registrazione di informazioni nel terminale di utenti residenti in Francia quando utilizzano il social network Facebook, in particolare a fini pubblicitari, è effettuato nell’ambito del “quadro delle attività” della società FACEBOOK FRANCE, che costituisce lo “stabilimento” sul territorio francese del gruppo Facebook”.

Ciò sarebbe sufficiente a confermare la competenza della CNIL, visto che “la nozione di ‘stabilimento’ ai sensi della Direttiva 95/46 si estende a qualsiasi attività reale ed effettiva, anche di modesta entità, esercitata per mezzo di una stabile organizzazione”.

La società francese del gruppo, da statuto societario, prevederebbe infatti attività “relative agli spazi pubblicitari online e in particolare, senza che questo elenco sia esaustivo, l’offerta di acquistare, vendere o fornire spazi pubblicitari online, la negoziazione di contratti relativi a spazi pubblicitari online, l’attuazione di strategie di marketing relative alle offerte di vendita di spazi pubblicitari e qualsiasi altro servizio pubblicitario che possa essere fornito agli inserzionisti, agenzie pubblicitarie o qualsiasi altra terza parte”, idonee ai ragionamenti suesposti.

Per la Corte di Giustizia “una società, una persona giuridica autonoma, dello stesso gruppo” del titolare del trattamento, possono costituire uno stabilimento del titolare del trattamento ai sensi delle disposizioni comunitarie.

Per Google il ragionamento sarebbe analogo, pur calibrato sull’uso da parte degli utenti francesi di Google Search e YouTube, con la società irlandese del gruppo a fare da titolare di riferimento. La differenza con Facebook sta nel regime di contitolarità che la CNIL ha ravvisato – con annessa responsabilità solidale – da parte della società irlandese e quella americana di Google, circa le condotte in parola.

Le violazioni contestate ai colossi USA dal CNIL

Veniamo al merito, al punto di vero interesse dei provvedimenti. Detto dell’applicazione della Direttiva quanto alla competenza, segnaliamo che sul banner e consenso vigono anche le disposizioni del GDPR circa gli aspetti generali (l’EDPB ha ribadito il carattere solo di lex specialis della Direttiva, non certo sostitutiva del Regolamento per gli aspetti in essa non disciplinati).

La CNIL si è incentrata sull’annoso tema del consenso dei cookies non tecnici, reso tramite il banner, in merito a tre domini specifici: facebook.com, google.fr e youtube.com. il focus è semplice: nei banner proposti dalle piattaforme il consenso dell’utente non sarebbe libero.

Difatti, per esserlo, dovrebbe essere ugualmente facile prestare sia il consenso che rifiutarlo, quando l’impostazione proposta sia da Google che Facebook prevede sì un comodo pulsante di accettazione complessiva ma sposta il possibile rifiuto in ulteriori strati di banner e procedure. Un click per accettare, diversi per rifiutare, un evidente squilibrio a sfavore dell’utente. È nota come c.d. “click/cookie fatigue” dell’utente, posta all’attenzione ad es. dell’ICO britannica persino di fronte al G7.

Vi sarebbe così un vulnus al diritto di scelta dell’utente interessato, posto che il design del banner non sarebbe così né privacy-oriented né by default, come richiesto dal GDPR.

Per cogliere meglio la tematica, per esempio, al 7 di gennaio 2022 il banner offerto ai visitatori da Google è ancora il seguente e conferma la condotta sanzionata dal CNIL, visto che manca un pulsante di rifiuto (X o altro) nel primo layer.

A dirla tutta, nemmeno il secondo layer offre chiaramente una “via d’uscita”, proponendo invece – se si clicca su “Personalizza” – un’articolata paginata di scelte e solo un tasto finale per chiudere (che recita “Conferma”!).

Ergo: l’utente è obbligato a fare clic su uno di questi due pulsanti per poter continuare a navigare nel social network, nel primo strato, e nel secondo trova un percorso defatigante con svariate azioni da compiere. Secondo la CNIL, peraltro, “le informazioni fornite all’utente non gli consentano di comprendere chiaramente che può rifiutare i cookie”, e che si offre “una scelta tra l’accettazione o il rifiuto dei cookie, ma le modalità con cui tale rifiuto può essere espresso, nell’ambito della navigazione in Internet, pregiudicano l’espressione della scelta a favore del consenso in modo tale da alterare la libertà di scelta”.

Le prassi esposte possono essere inquadrate come dark pattern, cioè pratiche sleali orientate a indirizzare l’utente verso la soluzione più favorevole al titolare, non certo all’utente. Si tratta di una forma di nudge (“pungolo”, nella traduzione italiana del libro di Thaler-Sunstein che ha reso noto il concetto), sottile ma efficace nello sfruttare i bias, la mancanza di attenzione e in generale le debolezze cognitive degli utenti.

Nel caso di specie, la CNIL ritiene che si incoraggi l’utente “a pensare che, in ultima analisi, non sia possibile continuare la navigazione avendo rifiutato il deposito di cookie pubblicitari, poiché l’intero processo di rifiuto dei cookie si basa su informazioni relative all’accettazione dei cookie”.

La stessa CNIL menziona, in aggiunta, lo studio tematico del 2020 della Cornell University sul tema, denominato “Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence”: vi si legge che “il 93,1% degli utenti di Internet di fronte ai banner dei cookie si ferma al primo livello e che solo una piccola minoranza di loro va al secondo livello per personalizzare o rifiutare” e che “relegare il pulsante di opt-out al secondo livello ha aumentato il tasso di consenso ai cookie di una media di 23,1 punti percentuali”.

