L'approfondimento

Uso scorretto cookie, multa ad Amazon e Google: ecco i rischi per la privacy

L’autorità francese Cnil ha sanzionato per 35 e 100 milioni di euro Amazon e Google, per irregolarità relative al consenso ai cookie e al loro utilizzo. Intanto, in Italia il Garante privacy ha avviato la consultazione pubblica sulle nuove linee guida sull’utilizzo di questi strumenti

10 Dic 2020
Nicoletta Pisanu

Redattrice Cybersecurity360

Utilizzo scorretto dei cookie, per tracciare gli utenti senza il loro consenso complice un’informativa poco chiara: è l’accusa mossa dalla Cnil, autorità garante francese, verso Amazon e Google. I due colossi sono stati sanzionati rispettivamente per 35 e 100 milioni di euro: “Un importante avviso per tutti riguardo al tema dei cookies, le sanzioni ricordano l’interesse delle autorità per questo grave scenario di abusi. Tutti i titolari che oggi utilizzano in maniera non trasparente né corretta i cookies propri e di terzi dovrebbero riesaminare la propria condotta e provvedere quanto prima per non incorrere in simili sanzioni” , spiega Andrea Michinelli dello Studio Legale d’Ammassa & Partners.

L’episodio mette infatti in luce come sul tema cookie siano ancora presenti fronti critici: su questi aspetti, oggi il Garante privacy italiano ha avviato la consultazione pubblica delle nuove Linee guida sulle corrette modalità di presentazione dell’informativa agli utenti, alla luce del GDPR e della normativa privacy.

L’accusa della Cnil

Secondo l’autorità francese, i cookie restavano attivi sui dispositivi degli utenti senza che questi avessero dato il loro consenso. Oltretutto, i banner informativi presenti sui siti non offrivano informazioni abbastanza chiare per permettere all’utente di capire l’utilizzo e gli obiettivi dei cookie e di conseguenza rifiutarli o accettarli con piena consapevolezza.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Cookie, il caso di Amazon

Per quanto riguarda Amazon, “Le condotte illecite corrispondono al deposito di cookies su dispositivi degli utenti senza che abbiano fornito un consenso preventivo, al contrario di quanto richiesto dalla legge. Ciò è purtroppo una pratica molto frequente: depositare e quindi utilizzare cookies non appena l’utente visita una pagina, senza che sia rispettata alcuna catena di autorizzazioni e opposizioni”, commenta Michinelli.

L’autorità francese ha segnalato che il sito è “parimenti carente dal punto di vista informativo, con un banner fin troppo generico e ambiguo, soprattutto riguardo agli scopi per cui vengono utilizzati i cookies, perlopiù a fini di profilazione commerciale. Oltretutto non permettendo di capire di poter rifiutare i cookies, nè come farlo: un’altra prassi molto diffusa – racconta Andrea Michinelli-. Precisiamo che la società sanzionata è Amazon Europe Core, con sede comunitaria in Lussemburgo. A tale proposito l’autorità ha stabilito la propria competenza sia materiale – sulla base della normativa nazionale di recepimento della Direttiva ePrivacy del 2002 – sia il fatto di essere territorialmente competente per l’utilizzo svolto dalla società Amazon France dei predetti cookies, considerata quale “stabilimento” della società Amazon Europe Core nel territorio”.

Le condotte sanzionate “sono state interrotte solo da settembre 2020, a seguito di un restyling del sito web e dei suoi meccanismi sui cookies. Tuttavia l’autorità ha comunque riscontrato che il nuovo banner e restyling sonoancora carenti sotto il profilo informativo, per cui ha concesso tre mesi di tempo alla società per rimediare, con sanzioni per ogni giorno di ritardo”.

Quanto alla sanzione, “viene segnalato che la società globalmente nell’anno 2019 avrebbe fatturato circa 7,7 miliardi di euro e che la sanzione rientrerebbe nella fascia del 2% massimo del fatturato,come previsto dalla normativa francese. Facendo i calcoli, la sanzione da 35 milioni corrisponde così circa allo 0,45% del fatturato globale”, aggiunge Michinelli.

