CNIL: Google e Amazon sanzionate dall’Autorità di controllo francese per violazioni della normativa nazionale in materia di cookie

0

Il 7 dicembre 2020 l’autorità di controllo francese in materia di protezione dei dati personali, la Commission nationale de l’informatique et des libertés (CNIL), ha reso noto di aver irrogato sanzioni multimilionarie per violazione della normativa privacy in materia di utilizzo di cookie. La Decisione n° SAN-2020-012 del 7 dicembre 2020 ha riguardato Google: sono state inflitte sanzioni per complessivi 100.000.000 euro contro Google LLC e Google Ireland Limited. Con la Decisione n° SAN-2020-013 del medesimo giorno è stata, invece, sanzionata Amazon Europe Core per 35.000.000 euro.

Per Google non si tratta della prima sanzione emanata dall’autorità francese. La società statunitense infatti era già stata sanzionata nel gennaio 2019 – per ben 50.000.000 euro – per non essersi conformata alle disposizioni del Regolamento Ue 2016/679 (GDPR). In quell’occasione, l’autorità francese contestò le modalità con le quali venivano rese agli interessati le informazioni obbligatorie ai sensi del GDPR – la cui consultazione da parte degli utenti era resa particolarmente complessa – nonché le modalità con le quali veniva ottenuto il consenso sulla base del quale Google effettuava trattamenti con finalità di personalizzazione pubblicitaria.

Nel contesto del suo piano d’azione in materia di behavioural advertising, la CNIL ha rilasciato nei mesi scorsi una versione aggiornata delle sue linee guida per l’utilizzo dei cookie e una raccomandazione aggiornata in materia lo scorso 1° ottobre 2020. Tuttavia, nei casi in oggetto, la CNIL ha sanzionato la società Amazon Europe Core, da un lato, e Google LLC insieme a Google Ireland Limited, dall’altro, per violazioni di regole già vigenti prima dell’entrata in vigore del GDPR: è proprio il caso di dire che l’Autorità non ha tollerato le giustificazioni di alcuna sorta relative all’incertezza del quadro normativo vigente che le società avevano provato a porre a loro difesa.

Sanzione contro il colosso del settore e-commerce Amazon

Le investigazioni compiute dalla CNIL, aventi ad oggetto tra l’altro il sito web amazon.fr, hanno avuto luogo dal 12 dicembre 2019 sino al 19 maggio 2020. L’autorità ha preso atto che, una volta fatto l’accesso al sito web in questione, numerosi cookie venivano direttamente installati sul dispositivo dell’interessato, senza che lo stesso avesse compiuto alcuna scelta in merito. Molti di questi cookie venivano poi usati per scopi pubblicitari.

I fatti osservati si ponevano in violazione dell’art. 82 della Loi Informatique et Libertés del 1978 che in Francia ha recepito le disposizioni dell’art. 5, paragrafo 3, della Direttiva UE 2002/58/CE, come modificata dalla Direttiva 2009/136/CE (la cd. Direttiva e-Privacy). La disposizione violata impone infatti ai gestori dei siti web di richiedere il consenso degli utenti del sito per l’installazione e l’utilizzo di cookie non essenziali per il funzionamento del sito medesimo. I cookie non necessari, quali quelli installati per finalità pubblicitarie e/o di profilazione dell’utente, dunque, non possono essere installati se non dopo aver ottenuto il preventivo consenso.

A ciò, tuttavia, si aggiungeva anche una carenza di informazioni fornite agli utenti del sito. Inoltre, le poche informazioni fornite non risultavano neppure chiare. L’autorità, in particolare, criticava le generali e approssimative informazioni descrittive delle finalità dei cookie utilizzati sul sito contenute nel banner che appariva all’ingresso (come si evince dal comunicato pubblicato dall’Autorità francese, le informazioni riportate erano le seguenti: “By using this website, you accept our use of cookies allowing to offer and improve our services. Read More.”). Dalla mera lettura del banner, l’interessato non avrebbe infatti potuto chiaramente comprendere che i cookie installati sul suo dispositivo sarebbero stati utilizzati, per lo più, al fine di mostrargli pubblicità personalizzata in linea con le sue preferenze e abitudini di navigazione. Inoltre, il banner non illustrava la possibilità di rifiutare l’utilizzo dei cookie e le modalità da utilizzarsi per opporsi. Agli utenti che aprivano il sito amazon.fr dopo aver cliccato su una pubblicità presente su un altro sito non era invece fornita alcuna informazione.

L’Autorità quindi non ha potuto che rilevare che, fino al restyling del sito web, avvenuto nel settembre 2020, la società ha installato cookie sui dispositivi degli utenti francesi – milioni di utenti al giorno – senza fornire loro sufficienti informazioni ai sensi dell’art. 82 della Loi Informatique et Libertés.

