Nel giorno in cui il Garante Privacy italiano comunicava di aver avviato una consultazione pubblica sulle regole per l’uso dei cookie e di altri strumenti di tracciamento, la Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorità francese per la protezione dei dati personali, ha reso noto che con un duplice provvedimento ha deciso di punire Google (Google LLC e Google Ireland) con una sanzione da complessivi 100 milioni di euro ed Amazon Europe Core con una multa da 35 milioni di euro per violazione delle regole sull’utilizzo dei cookie pubblicitari. Le decisioni sono state assunte senza ricorrere al meccanismo dello “sportello unico” previsto dal GDPR.

La decisione contro Google

Trattasi della sanzione più elevata mai inflitta dal CNIL. Analizzando il provvedimento avverso a Google si apprende che il 16 marzo 2020, il CNIL aveva effettuato un controllo online sul sito web google.fr che ha rivelato che quando un utente si recava su questo sito, i cookie venivano depositati automaticamente sul suo computer, senza alcuna azione da parte sua. Molti di questi cookie erano utilizzati per scopi pubblicitari. Quando un utente si recava su google.fr, nella pagina veniva visualizzato un banner informativo con la scritta “Promemoria sulla privacy di Google”, davanti al quale si trovavano due pulsanti intitolati “Ricordamelo dopo” e “Visualizza ora”.

Secondo il CNIL il banner non ha fornito all’utente alcuna informazione sui cookie che erano già stati inseriti sul suo computer quando è arrivato sul sito e nemmeno non sono erano fornite all’utente che cliccava sul pulsante “Visualizza ora”. Per questo la commissione ha ritenuto che le informazioni fornite dalle società non consentissero agli utenti residenti in Francia di essere preventivamente e chiaramente informati sul deposito di cookie sul loro computer e, di conseguenza, sulle finalità di questi cookie e sui mezzi messi a loro disposizione per quanto riguarda la possibilità di rifiutarli. Quando un utente sceglie di non personalizzare gli annunci di ricerca di Google utilizzando il pannello di opzioni raggiungibile dal pulsante “Visualizza ora”, uno dei cookie degli annunci rimane memorizzato sul suo computer e continua a leggere le informazioni sul server a cui è collegato. Il CNIL ha quindi ritenuto che il meccanismo di “opposizione” al rilascio di strumenti di tracciamento messo in atto da Google fosse parzialmente difettoso, in violazione dell’art. 82 della legge francese sulla protezione dei dati personali  – la Loi Informatique et Libertés del 1978 opportunamente rivista, da ultimo, nel 2019 – che integra le disposizioni del GDPR negli ambiti che il Regolamento UE lascia ai legislatori nazionali.

Per tali motivi, il CNIL ha multato Google LLC per 60 milioni di euro e Google Ireland Limited per 40 milioni di euro, importi giustificati da:

  • la gravità della triplice violazione dell’art. 82 della legge francese sulla protezione dei dati personali;
  • il numero di interessati coinvolti, quasi cinquanta milioni di utenti nelle violazioni;
  • i “notevoli profitti” che le due società traggono dai ricavi pubblicitari generati indirettamente dai dati raccolti da questi cookie traccianti.

Il CNIL ha dato atto a Google di aver implementato un aggiornamento nel settembre 2020 in virtù del quale non sono più rilasciati automaticamente i cookie pubblicitari non appena l’utente atterra sulla pagina di google.fr. Tuttavia non è risultato soddisfacente il nuovo banner informativo visualizzato al momento dell’accesso alla pagina perché non permetteva ancora agli utenti residenti in Francia di comprendere le finalità per le quali vengono utilizzati i cookie e non li informava del fatto che potevano rifiutare tali cookie. Per questo, oltre alle sanzioni amministrative, il CNIL ha adottato anche un’ingiunzione affinché le due società facenti capo alla holding Alphabet Inc procedano ad informare le persone in conformità all’art. 82 della Loi Informatique et Libertés entro 3 mesi dalla notifica del provvedimento. In caso contrario, saranno tenute al pagamento di una penale di 100.000 euro per ogni giorno di ritardo.

La decisione contro Amazon

Tra il 12 dicembre 2019 e il 19 maggio 2020, il CNIL ha effettuato diversi controlli sul sito amazon.fr rilevando uno scenario simile a quello contestato a Google: i cookie, molti dei quali pubblicitari, venivano automaticamente depositati sul suo computer dell’utente al momento dell’accesso alla pagina, senza alcuna azione o margine di manovra da parte di costui. Veniva così violato il principio secondo cui un cookie non essenziale per il servizio può essere depositato solo dopo che l’utente Internet abbia espresso il suo consenso preventivo.