La replica di Amazon

Amazon ha rilasciato una comunicazione ufficiale spiegando: “Non siamo d’accordo con la decisione dell’autorità francese Cnil. La protezione della privacy dei nostri clienti è sempre stata una priorità assoluta per Amazon. Aggiorniamo continuamente le nostre procedure sulla privacy assicurandoci di soddisfare le esigenze e le aspettative in continua evoluzione di clienti e delle autorità, nonché di rispettare pienamente tutte le leggi applicabili in ogni paese in cui operiamo”.

La sanzione a Google

Per quanto riguarda Google, la sanzione riguarda “il motore di ricerca in Francia. Anche qui la principale condotta sanzionata è quella del deposito di cookies senza il preventivo consenso, oltre all’opacità informativa del banner e dei meccanismi di rifiuto dei cookies – precisa Michinelli -. L’autorità ha notato che persino nel caso in cui un utente avesse disattivato la personalizzazione degli annunci tecnicamente uno dei cookies era comunque ancora depositato nei dispositivi utenti e utilizzato, configurando la mancato parziale efficacia del meccanismo di opposizione”.

In questo caso “le società sanzionate sono due: da una parte Google LLC, californiana, con una sanzione di 60 milioni, dall’altra Google Ireland Limited con una sanzione da 40 milioni, le quali sono state considerate contitolari, dunque congiuntamente responsabili per le violazioni, in quanto determinanti congiuntamente le finalità e i mezzi di utilizzo dei cookies – aggiunge l’esperto -. Il calcolo della sanzione rispetto al fatturato globale pare più complicato, considerata la struttura societaria di Google che comprende la controllante Alphabet, della quale si precisa che comunque il servizio Google Ads costituisce circa il 61% del fatturato del gruppo Google. Alla fine la CNIL ricostruisce un fatturato delle due società soggetti a sanzioni di circa 200 miliardi, per arrivare a una sanzione di 100 milioni totali – che rappresenta circa lo 0,05% di quanto misurato. Pure qui vengono concessi tre mesi di tempo per rimediare alle carenze informative e ai meccanismi di opposizione, con sanzioni in caso di ritardo”.

Il precedente: il caso Vueling in Spagna

Non è la prima volta che Autorità Garanti nazionali si oppongono ad un utilizzo dei cookies non conforme ai principi di data protection. Come spiega l’avvocato Vittorio Colomba, esperto di diritto delle nuove tecnologie, privacy e data protection, co-fondatore di SC Avvocati Associati “non più tardi di qualche mese fa è stata l’authority spagnola a sanzionare per 18.000 euro la compagnia aerea spagnola Vueling, proprio per l’eccessiva disinvoltura accertata nella gestione dei consensi degli utenti alle operazioni di tracciamento online”.

Intorno ai cookies, agli altri strumenti di tracciamento ed alle conseguenti prospettive di sviluppo del web infatti “si gioca una partita importantissima, che dovrebbe portare l’interesse pubblico e quello privato a raggiungere una forma di equilibrio che, allo stato dei fatti, sembra davvero molto distante. Di quanto il tema sia cruciale sono sicuramente consapevoli i grandi provider – basta a tal proposito riflettere sul meccanismo di revisione dei cookies di terze parti avviato da Google ed Apple – e ne sono altresì coscienti le istituzioni di riferimento che, con queste sanzioni, lasciano evidentemente intendere che non osserveranno passivamente i movimenti della rete”, precisa Colomba.

Riguardo al contesto italiano, “è notizia di oggi che anche il Garante Italiano ha avviato una consultazione pubblica sulle regole d’uso dei cookies, per integrare i propri precedenti interventi del 2014 e 2015, alla luce delle indicazioni fornite dal Comitato che riunisce i Garanti europei nelle Linee guida del 4 maggio 2020. Si tratta di un contesto in rapido sviluppo che andrà sicuramente monitorato con grande attenzione. Il timore è che, in un mercato come quelli dei dati personali, che movimenta circa 400 miliardi di euro, le ragioni dell’economia possano facilmente avere la meglio rispetto a quelle del diritto”

@RIPRODUZIONE RISERVATA