Inoltre, le modifiche apportate al sito amazon.fr, che hanno riguardato anche le informazioni presenti sul banner, non sono, secondo l’Autorità francese, ancora sufficienti affinché gli utenti d’oltralpe comprendano che i cookie sono perlopiù utilizzati per proporre loro pubblicità personalizzata. In aggiunta, prosegue la CNIL, gli interessati non sono ancora informati sul fatto che possono rifiutare l’utilizzo di cookie. Conseguentemente, oltre la sanzione pecuniaria, la CNIL ha ordinato ad Amazon di informare adeguatamente gli utenti del sito entro tre mesi dalla notifica della decisione, dovendo pagare una penale di 100.000 euro per ogni giorno di eventuale ritardo: si tratta ancora una volta di un esempio della varietà dei poteri di intervento delle autorità francesi.

Per quanto riguarda la determinazione dell’ammontare della sanzione pecuniaria, la CNIL ha tenuto conto della gravità della violazione commessa (in particolare, per quanto riguarda i trattamenti di dati effettuati tramite l’installazione di cookie sui dispositivi degli utenti che provenivano da altro sito, dopo aver cliccato su un banner pubblicitario); della portata delle operazioni compiute (non solo quelli di Amazon, ma anche i cookie di altre società terze venivano installati sul sito amazon.fr senza il consenso dell’interessato); al numero di utenti coinvolti (sembrerebbe, nella sola Francia, circa 300 milioni di identificatori siano stati assegnati in nove mesi, che corrispondono probabilmente ad un numero inferiore di utenti considerato che ciascun utente può aver numerosi dispositivi in uso) e al fatturato conseguito anche grazie alla violazione commessa.

Sanzione contro il motore di ricerca Google

Similmente a quanto successo per Amazon, anche nel caso di Google, le investigazioni compiute dalla CNIL nel marzo 2020 hanno mostrato che quando un utente visitava il sito google.fr, dei cookie venivano installati sul dispositivo dell’utente, senza che quest’ultimo avesse compiuto alcuna azione, e parte di questi venivano utilizzati per finalità pubblicitarie.

L’Autorità ha, in particolare, riscontrato tre violazioni dell’art. 82 della Loi Informatique et Libertés.

La prima consisteva nel mancato ottenimento del consenso dell’utente prima dell’installazione di cookie utilizzati per finalità di profilazione (l’affermazione dell’Autorità non è stata neppure contestata dalla società Google Ireland).

Il banner visualizzato dagli utenti del motore di ricerca, inoltre, non mostrava sufficienti informazioni relativamente ai cookie – che, in ogni caso, erano già stati installati sul dispositivo dell’utente – alle loro finalità, nonché alle modalità con le quali era possibile rifiutare il loro utilizzo (come si evince dal comunicato dell’Autorità, il banner riportava la seguente dicitura “Privacy reminder from Google”, con due differenti opzioni “Remind me later” e “Access now”). Le necessarie informazioni richieste, inoltre, non erano fornite neppure agli utenti che, dal banner predetto, si recavano su altra pagina informativa tramite click su uno dei bottoni ivi presenti.

Infine, l’Autorità ha rilevato un’ulteriore violazione riguardante il meccanismo di opposizione proposto da Google. In particolare, quando l’utente disattivava la personalizzazione degli annunci su Google, utilizzando l’apposito strumento accessibile dal banner, uno dei cookie di profilazione veniva ancora conservato sul dispositivo dell’utente, continuando a funzionare senza che gli venisse conferito l’attributo di cookie soggetto ad “opt-out” da parte dell’utente. Il meccanismo di opposizione (e non anche di revoca del consenso, dato che questo non era, nei fatti, ottenuto) risultava quindi viziato e si poneva in violazione dell’art. 82 della Loi Informatique et Libertés.

Nel caso di Google, è poi importante rilevare che la CNIL ha imposto una sanzione a Google LLC e un’altra a Google Ireland, in quanto l’Autorità – contrariamente alle difese delle società coinvolte – ha ritenuto che queste determinino congiuntamente le finalità e i mezzi di trattamento relativi alle operazioni di accesso e registrazione di informazioni nel dispositivo degli utenti francesi tutte le volte in cui si utilizza il motore di ricerca di Google Search. Al contrario, le società si erano difese sul punto affermando che la società californiana agisse unicamente per conto della società irlandese. La CNIL, tuttavia, ha giudicato diversamente, fondando la propria posizione, tra l’altro, sui seguenti aspetti:

  1. i) la società Google LLC progetta e costruisce la tecnologia per i prodotti Google: per quanto riguarda i cookie installati quando si utilizza il motore di ricerca di Google Search, non c’è differenza di tecnologia tra i cookie inseriti dalle diverse versioni del motore di ricerca (le società, al contrario, avevano sottolineato differenze nei trattamenti di dati personali effettuati in Europea rispetto ad altre regioni nel mondo, come ad esempio in materia di periodi di conservazione);
  2. ii) la società Google LLC è coinvolta nelle decisioni relative alla diffusione dei prodotti in Europa e al trattamento dei dati personali degli utenti che vi risiedono, esercitandovi un’influenza significativa;
  3. iii) le differenze riscontrate tra i cookie immessi sui dispositivi degli utenti europei e quelli del resto del mondo sono poste in essere al solo fine di rispettare la normativa applicabile in Europa: ciò non inficia la circostanza che lo scopo pubblicitario, complessivamente considerato, per il quale sono utilizzati i cookie, è determinato anche dalla società statunitense.

A nulla vale, invece, secondo la CNIL la qualificazione dei ruoli privacy determinata dalle parti nei loro accordi interni, contando al contrario il reale coinvolgimento della società statunitense nella scelta e determinazione delle finalità e dei mezzi del trattamento.

Per la quantificazione dell’ammontare, l’Autorità ha tenuto conto della serietà e della numerosità delle violazioni, del numero di interessati coinvolti dal trattamento oggetto di violazione (quasi cinquanta milioni di utenti), nonché del significativo profitto delle due società derivante dalla raccolta pubblicitaria indirettamente generata dai dati raccolti dai cookie pubblicitari.

Dal 10 settembre 2020, le due società non installano più automaticamente cookie di profilazione sui dispositivi degli utenti francesi che visitano il sito google.fr. Tuttavia, anche in tale caso, la CNIL ha rilevato che le informazioni fornite non sono ancora sufficienti in quanto non permettono di comprendere chiaramente le finalità dei cookie utilizzati. Sono inoltre incomplete in quanto non viene ancora reso noto agli interessati la circostanza che è possibile opporsi all’utilizzo di cookie.

Come conseguenza, entro 3 mesi, le società dovranno adeguare le informazioni fornite ai sensi di quanto richiesto dall’art. 82 della Loi Informatique et Libertés (anche in questo caso, come per Amazon, dovrà essere pagata una penale di 100.000 euro per ogni giorno di ritardo).

Ma su cosa si fonda la competenza dell’Autorità francese nei due casi in oggetto? Come mai non è stato applicato il meccanismo dello sportello unico?

Sia nel caso Amazon, che in quello Google, le società coinvolte hanno contestato la competenza dell’Autorità francese. Tuttavia, la CNIL non ha avuto dubbi nell’affermare la sua competenza a controllare e sanzionare le pratiche relative all’installazione di cookie su dispositivi di utenti che vivono in Francia (ai sensi dell’art. 16 della Loi Informatique et Libertés).

Il meccanismo di cooperazione fra più Autorità di controllo previsto dal GDPR – chiesto sia dal motore di ricerca che dal colosso dell’e-commerce – prosegue l’Autorità, non trova applicazione nelle procedure in questione poiché le operazioni di trattamento relative all’utilizzo di cookie ricadono nel contesto della Direttiva e-Privacy (come predetto trasposta in Francia dall’art. 82 della Loi Informatique et Libertés) e, ai sensi dell’art. 15-bis della Direttiva predetta, sono gli Stati membri a determinare le sanzioni da irrogare in caso di violazione delle norme nazionali di attuazione della Direttiva e-Privacy, a prendere tutti i provvedimenti necessari per la loro applicazione e a provvedere affinché l’autorità nazionale competente e, se del caso, altri organismi nazionali, abbiano la competenza di ordinare la cessazione delle violazioni della Direttiva. Il controllo del rispetto dell’art. 82, dunque, rientrerebbe nella competenza dell’Autorità di controllo francese e la formulazione dell’art. 15-bis della Direttiva e-Privacy escluderebbe l’applicazione del meccanismo dello sportello unico previsto dal GDPR ai fatti che hanno ad oggetto l’applicazione della Direttiva e-Privacy.