Contestata anche le informazioni fornite all’utente da amazon.fr che sono state giudicate né chiare né complete. Il banner informativo visualizzato recitava: “Utilizzando questo sito, si accetta il nostro uso dei cookie per offrire e migliorare i nostri servizi” cui era accluso un pulsante “Per saperne di più”. La descrizione generica e approssimativa del banner circa gli scopi di tutti i cookie depositati faceva sì che l’utente non fosse in grado di capire d’acchito, come richiesto dalla normativa, che i cookie inseriti nel suo computer avevano lo scopo principale di visualizzare pubblicità personalizzata. IL CNIL ha inoltre rilevato che il banner non indicava all’utente il diritto di rifiutare questi cookie e i mezzi a sua disposizione a tale scopo.

Oltre a ciò, la Commission ha constatato che la violazione era ancora più evidente nel caso di utenti che hanno visitato il sito amazon.fr dopo aver cliccato su un annuncio pubblicato su un altro sito web: anche in questi casi, gli stessi cookie erano rilasciati senza fornire alcuna informazione agli utenti.

Per questi motivi, il CNIL ha condannato Amazon Europe Core ad una multa di 35 milioni di euro. Nel determinare l’importo, e – come per Google – la pena accessoria della pubblicazione del provvedimento, l’autorità ha conto del fatto che:

  • fino alla revisione del sito amazon.fr nel settembre 2020, la società ha collocato dei cookie sui computer degli internauti residenti in Francia senza fornire loro le informazioni ai sensi dell’art. 82 della Loi Informatique et Libertés sia nel caso di accesso diretto al sito sia nel caso in cui il portale e-commerce fosse raggiunto tramite click da un annuncio pubblicitario;
  • se l’attività principale dell’azienda risiede principalmente nella vendita di beni di consumo, la personalizzazione degli annunci, resa possibile in particolare grazie ai cookies, aumenta notevolmente la visibilità dei suoi prodotti in altre parti del web.
  • data la posizione centrale occupata dal sito amazon.fr nel contesto del commercio online, gli interessati coinvolti corrispondono alle milioni di persone che vivono in Francia e che visitano il sito ogni giorno.

Il CNIL ha preso atto delle recenti modifiche apportate al sito amazon.fr e in particolare del fatto che non vengono più depositati cookie prima che l’utente abbia dato il suo consenso. Similmente a quanto rilevato riguardo alle correzioni apportate da Google, ha tuttavia ritenuto che il nuovo banner informativo introdotto nel settembre 2020 non consentisse ancora agli utenti di comprendere che i cookie sono utilizzati principalmente per mostrare loro pubblicità personalizzata e che è possibile rifiutare tali cookie.

Di conseguenza, oltre alla sanzione amministrativa, il CNIL ha emesso un’ingiunzione per garantire che la società informi correttamente le persone fisiche entro tre mesi dalla notifica della decisione con previsione di una pena di 100.000 euro per ogni giorno di ritardo.

Perché il CNIL ha potuto ignorare il meccanismo GDPR del One-Stop-Shop

Il GDPR, nello sforzo di armonizzare la protezione dati dei cittadini UE ha, inter alia, introdotto criteri per la semplificazione delle procedure e per conferire una maggiore coerenza delle decisioni in materia. In questo senso va letta l’introduzione – disciplinata ai capi VI e VII del Regolamento UE 2016/679 – del principio dello “sportello unico” o (o One-Stop-Shop), della figura dell’Autorità di Controllo Capofila (Lead Supervisory Authority) e dei meccanismi di coerenza e cooperazione tra le diverse Autorità.

In estrema sintesi, il principio dello sportello unico si applica se:

  • il titolare (o responsabile) del trattamento opera in più Stati dell’Unione europea;
  • il trattamento dei dati pur effettuato da un’organizzazione con sede in un solo Stato incide in modo sostanziale sugli interessati residenti in più di uno Stato membro.

In questi casi l’autorità di controllo dello Stato in cui si trova lo stabilimento principale del titolare/responsabile del trattamento funge da leading authority e quindi da unico interlocutore ed organo giudicante.

