Menu principale
Fonti & Tematiche

Cookie: l’Autorità di controllo Francese sanziona Google e Facebook

7 Gennaio 2022

Il 31 dicembre 2021, l’Autorità francese per la protezione dei dati (“CNIL”) ha emesso due importanti decisioni nei confronti di Google e Facebook, comminando alle stesse sanzioni rispettivamente per 150 e 60 milioni di euro, per aver reso il meccanismo di rifiuto dei cookie più complesso di quello previsto per la loro accettazione, e per aver di fatto obbligato gli utenti a essere tracciati e profilati nei loro comportamenti online, nonché a consentire la condivisione dei propri dati personali con agenzie di marketing e ulteriori terze parti.

In particolare,  a seguito di una serie di attività di indagine condotte dalla CNIL nei confronti delle predette piattaforme per verificare la corretta applicazione delle proprie linee guida e delle raccomandazioni precedentemente emanate in materia di cookie, l’autorità ha constatato che il banner visualizzato sui siti google.fr, youtube.com e facebook.com presentava un tasto che permetteva l’immediata accettazione dei cookie, senza, tuttavia, che fosse previsto un meccanismo altrettanto semplice per poter rifiutare il loro impiego. Difatti, gli utenti erano costretti a compiere più azioni per rifiutare il consenso all’utilizzo dei cookie (essenzialmente per finalità di marketing e di profilazione), a fronte di una sola azione richiesta per accettarli, configurandosi in questo modo una violazione del principio della libertà del consenso e dei requisiti previsti dalla normativa per acquisire lo stesso in maniera lecita.

Le piattaforme sanzionate avranno, tuttavia, tre mesi per conformarsi alle linee guida vigenti e alla normativa francese, al fine di evitare ulteriori sanzioni.

Lo scenario Italiano: le linee guida cookie emessa dal Garante

Anche in Italia occorre fare molta attenzione.

Dal 10 Gennaio 2022, i siti e le piattaforme web che utilizzano cookie e altri strumenti di tracciamento dovranno infatti conformarsi alle nuove Linee guida adottate dal Garante per la protezione dei dati personali (il “Garante”), con provvedimento n. 231 del 10 Giugno 2021 (pubblicato in Gazzetta Ufficiale il 9 Luglio 2021) (le “Linee Guida”), per le quali, tuttavia, il Garante aveva concesso un termine di sei mesi dalla loro pubblicazione, per adottare le necessarie azioni di adeguamento.

Come sottolineato dal Garante stesso, le Linee Guida hanno l’obiettivo primario di rafforzare il potere decisionale degli utenti riguardo all’uso dei propri dati personali quando navigano on line.

Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno e ha comportato l’aggiornamento delle precedenti Linee guida del 2014, resosi ormai necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, nonché alla luce di una serie di ulteriori fattori, quali: l’esperienza maturata sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati; il crescente uso di tracciatori particolarmente invasivi; la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.

Come già previsto dalla normativa vigente, i cookie e gli altri strumenti di tracciamento con finalità diverse da quelle tecniche potranno essere utilizzati soltanto attraverso l’acquisizione del consenso informato rilasciato dall’utente con le modalità chiarite nelle nuove Linee Guida, fermo restando che in nessun caso – come ha chiarito il Garante - potrà essere invocata la scriminante del legittimo interesse del titolare per giustificare l’utilizzo di cookie o di altri strumenti di tracciamento.

Principali novità introdotte dalle Linee Guida

Le principali novità introdotte dal Garante attraverso l’adozione delle nuove Linee Guida riguardano:

  • alcune modalità di raccolta del consenso, quali:
  • il cosiddetto scrolling: strumento che, secondo il Garante, può costituire non l’unica, ma una delle componenti di un articolato procedimento volto a consentire all’utente di esprimere il proprio consenso in modo inequivoco e consapevole. Tuttavia, il titolare del trattamento dovrà far sì che modalità alternative di espressione del consenso online, rispetto a quelle indicate nelle Linee Guida, siano realizzate in modo tale da rendere inequivoco anche per l’utente l’effetto della propria azione.
  • Il cosiddetto cookie wall: ovvero quel meccanismo attraverso il quale l’utente viene obbligato ad esprimere un consenso all’installazione di cookie per poter accedere al sito web. Il Garante evidenzia la non conformità alla normativa vigente di tale meccanismo di raccolta del consenso, salva l’ipotesi in cui il titolare del sito offra all’interessato la possibilità di accedere ad un contenuto/servizio equivalenti senza prestare il proprio consenso all’installazione e all’uso di cookie;
  • la validità dei consensi già raccolti: nel caso in cui l’utente mantenga le impostazioni di default e dunque non rilasci alcun consenso all’impiego di cookie o altri strumenti di tracciamento, tale scelta dovrà essere debitamente registrata e la prestazione del consenso non potrà nuovamente essere sollecitata, se non in presenza di tre specifiche ipotesi:
  • il mutamento delle condizioni del trattamento;
  • l’impossibilità per il gestore del sito web di avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo;
  • la decorrenza di almeno 6 mesi dalla precedente presentazione del banner;
  • il meccanismo di acquisizione del consenso tramite banner: il Garante stabilisce l’adozione di uno specifico modello di banner da reputarsi in linea con gli obblighi previsti dalla normativa vigente, riguardante primariamente l’adeguatezza e la congruità delle dimensioni del banner. Quest’ultimo dovrà contenere, oltre al comando contraddistinto con una “X” per chiudere il banner, le seguenti opzioni:
  • l’avviso che la chiusura del banner comporterà il permanere delle impostazioni di default;
  • un’informativa breve con la quale si evidenzi che il sito web potrà utilizzare cookie di profilazione e strumenti di tracciamento, previa acquisizione del consenso libero dell’utente;
  • il link alla privacy policy;
  • un comando con il quale esprimere il consenso all’installazione dei cookie;
  • il link ad una pagina specifica nella quale sia possibile selezionare in modo analitico le funzionalità, le terze parti ed i cookie.

cross