La CNIL sanziona Google e Facebook: ecco perché l’autorità francese per la protezione dei dati personali non risparmia (di nuovo) i grandi colossi del Web

CNIL sanziona Google e Facebook

La CNIL (l’autorità francese per la protezione dei dati personali), ha recentemente dichiarato di aver multato Alphabet (la società che controlla Google) e Meta (Facebook)per aver reso particolarmente onerosa agli utenti la possibilità di rifiutare l’attività di tracker online che si realizza tramite il previo consenso all’accettazione dei cookie: cioè quei minuscoli frammenti di dati che offrono aifruitori dei servizi web esperienze personalizzate, memorizzando piccole quantità di informazioni sulle loro attività.

In realtà, non è la prima volta che l’autority francese utilizza le regole europee dell’e-privacy per prendere di mira le “Big-Tech”: un anno fa, infatti, la CNIL aveva già sanzionato Google e Amazon con una multa di 100 e 35 milioni di euro per aver inserito cookie pubblicitari sui computer degli utenti «senza il consenso preventivo e senza fornire informazioni adeguate», mentre nel 2016 stessa sorte era toccata a Facebook, destinataria di una diffida per aver violato la legge nazionale sulla protezione dei dati personali.

Venendo al merito del recente contenzioso, rispetto all’ultimo caso oggetto di giudizio, come anticipato, secondo il comitato preposto all’irrogazione delle sanzioni, le due società (Google e Facebook) avrebbero realizzato i propri siti creando una sorta di “duopolio” de facto che non consente agli utenti di rifiutare, in modo semplice e intuitivo, l’attività di tracciamento dei propri dati, al fine specifico di influenzare la scelta a favore di un (inconsapevole) consenso ai cookie, condannando così chi naviga ad un tracciamento profilato dei propri comportamenti online che si ripercuote, tra l’altro, nella condivisione dei dati personali con agenziedi marketing e altre terze parti.

Secondo le “accuse” formulate dalla CNIL infatti, “molti siti hanno trasformato il rifiuto dei cookie in un percorso ad ostacoli in cui vi sono infiniti menu da scorrere verso il basso, opzioni da deselezionare, più passaggi da convalidare… mentre l’accettazione dei cookie avviene con un clic su un grande pulsante con scritto Accetta tutto“e che rende più agevole l’esperienza di navigazione”.

I cookie, invero, evidenziando le tracce di ciò che un utente fa sul web, vengono utilizzati per eseguire una serie molto articolata di operazioni tra cui autenticazioni informatiche o il monitoraggio di sessioni per la memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server.

Non è quindi un mistero che queste invisibili tracce possano rimanere nel sistema anche per lunghi periodi, monitorando la navigazione dell’utente all’interno del sito stesso, con il risultato di permettere a chi li installa di utilizzarli anche per finalità statistiche o pubblicitarie, al fine di creare un profilo personalizzato dell’utente partendo dalle pagine che lo stesso ha visitato e di mostrargli, di conseguenza, pubblicità mirate.

Proprio alla luce di tali ripercussioni, si evince il motivo per cui il Legislatore europeo abbia avvertito la necessità di disciplinarne le modalità di utilizzo: secondo il GDPR, infatti,non solo è opportuno che anche i siti web al di fuori dell’UE rispettino le prescrizioni comunitarie se raccolgono dati di utenti che si trovano all’interno del territorio europeo, ma, inoltre,risulta indispensabile che il consenso ai cookie possa esser revocato con la stessa facilità con cui viene fornito.

Sotto un profilo procedurale, è opportuno, precisare che il regolatore francese, nel caso di specie, ha potuto infliggere nei confronti di google.fr e facebook.com un’ammenda (dal valore rispettivamente di 150 e di 60 milioni di euro), unitamente all’intimazione di un’ulteriore sanzione, pari a 100 mila euro al giorno, qualora, le due piattaforme non si adegueranno alle prescrizioni raccomandate entro un termine perentorio di tre mesi, avvalendosi dell’art. 82 della legge francese sulla protezione dei dati personali (secondo cui“qualsiasi abbonato o utente di un servizio di comunicazione elettronica deve essere informato in modo chiaro e completo, a meno che non sia stato preventivamente informato dal responsabile del trattamento o dal suo rappresentante”).

Diversamente, non trova invece applicazione il meccanismo di cooperazione previsto dall’art. 60 GDPR, riferibile solo alle situazioni di trattamento transfrontaliero nell’ambito del cd. “one stop shop(principio dello sportello unico”), che permette ad un’Autorità – detta capofila – di rendere unica una decisione espressa in caso di trattamenti da parte di uno stesso organo di più stati membri e che quindi delimita l’applicazione della norma ad una prospettiva di circolazione europea dei dati personali, a differenza del prima menzionato art. 82 della Legge sulla protezione dei dati personali francese che, recependo, la Direttiva e-Privacy  legittima il garante d’oltralpe ad agire direttamente contro le multinazionali statunitensi, in quanto le operazioni connesse all’utilizzo dei cookie rientrano nel campo di applicazione della citata direttiva medesima.

Nondimeno, lo scopo di tale direttiva – che si pone come lex specialis rispetto alla lex generalis di cui al GDPR – è proprio quello di semplificare le regole relative ai cookie, razionalizzare il metodo di raccolta dei dati relativi al consenso, al fine di renderlo più “user friendly”, nonché garantire condizioni di parità e certezza del diritto per tutti gli operatori del mercato: rendendo così lapalissiane le ragioni dei provvedimenti del CNIL.

Rispetto alla presa di posizione dell’autorità francese, si sono determinate reazioni nettamente differenti da parte delle “Big-Tech” convenute: infatti, mentre Google sembra aver accolto immediatamente e in modo più recettivo i richiami dellautority francese, mostrando il proprio impegno a cambiare le proprie pratiche per attuare le dovute modifiche, Facebook, invece, sembra manifestare un atteggiamento più cautelo e attendista, dichiarando al quotidiano Le Figaro di trovarsi ancora in una fase preliminare di “studio della decisione della CNIL”.

A fronte di questi fatti, diventa, perciò sempre più importante prendere atto della circostanza secondo cui l’attività di profilazione e tracciamento incontrollati da parte delle Big-Tech, non sia solo un problema saltuario o di astratta configurazione, ma rappresenta una questione globale da tenere sotto controllo. Infatti, l’analisi e l’utilizzo dei Big-data raccolti dai grandi Colossi del web rendono spesso ardua l’applicazione di alcuni principi fondamentali tradizionali del diritto europeo in materia di protezione dei dati, specialmente in un momento storico in cui i sistemi di Intelligenza Artificiale risultano sempre più sofisticati nella capacità di processare ingenti quantità di informazioni, sollevando interrogativi (presenti e futuri) sulle concrete prospettive configurabili in tema di responsabilità per le violazione arrecate agli utenti nello svolgimento delle operazioni di trattamento dei dati personali.

Federica Giaquinta

author avatar
Saverio Gatto

Potrebbe interessarti

1673803521689
Aperitivi con l’innovazione – Business Angels: chi sono e dove trovarli
16 Gennaio, 2023
1
Il 24 novembre, Benedetta Arese Lucini per il secondo appuntamento sull’ecosistema startup
24 Novembre, 2022
3
Aperitivi dell’innovazione: il 15 novembre il primo dei 5 appuntamenti sul mondo startup
11 Novembre, 2022

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Istituto per le Politiche dell'Innovazione