Con delibera del 29 dicembre 2023, l’Autorità Garante privacy francese (CNIL, Commissione Nazionale dell’Informazione e delle Libertà) ha irrogato una sanzione di ben 10 milioni di euro nei confronti di “Yahoo Emea Limited”, la nota società irlandese di tecnologia e media, per aver violato la normativa sui cookie e per non aver preso in considerazione i rifiuti ai cookie manifestati dai singoli utenti.
Ventisette sono stati i reclami presentati alla CNIL, da parte di utenti/reclamanti che lamentavano ostacoli a revocare il proprio consenso.
Soffermiamoci sui passaggi più salienti del provvedimento.
Violazione delle norme sui cookie, la CNIL sanzione un’azienda di pagamenti online: cosa impariamo
Contesto, fatti e risultanze
Partiamo dal contesto. È noto a tutti chi sia la società sanzionata. Così come la sua attività consistente nel “pubblicare diversi servizi web come un motore di ricerca e messaggistica elettronica”.
Le strategie che fanno bene al business e alla cyber security
Tra il giugno del 2019 e l’ottobre del 2020, la CNIL ha ricevuto diversi reclami (27) da utenti che hanno lamentato nella fattispecie l’inserimento di cookies sul loro device prima di qualsiasi azione, senza considerare affatto la loro manifestazione di dissenso/rifiuto.
Di qui, i primi controlli online da parte dell’Autorità. Così lo scambio per le repliche e osservazioni (orali e scritte).
Le risultanze emerse sono lapidarie: non sono stati adempiuti gli obblighi scaturenti dalle regole dei cookie (art. 82).
Le violazioni riscontrate
Sono sostanzialmente due le violazioni punite:
- cookie inseriti senza il consenso dell’utente;
- un incentivo a non revocare il consenso.
Trattiamole separatamente, seguendo il ragionamento dell’Autorità francese.
Cookie inseriti senza consenso: la linea difensiva di Yahoo e la posizione della CNIL
Circa il posizionamento di cookie in assenza di consenso, già nel corso della prima ispezione (2020) era emerso come almeno una ventina di cookie per finalità richiedenti il consenso preliminare dell’utente fossero stati depositati senza valutare prima la presenza di un valido consenso.
In difesa, la società in questione sosteneva principalmente che un gran numero di cookie inseriti fossero “strettamente necessari per la fornitura dei suoi servizi e … quindi esenti da consenso”.
Per contro, l’Autorità ha affermato che nel visitare la pagina “yahoo.com”, compariva la visualizzazione di una finestra recante la scritta “I tuoi dati. La tua esperienza”, relativa all’utilizzo dei cookie da parte della società, che includeva un messaggio “Accetto” e un pulsante “Gestisci impostazioni”.
Tuttavia, dopo aver cliccato sul pulsante “Gestisci impostazioni”, compariva un’interfaccia volta a configurare il deposito dei cookie, “per finalità o da parte dei partner mediante pulsanti, che erano disattivati per impostazione predefinita”, come si legge testualmente nella delibera.
Non solo. Anche sul dominio “yahoo.com”, per creare un account di posta elettronica Yahoo Mail comparivano altri cookie senza avere la possibilità di esprimere il consenso all’inserimento degli stessi.
Ecco che il “banner sui cookie visualizzato, dava accesso a una pagina composta da numerosi pulsanti destinati a raccogliere il consenso al deposito di biscotti”; e ciò nonostante “malgrado l’assenza di un consenso espresso, una ventina di cookie aventi scopi pubblicitari sono stati comunque installati”.
Di qui la violazione contestata, dal momento che gli accessi/registrazioni possono legittimamente avvenire solo a condizione che, come recita la disposizione normativa, “l’abbonato o l’utente abbia espresso il proprio consenso che può risultare da parametri appropriati del suo dispositivo di connessione o di qualsiasi altro dispositivo posto sotto il suo controllo”.
Non solo, il consenso per le operazioni di lettura e scrittura di informazioni sul terminale di un utente, prevede poi che alcuni traccianti siano esenti dal consenso, vale a dire quando:
- lo scopo esclusivo è quello di consentire o facilitare la comunicazione tramite mezzi elettronici;
- è strettamente necessario per la fornitura di un servizio di comunicazione online su espressa richiesta dell’utente.
In ogni caso, la CNIL dice una cosa importante e cioè che “i cookie per scopi pubblicitari non sono traccianti”, e hanno lo scopo “di consentire o agevolare la comunicazione con mezzi elettronici” aggiungendo che “non sono strettamente necessari per fornire un servizio di comunicazione online su espressa richiesta dell’utente”.
Ne consegue che questi non possono essere inseriti o letti (sul terminale dell’interessato/utente), se non sono consensati.
L’incentivo a non revocare il consenso
La seconda contestazione mossa alla società in parola risiede nell’incentivo a revocare il consenso al deposito di cookie. In pratica, la società avrebbe formato messaggi “incoraggianti” nel non revocare il consenso, pena la perdita definitiva dell’accesso alla propria posta elettronica “Yahoo mail”; e così condizionando l’utente.
A difesa, la società ha invocato la direttiva ePrivacy, il GDPR, e il Data Protection Act per rafforzare la tesi secondo cui nessuna di queste normative disciplina precisamente la revoca del consenso al deposito dei cookie, evidenziando come “parallelamente alla pratica dei cookie wall non esiste consenso per considerare illegale tale pratica” esistendo comunque alternative al servizio “Yahoo Mail” ben potendo gli utenti/interessati richiedere la portabilità dei i propri dati ex art. 20 GDPR.
La CNIL, in tutta risposta, tra le altre argomentazioni, sottolinea come il “consenso” tuttavia per essere valido, come noto, deve essere prestato in modo libero, specifico, illuminato e inequivocabile e manifestato con un chiaro atto positivo.
Sicché in assenza di una effettiva libertà di scelta che non pone l’utente nelle condizioni di poter liberamente rifiutare o revocare il proprio consenso senza subire danni, il tutto non può dirsi legittimo se non anche illecito.
Nel caso di specie, la CNIL afferma come la società non offrisse alcuna valida alternativa agli utenti che volessero revocare il proprio consenso. L’unica possibilità offerta all’utente era quella di rinunciare all’utilizzo della propria messaggistica elettronica.
Questo comportamento, di fatto, ha determinato l’ammontare della sanzione di fatto ingente.
Sulla competenza della CNIL
La società solleva l’incompetenza materiale e territoriale, ma anche questa eccezione viene respinta. La CNIL, infatti, si dichiara “materialmente competente a controllare e sanzionare le operazioni legate ai cookie inseriti dalle aziende sui terminali degli utenti Internet situati in Francia”, non essendo previsto per i cookie il meccanismo di cooperazione (dello sportello unico).
Non solo, la CNIL risulta anche territorialmente competente poiché “l’uso di cookie è effettuato nell’ambito delle “attività” della società Yahoo France che costituisce “lo stabilimento” sul territorio francese della società Yahoo Emea Limited” come si legge testualmente nella delibera.
In conclusione, dunque, forse di fronte a questa multa milionaria, le Organizzazioni ormai munite di siti web faranno maggiore attenzione alle regole dei cookie.
Gestione documentale e firma digitale: abilita un processo full digital sicuro
@RIPRODUZIONE RISERVATA