La CNIL, Autorità di Controllo francese, ha sanzionato alcune Società per non aver implementato correttamente, sui loro siti e/o applicativi, la raccolta e gestione del consenso per l’utilizzo dei cookie e altri strumenti di tracciamento. Nella maggior parte dei casi, la CNIL ha riscontrato che le violazioni erano dovute, in particolare, ad una errata classificazione degli strumenti.
Classificare correttamente i cookie e gli strumenti di tracciamento
Al fine di rispettare i principi di privacy by design & by default disciplinati dall’art. 25 del Regolamento europeo 2016/679 (GDPR), è fondamentale che le Società, titolari dei trattamenti effettuati tramite il proprio sito e/o applicazione, si chiedano, fin dalle prime fasi di progettazione, quali siano le finalità che intendono perseguire tramite l’implementazione degli strumenti di tracciamento.
Una volta individuate (es. finalità pubblicitarie e di marketing, analisi statistiche, sicurezza del sito e/o applicazione, ecc.) è opportuno che per ciascuno strumento vengano analizzate le principali caratteristiche. In particolare, deve essere chiaro quali dati personali verranno raccolti e trattati, le modalità di trattamento che verranno implementate, la presenza di eventuali destinatari dei dati personali (anche extra SEE).
Solo a seguito del completamento di un assessment approfondito e dettagliato sarà, infatti, possibile classificare gli strumenti di tracciamento e stabilire se sia o meno necessario raccogliere il consenso degli utenti per l’utilizzo degli stessi.
Recenti sanzioni della CNIL
1- La sanzione alla Società WOODOO per aver utilizzato un identificatore tecnico per scopi pubblicitari senza il consenso degli utenti (Délibération SAN-2022-026 du 29 décembre 2022)
La CNIL ha comminato una sanzione pari a 3 milioni di euro alla Società VOODOO, sviluppatrice di giochi per smartphone, per aver utilizzato senza il consenso degli utenti un identificatore tecnico per finalità pubblicitarie. L’Autorità, tra l’agosto del 2021 e il luglio 2022, ha effettuato diversi controlli su voodoo.io e su alcune applicazioni messe a disposizione dalla Società, tra cui, il gioco “Helix Jump”. Il perimetro dei controlli era limitato al download e al funzionamento delle applicazioni su iPhone con sistema operativo iOS.
L ’Autorità si è concentrata nell’approfondire le modalità di lettura dell’“IDentifier For Vendors” (nel seguito, “IDFV”) e dell’“Identifier For Advertisers” (nel seguito, “IDFA”). Sul punto è opportuno precisare che, quando un editore pubblica un’applicazione sull’App Store, Apple fornisce un sistema di identificazione tecnica denominato IDFV che consente all’editore stesso di ricevere delle informazioni sull’uso delle applicazioni da parte degli utenti che l’hanno scaricata.
A ciascun utente viene, infatti, assegnato un IDFV identico per tutte le applicazioni distribuite dallo stesso editore. Combinandolo con altre informazioni del device utilizzato dall’utente, l’IDFV consente di avere un quadro delle abitudini di navigazione degli utenti e, con riferimento al caso specifico, individuare le categorie di giochi preferite al fine di personalizzare gli annunci pubblicitari.
L’IDFA, invece, è un identificatore univoco assegnato a ciascun dispositivo dal sistema operativo iOS allo scopo di consentire agli inserzionisti di identificare in modo univoco il dispositivo in tutte le applicazioni mobili installate che lo utilizzano. A differenza dell’IDFA, l’IDFV ha lo stesso valore solo per le applicazioni identificate come provenienti dallo stesso editore.
La CNIL, durante i controlli effettuati, ha riscontrato che nel momento in cui un utente apriva per la prima volta un’applicazione pubblicata da VOODOO, veniva presentata da parte di Apple una richiesta (“App Tracking Transparency”) al fine di ottenere il consenso al monitoraggio delle attività sulle applicazioni scaricate sul telefono. L’utente aveva, quindi, la possibilità di fare clic su “Chiedi all’app di non tenere traccia delle mie attività” o su “Consenti”.
