Cookie e privacy sul web: il Garante francese sanziona (per iniziare) Google e Facebook.
Maxi sanzione: il Garante francese opta per la linea dura
La CNIL, Commission Nationale de l’Informatique et des Libertés, ovvero il Garante francese ha sanzionato sia Google che Facebook (ora Meta Platform Inc) per la stessa motivazione: violazione della direttiva ePrivacy, in particolare in fatto di cookie. D’altronde la CNIL ha emanato con largo anticipo (rispetto all’Italia, ad esempio) le proprie Linee Guida vincolanti per il tracciamento sui siti web: tali obblighi sono in vigore da Aprile 2021. Ora il Garante francese è già alla fase ispettiva ed ha emanato in questi pochi mesi oltre un centinaio di misure correttive: le multe di Dicembre rientrano in questo quadro.
Per approfondire > COOKIE: il perché di tutta questa attenzione
Per approfondire > EDPB: no ai cookie obbligatori per accedere alle informazioni online
Le sanzioni: quali motivazioni?
La CNIL si è concentrata sul banner per il consenso dei cookie non tecnici nei siti facebook.com, google.fr e youtube.com, riscontrando per tutti e tre lo stesso problema. I banner, per come sono concepiti, non consentono all’utente l’espressione di un consenso libero e informato. Il Garante ha sottolineato come un consenso sia libero quando è ugualmente facile sia prestarlo che negarlo. I banner analizzati permettono una semplice e veloce accettazione globale dei cookie, mentre per esprimere un eventuale rifiuto l’utente si vede catapultato in ulteriori banner e procedure sempre più complesse. Il principio è semplice: “un click per accettare, molti per rifiutare, determinano un evidente squilibrio negativo per l’utente“.
Insomma, così posti, i banner cookie sono un deterrente al rifiuto del consenso: ne consegue un impedimento al diritto di scelta dell’utente. Non a caso la CNIL ha ribadito come quei banner cookie non rispettino in alcun modo il principio della privacy by default e non abbiano come finalità principale la tutela della privacy dell’utente.
Un click per accettare, uno per rifiutare: la CNIL pretende semplicità
Il punto è evidente: Google, a tutt’oggi, al momento in cui un utente si collega al motore di ricerca, mostra un banner cookie dove non è presente il tasto Rifiuta.
Cliccare su Personalizza non migliora la situazione: l’utente viene spedito entro mille rivoli ma alla fine, comunque, deve concludere in ogni caso cliccando sul tasto “Conferma”. Ugualmente accade per Facebook. Per la CNIL:
“le informazioni fornite all’utente non gli consentano di comprendere chiaramente che può rifiutare i cookie. Si offre inoltre una scelta tra l’accettazione o il rifiuto dei cookie, ma le modalità con cui tale rifiuto può essere espresso pregiudicano l’espressione della scelta a favore del consenso in modo tale da alterare la libertà di scelta”.
Chissà quanti milioni di utenti avranno pensato di fronte ai cookie banner di Google o Facebook, che non ci si potesse rifiutare di esprimere il consenso.
Le sanzioni: a quanto ammontano?
L’ammontare delle due sanzioni è piuttosto alto: 60 milioni di euro l’ammontare di quella inflitta a Meta Platform, 150 milioni a Google. Non solo: entrambe le corporation hanno l’obbligo di correggere i propri banner pena 100.000 euro di sanzione per ogni giorno di ritardo.
Il ricorso di Google e Facebook e le proposte della CNIL
Le due Big Tech sono ovviamente corse ai riparti presentando ricorso contro la decisione del Garante Francese. Le motivazioni addotte sono state che nessuna normativa attualmente vigente prevede quanto contestato: insomma la CNIL avrebbe preso una decisione arbitraria.
Il Garante francese ha risposto con il considerando 42 del GDPR:
“il consenso non dovrebbe essere considerato come dato liberamente se la persona interessata non dispone di un’effettiva libertà di scelta o non è in grado di negare o revocare il consenso senza pregiudizio”
Pulsanti come “Personalizza” e “Accetta tutto” scoraggiano la negazione del consenso e, nel caso specifico, possono indurre addirittura a credere che sia impossibile rifiutare i cookie.
Non solo: la CNIL ha anche sottolineato come non richieda necessariamente l’aggiunta di un esplicito pulsante con scritto “Rifiuta tutto”. Ha però sottolineato l’importanza di prevedere una alternativa che consenta all’utente di rifiutare i cookie con la stessa facilità con la quale può accettarli.
C’è un precedente: le maxi multe a Amazon e Google
La CNIL non è affatto nuova a maxi sanzioni per violazioni delle normative sul tracciamento online: già nel Gennaio del 2021 ha comminato due maxi sanzioni, una ad Amazon e, di nuovo, contro Google per violazione della Cookie Law. In entrambi i casi sono stati contestati:
- il mancato auto blocco dei cookie, che venivano rilasciati prima del consenso dell’utente;
- l’incompletezza del cookie banner: dalle scarse indicazioni rispetto all’informativa privacy alla totale assenza di indicazioni rispetto alla tipologia di cookie che venivano caricati sul browser.
Per approfondire > L’autorità francese CNIL multa Google e Amazon per violazioni dei consensi Cookie
E in Italia a che punto siamo?
Tutto è avvenuto quasi in contemporanea con l’entrata in vigore in Italia delle nuove Linee Guida in fatto di tracciamento online e cookie, che hanno adeguato l’Italia alle previsioni della direttiva ePrivacy e ai principi del GDPR.
Per approfondire > Nuove Linee Guida del Garante su privacy e cookie nei sitiweb: quali obblighi?
Link utili:
Direttiva ePrivacy del 2019 > https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=CELEX%3A32002L0058
Pagina tematica del Garante sui cookie > https://www.gpdp.it/cookie
Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!