La Commission Nationale de l’Informatique et des Libertés (CNIL) ha imposto una multa di 125.000 euro alla società francese CITYSCOOT per violazione della normativa sulla protezione dei dati personali, specie con riguardo alle modalità di geolocalizzazione dei clienti giudicate sproporzionate.

La decisione d’oltralpe non richiama certo attenzione per l’ammontare della sanzione pecuniaria: è tutto sommato una crfra di entità contenuta rispetto ai parametri GDPR considerato che è comminata ad uno degli operatori leader nel noleggio a breve termine di scooter con un business milionario e centinaia di migliaia di utenti (va notato che nel commisurare la multa si è favorevolmente tenuto conto dell’atteggiamento collaborativo del contravventore). Il provvedimento denota altri motivi di interesse perché:

  • è stata assunta dalla CNIL in accordo, oltre che con l’omologa autorità iberica, con il nostro Garante Privacy. Il servizio è infatti reso anche in Spagna e in Italia dove opera CITYSCOOT ITALIA S.R.L. i cui mezzi sono largamente disponibili a Milano e Torino;
  • concerne non solo i dati di geolocalizzazione ma anche quelli trattati per effetto di un meccanismo di verifica anti-bot e anti-spam largamente utilizzato in siti web e app nostrane.

Vediamo rapidamente i termini della vicenda. Nell’ambito dell’indagine avviata nel 2020, la CNIL ha appurato che durante il noleggio l’azienda raccoglieva dati relativi alla geolocalizzazione del veicolo ogni 30 secondi conservando il relativo registro dei tragitti percorsi.

L’azienda ha dichiarato di geolocalizzare in tal modo i propri veicoli per le diverse finalità di:

  • elaborazione di infrazioni al codice della strada;
  • elaborazione dei reclami dei clienti;
  • assistenza agli utenti che necessitino di soccorso;
  • gestione dei sinistri e dei furti.

Dopo aver analizzato l’uso dei dati di geolocalizzazione per ciascuno degli scopi proposti da CITYSCOOT, la CNIL ha ritenuto che nessuno di questi scopi possa giustificare una raccolta di dati di geolocalizzazione così persistente al punto da risultare intrusiva nella vita privata degli utenti, considerato che può rivelare i loro spostamenti, i loro luoghi di frequentazione o addirittura tutte le fermate effettuate durante un viaggio. Ad avviso dell’autorità francese, l’azienda potrebbe offrire un servizio identico senza geolocalizzare i propri clienti in modo quasi continuativo. Motivo per cui, CITYSCOOT è ritenuta colpevole rispettato il principio di minimizzazione dei dati di cui all’art. 5, par.1, lett c) del GDPR secondo cui i dati devono essere adeguati, pertinenti e non eccessivi rispetto alle finalità per cui vengono raccolti e utilizzati.

La CNIL ha poi contestato al titolare del trattamento l’inadeguata regolamentazione dei rapporti con i fornitori che possono accedere ai dati dei clienti: tre contratti stipulati designate da CITYSCOOT quali responsabili del trattamento non contenevano tutte le informazioni minime richieste dal GDPR all’art. 28, par.3, ad esempio sui dati raccolti, sulle misure di sicurezza da implementare o sul destino dei dati personali in caso di risoluzione dei contratti stessi.

La CNIL ha, infine, contestato all’azienda la mancata informazione dell’utente e la mancata acquisizione del suo consenso prima di acquisire e imputare informazioni sul suo dispositivo personale. Questa pratica è risultata in violazione dell’art. 82 della Loi Informatique et Libertés del 1978 – riformata nel 2019 – che (similmente al nostro novellato Codice Privacy) non solo integra le disposizioni del GDPR negli ambiti che il Regolamento UE lascia ai legislatori nazionali ma che, come nell’articolo in questione, recepisce localmente le disposizioni della Direttiva ePrivacy del 2002 in materia di privacy nelle telecomunicazioni. La contestazione in esame deriva dal fatto che CITYSCOOT ha utilizzato il meccanismo reCaptcha, fornito da Google. Per chi non lo sapesse, questa funzionalità – che nei siti in italiano è solitamente rinvenibile vicino alla scritta “Non sono un robot” – è utilizzata per proteggere i siti web da spam e abusi informatici grazie a tecnologie che permettono di effettuare una distinzione tra gli utenti umani e i bot automatizzati (CAPTCHA è l’acronimo di Completely Automated Public Turing test to tell Computers and Humans Apart).

CITYSCOOT ha utilizzato reCaptcha per la creazione degli account sull’applicazione mobile e per il login e per la procedura di recupero della password dimenticata sul sito web. Tale meccanismo di verifica raccoglie informazioni hardware e software (come i dati del dispositivo e dell’applicazione), dati che sono automaticamente trasmessi a Google per l’analisi. L’azienda, contravvenendo alla citats normativa francese, non ha fornito alcuna informazione agli utenti e non ha ottenuto il loro consenso preventivo, né per accedere alle informazioni memorizzate sul loro dispositivo né per scrivere informazioni su di esso.

A propria difesa, CITYSCOOT ha sostenuto di aver utilizzato reCaptcha esclusivamente per garantire la sicurezza del meccanismo di autenticazione degli utenti per cui verrebbe meno l’obbligatorietà di ottenere il consenso degli utenti. Ha inoltre sostenuto di poter beneficiare della seconda esenzione prevista dall’art. 82 della legge “Informatique et Libertés” che prevede – in modo non dissimile dall’art. 122, co.1 del nostro Codice Privacy – l’esimente dell’obbligo di acquisizione del consenso specifico ed informato se l’accesso al dispositivo utente è “strettamente necessario per la fornitura di un servizio di comunicazione online su richiesta esplicita dell’utente”: questo, in quanto il servizio è richiesto dall’utente – ovvero la registrazione o la connessione al servizio CITYSCOOT – e le azioni di lettura e scrittura delle informazioni presenti sui terminali sono necessarie per garantire la sicurezza del servizio.

