Utilizzo scorretto dei cookie, per tracciare gli utenti senza il loro consenso complice un’informativa poco chiara: è l’accusa mossa dalla Cnil, autorità garante francese, verso Amazon e Google. I due colossi sono stati sanzionati rispettivamente per 35 e 100 milioni di euro: “Un importante avviso per tutti riguardo al tema dei cookies, le sanzioni ricordano l’interesse delle autorità per questo grave scenario di abusi. Tutti i titolari che oggi utilizzano in maniera non trasparente né corretta i cookies propri e di terzi dovrebbero riesaminare la propria condotta e provvedere quanto prima per non incorrere in simili sanzioni” , spiega Andrea Michinelli dello Studio Legale d’Ammassa & Partners.
L’episodio mette infatti in luce come sul tema cookie siano ancora presenti fronti critici: su questi aspetti, oggi il Garante privacy italiano ha avviato la consultazione pubblica delle nuove Linee guida sulle corrette modalità di presentazione dell’informativa agli utenti, alla luce del GDPR e della normativa privacy.
Indice degli argomenti
L’accusa della Cnil
Secondo l’autorità francese, i cookie restavano attivi sui dispositivi degli utenti senza che questi avessero dato il loro consenso. Oltretutto, i banner informativi presenti sui siti non offrivano informazioni abbastanza chiare per permettere all’utente di capire l’utilizzo e gli obiettivi dei cookie e di conseguenza rifiutarli o accettarli con piena consapevolezza.
Cookie, il caso di Amazon
Per quanto riguarda Amazon, “Le condotte illecite corrispondono al deposito di cookies su dispositivi degli utenti senza che abbiano fornito un consenso preventivo, al contrario di quanto richiesto dalla legge. Ciò è purtroppo una pratica molto frequente: depositare e quindi utilizzare cookies non appena l’utente visita una pagina, senza che sia rispettata alcuna catena di autorizzazioni e opposizioni”, commenta Michinelli.
L’autorità francese ha segnalato che il sito è “parimenti carente dal punto di vista informativo, con un banner fin troppo generico e ambiguo, soprattutto riguardo agli scopi per cui vengono utilizzati i cookies, perlopiù a fini di profilazione commerciale. Oltretutto non permettendo di capire di poter rifiutare i cookies, nè come farlo: un’altra prassi molto diffusa – racconta Andrea Michinelli-. Precisiamo che la società sanzionata è Amazon Europe Core, con sede comunitaria in Lussemburgo. A tale proposito l’autorità ha stabilito la propria competenza sia materiale – sulla base della normativa nazionale di recepimento della Direttiva ePrivacy del 2002 – sia il fatto di essere territorialmente competente per l’utilizzo svolto dalla società Amazon France dei predetti cookies, considerata quale “stabilimento” della società Amazon Europe Core nel territorio”.
Le condotte sanzionate “sono state interrotte solo da settembre 2020, a seguito di un restyling del sito web e dei suoi meccanismi sui cookies. Tuttavia l’autorità ha comunque riscontrato che il nuovo banner e restyling sonoancora carenti sotto il profilo informativo, per cui ha concesso tre mesi di tempo alla società per rimediare, con sanzioni per ogni giorno di ritardo”.
Quanto alla sanzione, “viene segnalato che la società globalmente nell’anno 2019 avrebbe fatturato circa 7,7 miliardi di euro e che la sanzione rientrerebbe nella fascia del 2% massimo del fatturato,come previsto dalla normativa francese. Facendo i calcoli, la sanzione da 35 milioni corrisponde così circa allo 0,45% del fatturato globale”, aggiunge Michinelli.
La replica di Amazon
Amazon ha rilasciato una comunicazione ufficiale spiegando: “Non siamo d’accordo con la decisione dell’autorità francese Cnil. La protezione della privacy dei nostri clienti è sempre stata una priorità assoluta per Amazon. Aggiorniamo continuamente le nostre procedure sulla privacy assicurandoci di soddisfare le esigenze e le aspettative in continua evoluzione di clienti e delle autorità, nonché di rispettare pienamente tutte le leggi applicabili in ogni paese in cui operiamo”.
Nuove regole Cookie, via alla consultazione del Garante Privacy italiano
Intanto, in Italia il Garante della privacy ha avviato una consultazione pubblica indirizzata a imprenditori, consumatori e operatori sulle modalità per il corretto utilizzo dei cookie. L’autorità ha infatti predisposto nuove Linee guida che “contengono, tra l’altro, alcune indicazioni relative ai sistemi di tracciamento “passivi” (come il fingerprinting), allo “scrolling”, alla reiterazione delle richieste di consenso agli utenti, ai cookie di terze parti”.
