La Commission Nationale de l’Informatique et des Libertés (CNIL), autorità francese per la protezione dei dati personali, ha reso noto che con un duplice provvedimento ha deciso di punire Google (Google LLC e Google Ireland) con una sanzione da complessivi 100 milioni di euro ed Amazon Europe Core, con una multa da 35 milioni di euro per violazione delle regole sull’utilizzo dei cookie pubblicitari. Le decisioni sono state assunte senza ricorrere al meccanismo dello “sportello unico” (one-stop shop) previsto dal GDPR, questo perché i trattamenti di dati derivanti dall’uso dei cookie rientrano nell’ambito di applicazione della direttiva ePrivacy 2002/58/CE recepita dall’art. 82 della legge francese sulla protezione dei dati. In virtù di ciò, il CNIL si è ritenuto territorialmente competente poiché, nel caso di Google, l’uso dei cookie è fatto nell’ambito delle “attività” della società Google France che è lo “stabilimento” sul territorio francese di Google LLC e Google Ireland Limited e promuove i loro prodotti e servizi. Le società Google LLC e Google Ireland Limited sono ritenute congiuntamente responsabili in quanto entrambe determinano le finalità e i mezzi relativi all’uso dei cookie. Nel caso, invece, del colosso dell’e-commerce, l’utilizzo dei cookie si svolge nell’ambito delle attività della società Amazon France che costituisce lo “stabilimento” sul territorio francese della società lussemburghese Amazon Europe Core e garantisce la promozione dei suoi prodotti e servizi.
Nel contesto del suo piano d’azione in materia di behavioural advertising, peraltro, la CNIL ha rilasciato nei mesi scorsi un aggiornamento delle sue linee guida specificatamente per l’utilizzo dei cookie e una raccomandazione aggiornata in materia lo scorso 1 ottobre 2020.
Per quanto concerne Amazon, La CNIL ha dapprima condotto una serie di investigazioni aventi ad oggetto tra l’altro il sito web amazon.fr, all’esito delle quali l’autorità francese ha preso atto di un pericoloso automatismo: difatti, una volta effettuato l’accesso al sito web in questione, numerosi cookie venivano direttamente installati sul dispositivo dell’interessato, senza alcuna scelta in tal senso. Peraltro, molti di questi cookie venivano poi usati per scopi pubblicitari.
I fatti osservati si ponevano in violazione dell’art. 82 della Loi Informatique et Libertés del 1978 che in Francia ha recepito la Direttiva UE 2002/58/CE, come modificata dalla Direttiva 2009/136/CE (la cd. Direttiva e-Privacy).
Invero, la disposizione violata impone ai gestori dei siti web di richiedere il consenso degli utenti del sito per l’installazione e l’utilizzo di cookie non essenziali per il funzionamento del sito medesimo.
I cookie non necessari, tra i quali rientrano senz’altro quelli installati per finalità pubblicitarie o di profilazione dell’utente non possono essere installati se non dopo aver ottenuto il preventivo consenso dell’interessato.
A ciò si aggiungeva anche una carenza di informazioni fornite agli utenti del sito, e comunque, le poche informazioni fornite non risultavano neppure chiare.
L’autorità, in particolare, criticava la vaghezza della descrizione delle finalità dei cookie utilizzati sul sito contenute nel banner che appariva all’ingresso: “By using this website, you accept our use of cookies allowing to offer and improve our services. Read More”.
La descrizione generica e approssimativa del banner circa gli scopi di tutti i cookie depositati faceva sì che l’utente non fosse in grado di capire d’acchito, come richiesto dalla normativa, che i cookie inseriti nel suo dispositivo avevano lo scopo principale di visualizzare pubblicità personalizzata.
La CNIL ha inoltre rilevato che il banner non indicava all’utente il diritto di rifiutare questi cookie e i mezzi a sua disposizione a tale scopo. Oltre a ciò, la Commission ha constatato che la violazione era ancora più evidente nel caso di utenti che visitavano il sito amazon.fr dopo aver cliccato un annuncio pubblicato su un altro sito web: anche in questi casi, gli stessi cookie erano rilasciati senza fornire alcuna informazione agli utenti.
L’Autorità quindi ha rilevato che, almeno fino al restyling del sito web, avvenuto nel settembre 2020, la società ha installato cookie sui dispositivi di milioni di utenti francesi senza fornire loro sufficienti informazioni in conformità alla legge suindicata.
Inoltre, la CNIL nemmeno ha ritenuto sufficienti le modifiche apportate al sito amazon.fr, che hanno riguardato anche le informazioni presenti sul banner, affinché gli utenti comprendano che i cookie sono perlopiù utilizzati per proporre loro pubblicità personalizzata nonché della possibilità di rifiutare l’utilizzo di cookie.
Conseguentemente, oltre la sanzione pecuniaria, la CNIL ha ordinato ad Amazon di informare adeguatamente gli utenti del sito entro tre mesi dalla notifica della decisione, dovendo pagare una penale di 100.000 euro per ogni giorno di eventuale ritardo.
Similmente a quanto successo per Amazon, anche nel caso di Google, la CNIL ha rilevato un uso distorto dei cookie: infatti, quando un utente visitava il sito google.fr, essi venivano installati sul dispositivo dello stesso senza che quest’ultimo avesse compiuto alcuna azione, e parte di questi venivano utilizzati per finalità pubblicitarie, pertanto ha contestato tre violazioni dell’art. 82 della Loi Informatique et Libertés.
La prima, per il mancato ottenimento del consenso preventivo dell’utente per l’installazione di cookie utilizzati per finalità di profilazione.
In secondo luogo, il banner visualizzato dagli utenti non mostrava sufficienti informazioni relativamente ai cookie che, in ogni caso, erano già stati installati sul dispositivo dell’utente, nonché in relazione alle modalità con le quali era possibile rifiutare il loro utilizzo. In particolare, veniva riportata la seguente dicitura: “Privacy reminder from Google”, con soltanto due differenti opzioni “Remind me later” e “Access now”.
Infine, l’Autorità ha rilevato un’ulteriore violazione riguardante il meccanismo di opposizione proposto da Google. In particolare, quando l’utente disattivava la personalizzazione degli annunci su Google, utilizzando l’apposito strumento accessibile dal banner, uno dei cookie di profilazione veniva ancora conservato sul dispositivo dell’utente, continuando a funzionare senza che gli venisse conferito l’attributo di cookie soggetto ad “opt-out” da parte dell’utente. Il meccanismo di opposizione (e non anche di revoca del consenso, dato che questo non era, nei fatti, ottenuto) risultava quindi viziato e si poneva in violazione dell’art. 82 della Loi Informatique et Libertés.
Dal 10 settembre 2020, le due società non installano più automaticamente cookie di profilazione sui dispositivi degli utenti francesi che visitano il sito google.fr. Tuttavia, anche in tale caso, la CNIL ha rilevato che le informazioni fornite non sono ancora sufficienti in quanto non permettono di comprendere chiaramente le finalità dei cookie utilizzati. Sono inoltre incomplete, in quanto non viene ancora reso noto agli interessati la circostanza che è possibile opporsi. Come conseguenza, entro 3 mesi, le società dovranno adeguare le informazioni fornite ai sensi di quanto richiesto dall’art. 82 della Loi Informatique et Libertés (anche in questo caso, come per Amazon, dovrà essere pagata una penale di 100.000 euro per ogni giorno di ritardo).