A seguito delle sue indagini, la CNIL ha stabilito che i banner dei domini facebook.com, google.fr e youtube.com non permettono all’utente di rifiutare i cookie con la stessa facilità con cui li può accettare.
La continua evoluzione dell’information technology impone una riflessione sul diritto alla privacy degli internauti. Sia che tale diritto si riferisca alla protezione dei dati personali, che alla libertà di scelta, le azioni svolte online dagli utenti assumono un peso e una concretezza peculiari nell’universo di internet. Se per un utente può sembrare innocuo consentire l’uso dei cookie dal proprio terminale1, il suo consenso è di sicuro interesse per chi i suoi dati personali li tratta per finalità commerciali e di profilazione2. A tal proposito, sarebbe da chiedersi fino a dove possano spingersi i service provider per ottenere il consenso all’installazione di questi identificativi. Per avere un’idea di dove si attesti la soglia di legalità, può essere utile fare riferimento alle recenti sanzioni comminate dall’autorità francese per la protezione dei dati personali (la CNIL3), che ha condannato i due giganti Google e Facebook al pagamento di sanzioni per un totale di 210 milioni di euro4. Fino ad ora, in UE, queste sono le multe più pesanti mai inflitte per questo genere di violazione.
A seguito delle sue indagini, la CNIL ha stabilito che le modalità di rifiuto dei cookie sui domini facebook.com, google.fr e youtube.com sono in contrasto con la direttiva ePrivacy 2002/48/CE e con il Regolamento 679/2016/UE (GDPR), non permettendo all’utente di rifiutare i cookie con la stessa facilità con cui questi possono essere accettati. In buona sostanza, accanto al bottone “accetta i cookie” non ve n’è un altro per rifiutarli. Al contrario, per proseguire la navigazione e rifiutare l’installazione dei cookie sono necessari più passaggi rispetto al singolo click sufficiente per accettare e proseguire.5
Obbligo di trasparenza
Le disposizioni della direttiva ePrivacy e del GDPR sorreggono la decisione della CNIL. Da una parte, l’art. 5 (3) della direttiva prevede che l’utente sia informato in modo chiaro e completo circa le finalità, l’installazione e la possibilità di rifiutare i cookie sul proprio terminale. Dall’altra, l’art. 9 (1) lascia intendere che l’utente debba sempre prestare il proprio consenso quando i cookie installati sul terminale costituiscano un valore aggiunto, come, ad esempio, l’offerta di pubblicità mirata. Allo stesso modo, ai sensi del GDPR, il consenso dell’interessato deve essere libero, specifico, univoco ed informato, oltre che, per i trattamenti automatizzati e la profilazione, esplicito6. Per il titolare del trattamento, ciò si traduce nell’onere di informare l’utente in modo trasparente7 e di porlo nella condizione di rifiutare o accettare i cookie con la medesima facilità8. Tale obbligo di trasparenza può essere soddisfatto tramite la presentazione di cookie banner chiari e non ingannevoli. Come fa intendere la CNIL, e come d’altronde già sancito dal Working Document 02/2013 sull’ottenimento del consenso al trattamento dei cookie9, nel caso in esame il semplice posizionamento dei tasti di accettazione e di rifiuto sullo stesso livello del banner sarebbe stato sufficiente a fornire all’utente una scelta consapevole, incondizionata ed esplicita. Al contrario, Google e Facebook hanno dato adito a dubbi circa il loro utilizzo di dark patterns, ossia di interfacce studiate con la finalità di scoraggiare il rifiuto dei cookie. Un tale genere di interfacce rende più complesso per l’utente agire per il rifiuto rispetto che cliccare per accettare l’installazione degli identificativi sul proprio terminale10. Nella prassi si è anche parlato di questa pratica con lo specifico nome di cookie fatigue (fatica nel rifiuto dei cookie)11. Tutto questo scoraggia l’utente che vuole navigare sul sito a compiere il susseguirsi di azioni necessarie al rifiuto, preferendo concedere i propri dati personali a fronte di una navigazione più spedita12. La questione è di centrale importanza anche alla luce dei recenti sviluppi nel campo. Già nel 2019, con la decisione Planet 4913 , la Corte di Giustizia dell’Unione Europea aveva sotto più aspetti posto dei limiti alla libertà di forma dei mezzi di accettazione e rifiuto e sottolineato l’importanza del consenso. La Corte precisava che
“[i]l consenso dell’utente non può più essere presunto e deve risultare dal comportamento attivo di quest’ultimo”.
Il diritto di discernimento attivo e consapevole dell’interessato è rafforzato dalle recentissime linee guida sui cookie dell’EDPB (per approfondimenti, potete leggere qui) da poco recepite dal nostro Garante14; lo sarà ancor di più con il regolamento ePrivacy di prossima adozione.