A riprova, inoltre, la CNIL cita il fatto che gli Stati membri, in ipotesi, avrebbero potuto demandare il controllo del rispetto della Direttiva e-Privacy ad altri “organismi nazionali” – diversi dall’Autorità di controllo prevista dal GDPR – che, in ipotesi, potrebbero non far parte dell’EDPB, che svolge una funzione essenziale nel meccanismo previsto nel capo VII del GDPR. D’altronde, conclude la CNIL, tale interpretazione è coerente con il Parere 5/2019 sull’interazione tra la direttiva e-privacy e il regolamento generale sulla protezione dei dati, in particolare per quanto concerne competenze, compiti e poteri delle autorità per la protezione dei dati, adottato il 12 marzo 2019 dall’EDPB (dove si afferma che “Secondo il capo VII del regolamento generale sulla protezione dei dati, i meccanismi di cooperazione e coerenza a disposizione delle autorità per la protezione dei dati a norma del regolamento riguardano il controllo dell’applicazione delle disposizioni del regolamento. I meccanismi del regolamento non si applicano all’attuazione delle disposizioni contenute nella direttiva e-privacy in quanto tali.”).

Infine, la CNIL – in entrambi i casi – cita ad ulteriore sostegno della sua posizione il fatto che la possibile applicazione del meccanismo dello sportello unico al trattamento disciplinato dalla Direttiva e-Privacy è oggetto di approfondimento e confronto nel contesto della negoziazione del progetto di Regolamento e-Privacy, di riforma della Direttiva predetta. Tali discussioni, a parere dell’Autorità, non fanno che confermare il fatto che, allo stato, il meccanismo dello sportello unico previsto dal GDPR non si applica alle materie adesso disciplinate dalla Direttiva e-Privacy.

E con riguardo alla competenza territoriale?

L’art. 3 della Loi Informatique et Libertés afferma che le disposizioni della legge in oggetto si applicano a tutti i trattamenti effettuati da un titolare del trattamento o da un responsabile del trattamento nell’ambito delle attività di uno stabilimento localizzato su territorio francese, indipendentemente dal fatto che il trattamento avvenga o meno in Francia.

Nei casi in oggetto, l’utilizzo di cookie è stato posto in essere nel contesto delle attività della società Amazon Online France SAS che rappresenta lo stabilimento della società Amazon Europe Core nel territorio francese e che promuove i suoi prodotti e servizi (quali ad esempio, la DSP di Amazon Europe Core, che funziona anche grazie ai dati raccolti tramite i cookie inseriti nei dispositivi degli utenti).

Nel secondo caso, l’utilizzo di cookie è avvenuto nel contesto delle attività della società Google France Sarl che è lo stabilimento sul territorio d’oltralpe con sede legale a Parigi, delle società Google LLC e Google Ireland Limited e che promuove i loro prodotti e servizi. Si occupa ad esempio della promozione della pubblicità online per conto della Google Ireland Limited, che poi conclude i contratti pubblicitari con società francesi o filiali francesi di società internazionali, nonché di prodotti e servizi ideati e sviluppati dalla società Google LLC, come Google Search.

Gli scenari futuri in Italia e la consultazione indetta dal Garante per la protezione dei dati personali

Dopo che diverse Autorità di controllo hanno emanato negli ultimi mesi prescrizioni, linee guida e raccomandazioni sul tema dei cookie – anche sulla scia di quanto recentemente affermato dall’EDPB in materia di consenso (si tratta della nuova versione delle Guidelines 05/2020 on consent under Regulation 2016/679, di cui avevamo già parlato in precedenza: Cookie e consenso: le Linee Guida sul consenso del 4 maggio 2020 e il colpo allo “scroll” da parte dell’EDPB) – in questo momento storico, il tema in oggetto è sicuramente d’interesse in tutta Europa.

La notizia delle predette sanzioni contro Google e Amazon è stata resa nota proprio nel giorno in cui in Italia il Garante per la protezione dei dati personali ha comunicato l’avvio di una consultazione pubblica sulle regole per l’uso dei cookie da parte dei gestori dei siti. Con provvedimento del 26 novembre 2020, pubblicato sul sito web istituzionale proprio lo scorso 7 dicembre, l’Autorità di controllo italiana ha deliberato l’avvio di una procedura di consultazione pubblica, al fine di acquisire osservazioni e proposte rispetto alle indicazioni che il Garante intende fornire con le “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento” relativamente alla normativa applicabile all’utilizzo di cookie, con particolare riguardo alle modalità da utilizzare per la fornitura dell’informativa e l’ottenimento del consenso degli utenti.

Alla luce di ciò, tutti i soggetti interessati e, preferibilmente, le associazioni di categoria rappresentative dei settori di appartenenza quali ad esempio quelle imprenditoriali, dei consumatori e degli operatori, potranno far pervenire entro trenta giorni dalla pubblicazione dell’avviso sulla Gazzetta Ufficiale della Repubblica italiana – avvenuta lo scorso 11 dicembre 2020 (Pubblicato sulla Gazzetta Ufficiale n. 307 dell’11 dicembre 2020) – le loro osservazioni e proposte riguardo alle predette Linee guida.

Share this article!
Share.

About Author

Leave A Reply