Tutto ciò è rimediabile con un legal design efficace e compliant, non certo di difficile realizzazione, specie per le maggiori multinazionali. Sottolineato anche dalla CNIL: “un design e un’informazione adeguati dovrebbero consentire all’utente di comprendere appieno le opzioni a sua disposizione”. La scrittura e impostazione del banner, nel caso di una lettura “rapida o disattenta”, non deve portare l’utente a credere che l’opzione selezionata produca l’opposto di ciò che l’utente pensava di scegliere.

A tutto questo le società in istruttoria hanno opposto alcune argomentazioni, ad es. che nessuna disposizione normativa (sia della Direttiva ePrivacy sulle comunicazioni elettroniche che il GDPR) prevederebbe quanto contestato dalla CNIL e dunque sarebbe un’arbitraria creazione dell’autorità, non vincolante.

La CNIL ha prontamente ribattuto, concentrandosi sul concetto di libertà del consenso: la semplice presenza di un pulsante come “Imposta” o simile, oltre al pulsante “Accetta tutto”, tende in pratica a scoraggiare il rifiuto e quindi non consente di rispettare i requisiti previsti dal GDPR. Leggendo il Considerando 42 del GDPR si rafforza tale impostazione, per cui “il consenso non dovrebbe essere considerato come dato liberamente se la persona interessata non dispone di un’effettiva libertà di scelta o non è in grado di negare o revocare il consenso senza pregiudizio”.

Circa l’arbitrio del CNIL nel definire le proprie linee guida, il Consiglio di Stato francese nel 2020 avrebbe chiarito che “la CNIL […] si è limitata a caratterizzare le condizioni del rifiuto dell’utente, senza definire particolari modalità tecniche per esprimere tale rifiuto”. E che il provvedimento CNIL non richiede necessariamente “l’inserimento di un pulsante “Rifiuta tutto”, ma ricorda l’importanza di impostare una semplice alternativa che consenta all’utente di rifiutare i cookie come semplicemente accettandoli, fornendo esempi di formulazioni e modalità che possono essere utilizzate dalle organizzazioni in modo che la libertà del consenso degli utenti sia veramente rispettata”.

Nel giustificare la sanzione a Facebook, la CNIL ha rimarcato “la portata del social network Facebook e il posto essenziale che occupa in Francia, in quanto domina di gran lunga il mercato dei social network, […] Rileva inoltre gli “effetti di rete” generati da questa posizione dominante, evidenziati dall’autorità tedesca garante della concorrenza in una decisione del 6 febbraio 2019” e “sottolinea che tale inadempimento è tanto più dannoso per le persone interessate in quanto, parallelamente alla sua funzione tradizionale di mantenimento e sviluppo delle relazioni interpersonali, tale social network sta assumendo un posto sempre più importante anche in settori così diversi come l’accesso alle informazioni, il dibattito pubblico e persino la sicurezza civile attraverso la funzione «Facebook hazard check» (o «safety check») in caso di calamità naturale o di attacchi, che sono di una certa importanza in una società democratica”.

Insomma, le sanzioni tengono conto anche della portata endemica e sociale delle organizzazioni in parola, in ottica, potremmo azzardare, di social responsibility.

L’analoga previsione delle linee guida del Garante italiano

Sul tema giova ricordare quanto sanciscono le linee guida del Garante nazionale, operative dal 9 gennaio corrente per tutti i titolari. Al punto 7.1 si prevede quanto segue: “Il rispetto di tali regole impone dunque che, per impostazione predefinita, al momento del primo accesso dell’utente a un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del suo dispositivo, né che venga utilizzata alcuna altra tecnica attiva o passiva di tracciamento […] Qualora l’utente scegliesse, com’è nella sua piena disponibilità, di mantenere quelle impostazioni di default e dunque di non prestare il proprio consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento, dovrebbe dunque limitarsi a chiudere il banner mediante selezione dell’apposito comando usualmente utilizzato a tale scopo, cioè quello contraddistinto da una X posizionata di regola, e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate”.

È chiaro: anche in Italia l’autorità si aspetta che con un solo click l’utente possa rifiutare i cookie non tecnici. Si dovrà badare a utilizzare fornitori di banner e cookie solution che siano conformi a tale dettato, ad es. tramite apposite configurazioni lato back-end.

Difatti non ci si potrà scusare, in sede di eventuale ispezione e contestazione dell’autorità, “scaricando” il barile su presunti limiti tecnici o sulle condotte del fornitore: risiedono nell’accountability dei titolari il vaglio e la configurazione delle soluzioni proposte.

Se non adeguate, andrebbero rigettate, in un mercato che offre ormai ampie modalità per mettersi in regola, dai plugin di WordPress alle soluzioni privacy più o meno “chiavi in mano” offerte da diversi sviluppatori, sia internazionali che locali.

Vedremo nei mesi seguenti come procederà l’attività ispettiva e correttiva dell’autorità, i titolari hanno già ben chiaro lo scenario attuale e gli adempimenti relativi, le sanzioni potrebbero essere – fatte le debite proporzioni con i due casi esemplari sopra visti – comunque rilevanti.

Soprattutto ci si chiede se anche il Garante italiano interverrà verso Facebook e Google in Italia, sulla base degli stessi ragionamenti sopra indicati dal CNIL, a fronte di prassi che non paiono a oggi del tutto allineate con le indicazioni del Garante nel nostro Paese, nel momento in cui scriviamo, e che vedremo se saranno corrette a breve.

WHITEPAPER
Costruire una VERA DATA STRATEGY: machine learning, sicurezza e valorizzazione del dato.
Amministrazione/Finanza/Controllo
Big Data
@RIPRODUZIONE RISERVATA

Articolo 1 di 4