Il GDPR infatti, spiega l’autorità in una nota, “pur non avendo modificato la disciplina relativa ai cookie e agli altri strumenti di tracciamento, ha rafforzato il potere di controllo delle persone, puntando sia sul carattere inequivocabile del consenso al trattamento dei dati personali, sia sull’attuazione dei principi di protezione dati già dalla progettazione e per impostazioni predefinite”. Di conseguenza, l’autorità ha ritenuto necessario chiarire alcuni aspetti sui modi per presentare l’informativa e chiedere il consenso agli utenti.
Già nel 2014 e 2015 l’autorità aveva fatto interventi in materia, che ora saranno integrati in seguito alla pubblicazione delle Linee guida da parte dell’EDPB a maggio di quest’anno. Questo, spiega l’autorità nella sua nota, anche per il lungo “intervallo di tempo trascorso, del monitoraggio effettuato sulla concreta implementazione delle regole a suo tempo prescritte e della sempre crescente diffusione di nuove tecnologie che presentano potenziali pervasività ancora non codificate”.
I contributi dovranno essere inviati entro 30 giorni dalla pubblicazione in Gazzetta Ufficiale dell’avviso di consultazione pubblica, all’indirizzo lineeguidacookie@gpdp.it.
La sanzione a Google
Per quanto riguarda Google, la sanzione riguarda “il motore di ricerca in Francia. Anche qui la principale condotta sanzionata è quella del deposito di cookies senza il preventivo consenso, oltre all’opacità informativa del banner e dei meccanismi di rifiuto dei cookies – precisa Michinelli -. L’autorità ha notato che persino nel caso in cui un utente avesse disattivato la personalizzazione degli annunci tecnicamente uno dei cookies era comunque ancora depositato nei dispositivi utenti e utilizzato, configurando la mancato parziale efficacia del meccanismo di opposizione”.
In questo caso “le società sanzionate sono due: da una parte Google LLC, californiana, con una sanzione di 60 milioni, dall’altra Google Ireland Limited con una sanzione da 40 milioni, le quali sono state considerate contitolari, dunque congiuntamente responsabili per le violazioni, in quanto determinanti congiuntamente le finalità e i mezzi di utilizzo dei cookies – aggiunge l’esperto -. Il calcolo della sanzione rispetto al fatturato globale pare più complicato, considerata la struttura societaria di Google che comprende la controllante Alphabet, della quale si precisa che comunque il servizio Google Ads costituisce circa il 61% del fatturato del gruppo Google. Alla fine la CNIL ricostruisce un fatturato delle due società soggetti a sanzioni di circa 200 miliardi, per arrivare a una sanzione di 100 milioni totali – che rappresenta circa lo 0,05% di quanto misurato. Pure qui vengono concessi tre mesi di tempo per rimediare alle carenze informative e ai meccanismi di opposizione, con sanzioni in caso di ritardo”.
Il precedente: il caso Vueling in Spagna
Non è la prima volta che Autorità Garanti nazionali si oppongono ad un utilizzo dei cookies non conforme ai principi di data protection. Come spiega l’avvocato Vittorio Colomba, esperto di diritto delle nuove tecnologie, privacy e data protection, co-fondatore di SC Avvocati Associati “non più tardi di qualche mese fa è stata l’authority spagnola a sanzionare per 18.000 euro la compagnia aerea spagnola Vueling, proprio per l’eccessiva disinvoltura accertata nella gestione dei consensi degli utenti alle operazioni di tracciamento online”.
Intorno ai cookies, agli altri strumenti di tracciamento ed alle conseguenti prospettive di sviluppo del web infatti “si gioca una partita importantissima, che dovrebbe portare l’interesse pubblico e quello privato a raggiungere una forma di equilibrio che, allo stato dei fatti, sembra davvero molto distante. Di quanto il tema sia cruciale sono sicuramente consapevoli i grandi provider – basta a tal proposito riflettere sul meccanismo di revisione dei cookies di terze parti avviato da Google ed Apple – e ne sono altresì coscienti le istituzioni di riferimento che, con queste sanzioni, lasciano evidentemente intendere che non osserveranno passivamente i movimenti della rete”, precisa Colomba.
Riguardo al contesto italiano, “è notizia di oggi che anche il Garante Italiano ha avviato una consultazione pubblica sulle regole d’uso dei cookies, per integrare i propri precedenti interventi del 2014 e 2015, alla luce delle indicazioni fornite dal Comitato che riunisce i Garanti europei nelle Linee guida del 4 maggio 2020. Si tratta di un contesto in rapido sviluppo che andrà sicuramente monitorato con grande attenzione. Il timore è che, in un mercato come quelli dei dati personali, che movimenta circa 400 miliardi di euro, le ragioni dell’economia possano facilmente avere la meglio rispetto a quelle del diritto”