Sempre sul tema, CITISCOOT ha sostenuto che, oltre a non ritenersi obbligata a raccogliere il consenso dei propri utenti per l’uso di reCaptcha, non può essere obbligata a acquisirlo per conto di Google visto che il meccanismo reCaptcha, direttamente integrato nel sito, fornisce un link alla privacy policy di Google, il che implica che “Big G” si considera – in relazione all’uso di questa tecnologia – titolare del trattamento degli utenti. A riprova di ciò, CITYSCOOT ha evidenziato come essa non potesse modificare la presentazione o le impostazioni del meccanismo e quindi non abbia mai avuto la possibilità di integrare una campo di raccolta del consenso o un altro link informativo. In altre parole, l’azienda ha assunto di non aver obblighi di informativa e acquisizione del consenso sia perché Google si dichiara titolare sia perché su questo trattamento essa non ha alcun potere decisionale né di intervento tecnico.

La CNIL ha ribattuto che CITYSCOOT – nella misura in cui pubblica il sito web “cityscoot.eu” e l’applicazione mobile CITYSCOOT – ha una parte di responsabilità nell’adempimento degli obblighi di cui all’art. 82 della legge “Informatiques et Libertés” per la lettura e/o la scrittura di informazioni effettuata nel terminale degli utenti tramite il meccanismo reCaptcha. La Commissione ha infatti rilevato, in primo luogo, come già da tempo il Consiglio di Stato, la corte suprema amministrativa francese, avesse stabilito (il 6 giugno 2018 con Raccomandazione n. 412589) che tra gli obblighi dell’editore di un sito che deposita “cookie di terze parti” vi è quello di assicurarsi che i suoi partner non emettano, attraverso il suo sito, elementi traccianti non conformi alla normativa applicabile in Francia, e che deve adottare con loro tutte le misure necessarie per porre fine a eventuali violazioni. Infatti, precisa la CNIL, poiché gli editori di siti web sono spesso l’unico punto di contatto per gli utenti di Internet e il deposito di cookie di terze parti dipende dalla navigazione sul loro sito, spetta a loro, da soli o insieme ai loro partner, fornire l’informazione preventiva e ottenere il consenso. Appurato che sia stato effettivamente l’editore del sito – in questo caso CITYSCOOT – a scegliere di utilizzare il meccanismo reCaptcha e quindi a consentire le azioni di lettura e scrittura delle informazioni presenti sui terminali degli utenti, l’editore non può ritrarsi dalle responsabilità riconnesse alla carenza di informativa e raccolta di consenso.

La CNIL ha inoltre sottolineato che se è vero che un titolare del trattamento può avvalersi dell’esenzione dall’informativa e dal consenso quando l’unico scopo delle operazioni di lettura/scrittura effettuate sul terminale di un utente è quello di garantire un meccanismo di autenticazione a beneficio degli utenti (cfr. in tal senso, CNIL, FR, 27 settembre 2021, Sanction, No. SAN-2021-013, pubblicato), la situazione è diversa quando tali operazioni perseguono anche altri scopi non strettamente necessari per la fornitura di un servizio. E il meccanismo di Google reCaptcha non mira solo a garantire il meccanismo di autenticazione a beneficio degli utenti, ma consente anche a Google di effettuare operazioni di analisi, cosa che Google stessa specifica nelle sue condizioni generali di utilizzo. Nei termini e le condizioni che rende disponibili online, Google informa le aziende che utilizzano la tecnologia reCaptcha che il funzionamento dell’API si basa sulla raccolta di informazioni hardware e software (come i dati del dispositivo e dell’applicazione) e che tali dati vengono trasmessi a Google per l’analisi. Google afferma inoltre che è responsabilità di queste aziende informare gli utenti e richiedere il loro consenso per la raccolta e la condivisione dei dati con Google stessa.

Sebbene CITYSCOOT informava gli utenti nella sua informativa sulla privacy, che “durante la tua visita al nostro sito web o alla nostra applicazione, saranno raccolti dati di navigazione e di localizzazione, derivanti da cookie o tecnologie simili“, le finalità precise dei cookie utilizzati, la possibilità di opporsi ad essi o il fatto che la prosecuzione della visita costituisse una forma di consenso non erano tra le informazioni fornite dalla società. Inoltre, le informazioni, accessibili tramite la privacy policy del sito, venivano fornite solo dopo il deposito dei cookie e degli altri traccianti e in modo non specifico, contravvenendo a quanto stabilito dalla normativa in tema di tempistiche e specificità dell’informativa. Di conseguenza, non si poteva ritenere che – sempre con riguardo a reCaptcha – gli utenti fossero stati informati e che il consenso fosse stato validamente acquisito da CITYSCOOT.

Morale della favola: se ospiti sul tuo sito una tool o un widget di terza parte che permette a questa di tracciare i tuoi utenti e la terza parte non raccoglie il loro consenso benché ciò sia richiesto da una “cookie law”, sei tu azienda a dover impedire che tale violazione non avvenga. E dunque o ti fai supportare dalla terza parte per trovare una soluzione per dare informativa e raccogliere consenso oppure ingaggi qualcun’altro che ti aiuti farlo. Altrimenti l’unica alternativa logica e possibile sarà quella di rinunciare all’utilizzo dello strumento. Ed infatti, nel corso della procedura aperta dalla CNIL, CITYSCOOT ha dichiarato che avrebbe smesso di utilizzare reCaptcha dall’ottobre 2022 (promessa poi mantenuta).