In entrambe le delibere qui analizzate, il CNIL si è dichiarato materialmente competente a controllare e sanzionare i cookie depositati dalle rilasciati sui computer degli utenti residenti in Francia. Ci si potrebbe chiedere perché sia stato ignorato il meccanismo introdotto dal GDPR non devolvendo la competenza alle autorità dei Paesi dove si trovano – per motivi prettamente fiscali – gli stabilimenti principali delle società nell’Unione europea, ossia in Irlanda (nel caso di Google) e in Lussemburgo (nel caso di Amazon).

Il motivo è semplice: i trattamenti di dati derivanti dall’uso dei cookie rientrano nell’ambito di applicazione della direttiva ePrivacy 2002/58/CE recepita dall’art. 82 della legge francese sulla protezione dei dati. In virtù di ciò, il CNIL si è ritenuto territorialmente competente poiché:

  • nel caso del gigante di Mountain View, l’uso dei cookie è fatto nell’ambito delle “attività” della società Google France che è lo “stabilimento” sul territorio francese di Google LLC e Google Ireland Limited e promuove i loro prodotti e servizi. Le società Google LLC e Google Ireland Limited sono ritenute congiuntamente responsabili in quanto entrambe determinano le finalità e i mezzi relativi all’uso dei cookie;
  • nel caso del colosso dell’e-commerce, l’utilizzo dei cookie si svolge nell’ambito delle attività della società Amazon France che costituisce lo “stabilimento” sul territorio francese della società lussemburghese Amazon Europe Core e garantisce la promozione dei suoi prodotti e servizi.

Alla luce di questi meccanismi di radicamento della competenza, è dunque possibile che anche il nostro Garante Privacy persegua le pratiche ai tempi adottate Google e Amazon in relazione utenti che si connettono ai loro siti web dall’Italia; lo farebbe contestando innanzitutto alle due giant-tech la violazione dell’art. 122 del Codice Privacy (il D.lgs. 196/2003 modificato dal D.Lgs. 101/2018) che recepisce nel nostro Paese la direttiva ePrivacy 2002/58/CE stabilendo al primo comma che – ad eccezione dei cd. cookie tecnici – “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate”. Una disposizione fino a ieri da interpretarsi alla luce di quanto, oltre un lustro fa, chiarito dal Garante con:

Questi riferimenti interpretativi sono destinati ad essere soppiantati ad inizio 2021. Il Garante ha infatti avviato oggi una consultazione pubblica sulla bozza di nuove “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento”  che per 30 giorni dalla pubblicazione in Gazzetta Ufficiale saranno aperte a commenti e proposte di modifica, in particolare da parte di stakeholder quali associazioni di categoria rappresentative dei settori imprenditoriali, dei consumatori e dei provider tecnologici.

Si tenga, infine, conto che lo scenario potrebbe ulteriormente cambiare se e quando (si auspica il prima possibile) la Direttiva 2002/58/CE sarà abrogata, e con essa le relative disposizioni ricettive locali, per far posto al nuovo Regolamento ePrivacy che dal 2017 è in discussione presso il legislatore UE e la cui bozza è da tempo campo di battaglia – anche in tema di cookie e tracciamento degli utenti web – tra strenui difensori dei diritti individuali e lobby di interessi commerciali. Il Regolamento avrà forza direttamente applicativa in materia di rispetto della vita privata e tutela dei dati personali nelle comunicazioni elettroniche completando così il processo di rinnovamento della normativa di data protection e di armonizzazione di diritti e doveri in tutti gli Stati membri. E più difficilmente vedremo autorità nazionali agire ad esclusiva tutela dei propri internauti allorché contestano le condotte di big player che trattano con le medesime logiche i dati di tutti i cittadini dell’Unione.

Post scriptum > Il CNIL aveva già inflitto a Google LLC una multa – ai tempi record – da 50 milioni di euro nel gennaio 2019 perché avrebbe reso difficile ai suoi utenti comprensione e la gestione delle preferenze sull’utilizzo dei propri dati, soprattutto riguardo la profilazione pubblicitaria. Seppure la sanzione fu irrogata per violazione del GDPR, anche in quel caso non si innestò il meccanismo del One-Stop-Shop che avrebbe in ipotesi dovuto vedere come capofila la Data Protection Authority irlandese. Questo perché quando il CNIL avviò il procedimento, lo stabilimento irlandese di Big G non aveva ancora assunto lo status di stabilimento principale UE e non aveva potere decisionale sulle operazioni di trattamento contestate. Poiché il meccanismo dello “sportello unico” non era applicabile, il CNIL si ritenne dunque competente ad agire in autonomia a tutela degli utenti francesi.