La Commission Nationale de l’Informatique et des Libertés (CNIL), autorità per la protezione dei dati francese, ha reso oggi noto di aver comminato una sanzione da 10 milioni di Euro a YAHOO EMEA LIMITED per politica illecita nel rilascio dei cookie agli utenti del proprio sito web e del proprio servizio e-mail.
Una prima infrazione è stata rilevata in relazione al sito Yahoo.com. Durante un’indagine condotta nell’ottobre 2020, la CNIL ha rilevato che quando un utente del web visitava il sito il cookie banner visualizzato dava accesso a una pagina contenente numerosi pulsanti volti a ottenere il consenso per il rilascio di differenti cookie, alcuni dei quali per finalità pubblicitarie. Tuttavia il meccanismo di controllo delle opzioni non rispettava le scelte effettuate: infatti, anche l’utente non aveva espresso il proprio consenso, riceveva una ventina di cookie pubblicitari sul proprio terminale. La Commission ha ritenuto che questo processo costituisce una violazione dell’art. 82 della legge francese sulla protezione dei dati – la Loi Informatique et Libertés del 1978 opportunamente rivista, da ultimo, nel 2019 – che (similmente al nostro novellato Codice Privacy) non solo integra le disposizioni del GDPR negli ambiti che il Regolamento UE lascia ai legislatori nazionali ma recepisce localmente le disposizioni della Direttiva ePrivacy del 2002 in materia di dati personali e telecomunicazioni. L’art. 82 dispone che i cookie a scopo pubblicitario possono essere rilasciati solo previo consenso espresso dell’utente, e la legal entity europea di Yahoo! Ha infranto palesemente questo dettame.
La CNIL ha poi osservato che quando gli utenti del servizio di messaggistica “Yahoo! Mail” provavano a ritirare il consenso dato al rilascio dei cookie, il provider li informava che le conseguenze della loro scelta sarebbero state l’impossibilità di accedere ai servizi offerti dalla società e la perdita dell’accesso al servizio e-mail. La CNIL, in proposito, ha sottolineato che, sebbene non sia di per sé illegale vincolare l’uso di un servizio alla registrazione di cookie non strettamente necessari al funzionamento del servizio, ciò non toglie che il libero consenso dell’interessato ne sia l’irrinunciabile condizione di liceità. Ciò implica che la successiva revoca del consenso non deve comportare un danno per l’utente. In questo caso, tuttavia, la società non ha offerto un’alternativa agli utenti che desideravano ritirare il proprio consenso: l’unica opzione a disposizione dell’utente era quella di rinunciare all’uso del servizio di messaggistica. E se una persona per evitare di essere ulteriormente soggetta a profilazione di marketing deve rinunciare all’utilizzo della propria e-mail, la penalizzazione è eccessiva. La Commission ha giustamente sottolineato che un indirizzo e-mail è comunque un elemento essenziale della vita privata dell’utente, in quanto gli consente di scambiare informazioni con altri soggetti, di sviluppare la propria rete e di archiviare importanti conversazioni personali o professionali. Di conseguenza, man mano che gli utenti utilizzano il loro indirizzo e-mail, non possono più sostituirlo con un servizio simile con la stessa facilità con cui lo avrebbero fatto inizialmente. La CNIL ha pertanto ritenuto che, davanti alle conseguenze rappresentate da Yahoo! agli utenti, la revoca del consenso non potesse essere esercitata liberamente in violazione, anche in questo caso, dell’art. 82 del la Loi Informatique et Libertés.
Non è la prima volta che l’autorità d’oltralpe colpisce le cookie policy degli stabilimenti UE dei giganti americani del web. La sanzione da 10 milioni comminata a YAHOO EMEA LIMITED è poca cosa rispetto ai complessivi 250 milioni di euro di multa inferti a Google – prima con un provvedimento del 2020 da 100 mln poi con quello del 2021 da 150 mln – sempre per via dei “biscottini” rilasciati scorrettamente sul territorio francese. La CNIL ha sanzionato pesantemente anche i cookie di Amazon (35 milioni nel 2020) e quelli di Facebook (60 milioni nel 2021). Rispetto a questi colossi della digital economy, la minor entità della multa a Yahoo! è commisurata, in ossequio ai parametri sanzionatori del GDPR, al minor fatturato e numero di utenti (tanto più nella UE) di quella che fu una grande protagonista della prima massificazione di Internet ma che negli ultimi lustri ha perso immane terreno rispetto alla concorrenza.
