Cookie, dal CNIL nuova maxi multa per Google. Sanzione milionaria anche per FB

Dopo la multa record da 100 milioni di euro comminata nel dicembre 2020 per scarsa trasparenza nell’uso dei cookie, la Commission Nationale de l’Informatique et des Libertés (CNIL) ha nuovamente censurato le metodologie impiegate da Google per consentire agli utenti una libera ed agevole scelta nel settaggio di queste tecnologie di tracciamento.

La sanzione disposta nella deliberazione del 31 dicembre 2021, resa nota ieri, è la più severa mai comminata dall’autorità francese per la protezione dei dati personali ammontando a 150 milioni di euro. Nel giro di un anno i “biscottini” distribuiti agli utenti francesi sono, dunque, costati a Big G 250 milioni di euro in sanzioni amministrative (a fronte degli introiti pubblicitari indirettamente generati grazie agli strumenti di tracciamento e profilazione). Se si considera che nel gennaio 2019 la medesima autorità irrogò una multa da 50 milioni per mancata chiarezza sull’uso per fini pubblicitari dei dati degli utenti, ammontano a 300 i milioni richiesti da oltralpe in 3 anni.

Questa volta a finire sott’accusa sono state le modalità di rifiuto dei cookie sui siti google.fr e youtube.com. A seguito di numerosi reclami da parte degli utenti, nel giugno 2021 il CNIL ha avviato un’indagine online su questi siti e ha constatato che, pur offrendo un pulsante che permette l’accettazione immediata dei cookie, essi non propongono una soluzione equivalente (pulsante o altro) che permetta all’utente di rigettarne altrettanto facilmente il rilascio. In altre parole, occorrono diversi click per rifiutare tutti i cookie, mentre ne basta uno solo per accettarli.

Per il CNIL la strategia di rendere il meccanismo di rifiuto più complesso scoraggia di fatto gli utenti a rifiutare i cookie e invitandoli ad optare pulsante “accetto” per una navigazione più semplice e veloce. La Commission ha ritenuto che questo processo incide sulla libertà di consenso degli internauti e costituisce una violazione dell’art. 82 della legge francese sulla protezione dei dati – la Loi Informatique et Libertés del 1978 opportunamente rivista, da ultimo, nel 2019 – che (similmente al nostro novellato Codice Privacy) non solo integra le disposizioni del GDPR negli ambiti che il Regolamento UE lascia ai legislatori nazionali ma recepisce localmente le disposizioni della Direttiva ePrivacy del 2002 in materia di dati personali e telecomunicazioni.

Per tali motivi, il CNIL ha multato Google LLC per 90 milioni di euro e Google Ireland Limited per 60 milioni di euro, importi giustificati da:

• la gravità della violazione dell’art. 82 della legge francese sulla protezione dei dati personali;
• il numero di interessati coinvolti, quasi cinquanta milioni di utenti;
• i “notevoli profitti” che le due società traggono dai ricavi pubblicitari generati dai cookie traccianti;
• la circostanza che il CNIL aveva ripetutamente, già a partire dal febbraio 2021, segnalato a Google che andava semplificata la procedura per rifiutare i cookie.

Oltre alle multe amministrative, la Commission ha emesso un’ingiunzione con penalità di mora che impone alle due società di fornire agli utenti situati in Francia, entro tre mesi dalla notifica della decisione, un mezzo per rifiutare i cookie che sia altrettanto semplice di quello esistente per accettarli, al fine di garantire la loro libertà di consenso. In caso contrario, le imprese saranno condannate a pagare una sanzione di 100.000 euro per ogni giorno di ritardo.

I trattamenti di dati derivanti dall’uso dei cookie rientrano nell’ambito di applicazione della direttiva ePrivacy 2002/58/CE recepita dall’art. 82 della legge francese sulla protezione dei dati e, per questo, non si applicano i principi GPDR dello “sportello unico” o One-Stop-Shop, della figura di Lead Supervisory Authority e dei meccanismi di coerenza e cooperazione tra le diverse Autorità (per le violazioni di Google del Regolamento 2016/679 la Capofila è l’autorità irlandese essendo a Dublino lo stabilimento principale in UE della società californiana). In virtù di ciò, il CNIL si è ritenuto territorialmente competente poiché, nel caso del gigante di Mountain View, l’uso dei cookie è fatto nell’ambito delle “attività” della società Google France che è lo “stabilimento” sul territorio francese di Google LLC e Google Ireland Limited e promuove i loro prodotti e servizi. Le società Google LLC e Google Ireland Limited sono ritenute congiuntamente responsabili in quanto entrambe determinano le finalità e i mezzi relativi all’uso dei cookie.

L’autorità francese ha sanzionato Facebook Ireland Limited per i medesimi motivi – e sempre per violazione di matrice ePrivacy dell’art.82 della Loi Informatique et Libertés – con una multa di 60 milioni di euro disposta in apposita deliberazione del 31 dicembre ad esito di un’investigazione avviata nell’aprile 2021. Anche nella piattaforma social facebook.com, sono necessari diversi click per rifiutare tutti i cookie, mentre ne basta uno solo per accettarli. Oltre a ciò, si è rilevato che il pulsante che permette all’utente di rifiutare i cookie si trova nella parte inferiore della seconda finestra ed è intitolato “Accetta i cookies”. Il CNIL ha ritenuto che un tale titolo genera necessariamente confusione e che l’utente può avere la sensazione che non sia possibile rifiutare il rilascio di cookie e che non abbia modo di gestirlo.

Anche nel caso di FB, il CNIL ha giustificato l’importo della sanzione con la portata massiva del trattamento, il numero di utenti ubicati in Francia interessati e i considerevoli profitti che la società ricava dalle entrate pubblicitarie generate indirettamente dai dati raccolti dai cookie. Anche qui, al contravventore sono stati concessi 3 mesi di tempo per risolvere la criticità, pena 100.000 euro di multa per ogni giorni di ritardo.