Violata la normativa sui cookie: il Garante francese sanziona azienda per l’installazione senza consenso dei cookie di Google Analytics sui dispositivi degli utenti.
Il contesto e le ispezioni del Garante
La CNIL, l’autorità garante per la protezione dei dati personali francese, ha sanzionato una società attiva nel campo dei pagamenti online. La società dispone, per i propri servizi, di un sito web e di un’app che consente l’esecuzione di pagamenti online previa registrazione al servizio stesso.
Questa azienda consente pagamenti online in due forme:
- distribuendo, nei punti vendita autorizzati, coupon spendibili in siti partner;
- creando un portafoglio elettronico al momento della registrazione dell’utente sul sito aziendale;
- tramite l’app, che cosente il pagamento tramite carta di credito.
Nel 2021 il Garante francese ha effettuato ben due ispezioni nella sede legale della società, riscontrando più violazioni
- nel periodo di conservazione dei dati degli utenti;
- nell’informativa privacy;
- a livello di sicurezza dei dati e di utilizzo di cookie e tracker online sul portale utente.
La sanzione della CNIL e le motivazioni
Il Garante ha sanzionato l’azienda, quindi, per tre diverse violazioni del GDPR. Riguardo alla conservazione dei dati, la CNIL ha verificato come, durante la creazione dell’account utente sul sito web, venivano raccolti molteplici dati (anche eccessivi rispetto alla finalità del trattamento) senza che fosse stato fissato un limite di conservazione. Infatti l’azienda deteneva dati risalenti addirittura al 2005, anno di inizio dell’attività economica.
Evidente quindi la violazione dell’art 5 GDPR che esplicita che i dati personali debbano essere conservati
“conservati in una forma che consenta l’identificazione degli interessati per un periodo non superiore a quello necessario agli scopi per i quali sono trattati”.
Venendo invece all’informativa privacy, la CNIL ha verificato come questa non fosse aggiornata dal 2018, quindi osboleta e mancante di informazioni aggiornate, in lingua inglese a fronte di una quasi totalità di utenti francofoni.
Per quanto riguarda le misure di sicurezza poste a protezione dei dati personali, il Garante francese ha ritenuto l’azienda responsabile sia di non aver imposto regole più stringenti per obbligare gli utenti a utilizzare password solide sia di non aver adottato alcuna misura di sicurezza. Le password infatti erano conservate, in formato testuale e in associazione all’indirizzo email ed ID dell’utente. La forma di hash scelta per la conservazione delle password, SHA-1, non è più conforme allo stato dell’arte tecnico.
La violazione nell’uso dei cookie di Google Analytics
La CNIL ha contestato alla società anche un uso illegittimo dei cookie e dei tracker online. In particolare, la violazione riguarda l’installazione dei cookie di Google Analytics sui dispositivi degli utenti senza previo consenso. Questa è una violazione palese del GDPR “nella misura in cui questi cookie possono includere funzionalità pubblicitarie e, in ogni caso, consentono di raccogliere dati che possono essere utilizzati per mantenere e proteggere il servizio Analytics, essi non possono essere inseriti nel terminale dell’utente senza il suo consenso”, si legge nel provvedimento.
Per approfondire > Google Analytics illegale in Europa? Cosa è utile sapere?
Anche l’uso di Google reCAPTCHA è risultato illegittimo. Come è noto, Google reCAPTCHA raccoglie informazioni sull’hardware e il s oftware dell’utente e trasmette tali dati a Google per l’analisi. La società sanzionata non ha fornito, sul punto, né adeguata informativa agli utenti né richiesta di consenso preventivo al trattamento dati.
L’insieme delle violazioni ha portato il Garante francese a comminare all’azienda una sanzione amministrativa di 105.000 euro.
Il provvedimento completo è disponibile qui.