L’astraente: un ulteriore deterrente
Oltre alle pesanti sanzioni già irrogate, la CNIL ha fatto uso dello strumento dell’astraente e ha imposto a ciascuna società un’ulteriore sanzione di 100.000 euro per ogni giorno di ritardo dopo la scadenza del termine di 3 mesi fissato per adempiere.
La competenza della CNIL
All’interno di una tale vicenda occorre senz’altro menzionare la questione relativa alla competenza della CNIL. Sia Google che Facebook hanno contestato alla CNIL di non avere competenza sulla questione in quanto, secondo l’art. 60 GDPR, a decidere avrebbe dovuto essere l’autorità di controllo capofila secondo il meccanismo di cooperazione nei trattamenti transnazionali di dati. Se così fosse stato, i casi sarebbero spettati all’autorità irlandese, dove hanno sede gli stabilimenti principali UE di Google e Facebook. Preso atto di ciò, la CNIL ha tuttavia ritenuto di non dover applicare il GDPR. Le ragioni risiedono, da una parte, nel ruolo di lex specialis della direttiva ePrivacy per il trattamento dei dati risultanti da servizi della società dell’informazione. In sostanza, l’articolo 1 (2) della direttiva ePrivacy, stabilisce espressamente che le sue disposizioni precisano e integrano la direttiva 95/46/CE (oggi, GDPR); disposizione avallata dallo stesso GDPR, il cui considerando n. 173 specifica come il Regolamento non si applichi al trattamento dei dati personali di cui alla direttiva ePrivacy. Dall’altra parte, la CNIL chiarisce che il trattamento sanzionato si esaurisce nel completamento dell’installazione dei cookie sul terminale dell’utente. Esso non coinvolge il trattamento oltreconfine da parte degli stabilimenti in Irlanda, che consiste nel vero a proprio utilizzo commerciale dei dati degli utenti e che è a tutti gli effetti un “trattamento successivo”15. Non ha quindi luogo alcun trattamento transfrontaliero che giustificherebbe l’intervento dell’autorità capofila irlandese.16 In virtù di ciò, la CNIL si è ritenuta territorialmente competente poiché il trattamento dei cookie si è svolto interamente in Francia.
In conclusione appare evidente come la cookie policy e i relativi banner debbano essere strumenti neutrali e trasparenti, che vadano di pari passo con le intenzioni e libere scelte degli interessati. Le autorità nazionali per la protezione dei dati costituiscono un eccellente strumento di difesa dei diritti degli interessati, anche quando, come in questo caso, sussista un evidente squilibrio di risorse fra questi e i titolari del trattamento.
Edoardo Di Maggio
1 https://www.amazeemetrics.com/en/blog/76-ignore-cookie-banners-the-user-behavior-after-30-days-of-gdpr/
2 https://www.wsj.com/articles/big-tech-privacy-moves-spur-companies-to-amass-customer-data-11638456544
3 Commission Nationale de l’Informatique et des Libertés.
4 Google (Alphabet Inc.) è stata multata per 150 milioni di euro; Facebook Inc., per 60 milioni di euro.
5 https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-google-hauteur-de-150-millions-deuros
6 Cfr. Art. 22 (2) lett. b), Regolamento 679/2016/UE.
7 Cfr. Art. 12 GDPR.
8 Cfr. per analogia, Art. 7 (3) GDPR.
9 1676/13/EN WP 208, Working Document 02/2013 providing guidance on obtaining consent for cookies (p. 3 – 6).
10 Dark pattern: cosa sono e il loro rapporto con il GDPR, in Cybersecurity 360, https://www.cybersecurity360.it/legal/privacy-dati-personali/dark-pattern-cosa-sono-e-il-loro-rapporto-con-il-gdpr/
11 Ibid.
12 Se questo non bastasse a concretizzare l’ipotesi di dark pattern, nel caso di Facebook la CNIL ha scoperto che non soltanto il pulsante per rifiutare i cookie fosse collocato in un sottolivello del banner, ma che fosse oltretutto intitolato “Accetta i cookie” – cfr. https://www.cnil.fr/en/cookies-facebook-ireland-limited-fined-60-million-euros.
13 Causa C 673/17, CGUE.
14 https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9677876
15 Deliberation of the restricted committee No. SAN-2021-024 of 31 December 2021, par. 29.
16 Malgrado ciò, in virtù del collegamento economico fra gli stabilimenti USA, Irlandesi e francesi delle due società, la CNIL li ha ritenuti congiuntamente responsabili. Cfr. https://www.cnil.fr/en/cookies-google-fined-150-million-euros e https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-facebook-ireland-limited
