Cookie: È della Francia l’ultima sanzione in ordine temporale ai danni di alcune delle cd. Big Tech, le grandi aziende del mercato digitale – principalmente americane – sempre più sotto la lente di ingrandimento delle Autorità Indipendenti e di Regolazione dell’Occidente.
La Commission Nationale de l’Informatique et des Libertés (o CNIL), l’equivalente del nostrano Garante per la Protezione dei dati Personali, ha infatti irrogato due sanzioni ad Alphabet (società detentrice del noto motore di ricerca Google, nonché di Youtube) e Meta (proprietaria di Facebook) per rispettivi 150 e 60 milioni di euro.
Perché Google e Facebook non erano a norma con i cookie?
La motivazione risiede nella modalità con cui queste società, ed i loro correlati servizi (sui siti web facebook.com, google.fr e youtube.com) impostano la loro Cookie Policy: con questo termine, si fa riferimento al documento che descrive la gestione da parte del titolare del sito web del tracciamento degli utenti mediante Cookies. Come abbiamo ampiamente trattato in questo articolo, i Cookies sono uno strumento con cui far funzionare meglio un sito web, o profilare le preferenze degli utenti per poter meglio indirizzare una pubblicità che abbia loro come target specifici, rendendo così più appetibili alle aziende le vetrine di advertisement offerti da questi colossi, che possono dunque trarre maggiore profitto.
Tuttavia, secondo la legislazione europea i Cookies, per poter essere abilitati, necessitano del consenso dell’utente: a questo servono i Cookie banner, caselle che spuntano all’apertura di un sito web per descrivere se e quali cookie l’utente voglia attivare, e quale sia la loro funzione.
A detta dell’Autorità Garante francese, Google e Facebook non avrebbero impostato dei Cookie banner adeguati, che non rendono cioè agevole per l’utente rifiutare interamente i Cookies e, quindi, il tracciamento (possibilità che invece dev’essere sempre garantita). La colpa di Google e Facebook è cioè quella di aver impostato i Cookie banner in modo da rendere più difficile per l’utente negare il consenso: per accettare il tracciamento basta cliccare su un pulsante, per rifiutarlo occorrono più passaggi, che scoraggiano l’utente. Inoltre, i banner non presentavano l’opzione classica e più intuibile per il rifiuto in blocco dei Cookies, ossia la “X” posta in alto a destra per l’uscita e la disattivazione del banner.
Cookie: non basta il consenso, il banner deve anche essere intuitivo e inequivocabile
Per i motivi esposti in precedenza, non sarebbe difficile intuire il motivo di questa condotta da parte dei giganti del Web: l’attivazione dei Cookies può comportare un migliore funzionamento del sito (Cookie tecnici), ma può anche abilitare il tracciamento delle preferenze dell’utente (Cookie di profilazione), aumentando le possibilità che sia attratto dalla specifica pubblicità che può più interessargli e che gli viene proposta dal proprietario del sito (Cookie di prima parte) o da terzi (Cookie di terze parti). Data l’estrema importanza che rivestono questi strumenti, il Comitato Europeo per la Protezione dei dati (EDPB) ha emanato, il 4 maggio 2020, le Linee Guida sul consenso ai sensi del Regolamento Ue 2016/679 (GDPR), a cui sono seguite le Linee Guida Cookie e altri strumenti di tracciamento del Garante per la Protezione dei Dati Personali, del 10 giugno 2021.
Per avere un quadro completo di come debbano funzionare i Cookies alla luce delle recenti Linee Guida, si consiglia questo approfondimento.
Ma dietro la maxi-sanzione della Francia ad Alphabet e Meta c’è di più del Cookie banner: oltre che richiedere il consenso, come spiegato qui, la normativa europea (GDPR, 2002/58/CE, cd. direttiva e-Privacy) nonché il Codice Privacy italiano, anche alla luce delle interpretazioni dell’EDPB e dell’Autorità Garante italiana, richiede che il consenso sia libero, specifico, informato, inequivocabile, con meccanismi che facilitino ciò già dalla progettazione (Privacy by Design) e con impostazioni predefinite (Privacy by Default). Non è pertanto ammessa la possibilità di influenzare la scelta dell’utente sul rifiuto o meno del tracciamento, rendendogli una delle due opzioni più “scomoda”.
L’Autorità francese ha imposto a Google e Facebook di adeguare i propri servizi alle sue prescrizioni entro 3 mesi, pena un inasprimento delle sanzioni di aggiuntivi centomila euro per ogni ulteriore giorno di irregolarità.
Altre grosse sanzioni in tema di cookie & tech
L’Autorità francese non è nuova a questo tipo di interventi contro i giganti del Web: già nel 2020 aveva multato Google per 100 milioni di euro, ed Amazon per 35, perché similmente non conformavano i propri servizi con la normativa in tema di protezione dati e di acquisizione del consenso riguardo i Cookies.
Sempre in Francia, un altro grosso operatore del settore Tech aveva subito sanzioni: è toccato ad Apple nel 2020 pagare una sanzione di 25 milioni di euro ad opera della DGCCRF (Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes). La condanna è arrivata per violazione della legge francese sull’obsolescenza programmata, una tecnica mediante cui rendere inutilizzabili i modelli di iPhone meno recenti con la produzione di nuovi software, dal “peso” equivalente se non superiore a quello dello spazio sul dispositivo.
Le difficoltà nel fare Lead Generation rispettando la privacy
Da Google è filtrato impegno nel volersi conformare alle norme europee: “Le persone si fidano del fatto che rispettiamo il loro diritto alla privacy e ci impegniamo a tenerle al sicuro” così un portavoce all’agenzia ANSA, che ha proseguito spiegando che “siamo consapevoli della nostra responsabilità nel proteggere questa fiducia e ci stiamo impegnando in ulteriori cambiamenti e nel lavoro attivo con la CNIL alla luce di questa decisione secondo la direttiva ePrivacy”.
È chiaro che le grandi aziende del settore informatico si muovono costantemente alla ricerca del difficile equilibrio fra la gestione di una mole enorme di dati, la grande acquisizione di profitti che ne deriva e la responsabilità per i diritti dei singoli che deve discenderne. Ma questo non è un problema relativo alle sole grandi aziende.
Per qualsiasi necessità riguardo la messa a norma di siti web, cookie banner, cookie policy e per riuscire a fare marketing e lead generation rispettando la privacy potete fare affidamento al nostro partner Studio Legale FCLEX (Con sede a Bologna, ma si può procedere anche completamente online) chiedendo dell’Avvocato Giuseppe Croari, esperto da anni di diritto delle nuove tecnologie.