Indipendentemente dalla scelta espressa dall’utente, spuntava una seconda finestra da parte di VOODOO in cui era indicato che il tracciamento della pubblicità era stato disattivato specificando, però, che sarebbero stati, comunque, offerti annunci non personalizzati. La finestra presentata da VOODOO non conteneva alcun pulsante o checkbox destinato a raccogliere il consenso ad altre forme di pubblicità personalizzata. L’utente doveva solo certificare di avere più di sedici anni e prendere visione dell’informativa privacy resa dalla società.
La CNIL, in occasione dei controlli effettuati, ha constatato che l’IDFA non veniva letto ma sostituito da una stringa di zeri. Invece l’IDFV veniva letto e trasmesso a domini con scopi pubblicitari, insieme ad altre informazioni specifiche del dispositivo (es. lingua, modello del dispositivo, luminosità dello schermo, livello della batteria, spazio di memoria disponibile, utilizzo, etc.) senza che l’utente avesse espresso il proprio consenso a tali operazioni.
L’Autorità, pur ritenendo che l’IDFV non consentisse un tracciamento così esteso come quello reso possibile dall’IDFA, ha comunque constatato che permetteva di monitorare l’attività dell’utente all’interno delle applicazioni pubblicate da VOODOO. Inoltre, ha sottolineato che, qualora l’utente avesse rifiutato la richiesta di consenso presentata da Apple, aveva già espresso la sua volontà e, pertanto, la sua attività non avrebbe dovuto essere in alcun modo oggetto di monitoraggio.
La società nel difendersi ha voluto precisare di aver raccolto “dati tecnici non di tracciamento” al fine di fornire “pubblicità non personalizzata basata sulle abitudini di navigazione”. Sul punto, la CNIL ha sottolineato che il fatto di raccogliere informazioni sulle abitudini di navigazione degli utenti al fine di proporre loro annunci pubblicitari impedisce necessariamente che tali annunci possano essere qualificati come “non personalizzati”, anche se i dati associati all’identificativo consentivano solo una bassa personalizzazione, limitata al contesto dell’applicazione utilizzata. Pertanto, la società avrebbe dovuto richiedere il consenso degli utenti per effettuare tali trattamenti.
2- La sanzione alla società Cityscoot per una errata classificazione del sistema di reCaptcha di Google (Délibération SAN-2023-003 du 16 mars 2023)
La CNIL, nel contestare la non conformità della raccolta di dati di geolocalizzazione del percorso dell’utente da parte di Cityscoot, società di noleggio di scooter elettrici, ha, altresì, constatato la non conformità del trattamento dei dati correlato all’utilizzo del servizio reCaptcha di Google. In base a quanto emerso in sede di verifiche da parte dell’Autorità, la Società si serviva del reCaptcha fornito da Google nella fase di creazione del profilo dell’utente sull’applicazione mobile, nel momento di accesso (log-in) al sito e, inoltre, per la gestione del recupero password.
La CNIL, su punto, ha dichiarato che, in violazione delle norme di applicazione della direttiva e-Privacy, non erano state fornite agli interessati le informazioni circa l’utilizzo di tali strumenti di tracciamento forniti da Google e che, inoltre, non veniva richiesto e raccolto il relativo consenso per l’utilizzo di tale strumento.
La società ha tentato di difendersi dichiarando che l’utilizzo del meccanismo di reCaptcha di Google aveva come unica finalità quella di garantire la veridicità dell’identità dell’utente nelle diverse fasi di creazione e gestione del profilo necessario per l’utilizzo del servizio. Tali finalità erano, quindi, riconducibili ad esigenze di sicurezza del servizio e che, pertanto, potevano beneficiare dell’esenzione dalla raccolta del consenso. Inoltre, ha sottolineato che il meccanismo di reCaptcha era direttamente integrato nel sito e rinviava ad un link relativo alla policy privacy di Google.
L’Autorità francese ha evidenziato che sebbene un titolare del trattamento possa beneficiare dell’esenzione dalla raccolta del consenso per l’utilizzo di strumenti di tracciamento strettamente necessari all’erogazione del servizio richiesto dall’utente, tale esenzione non può essere applicata alle analisi effettuate da Google che, nelle proprie condizioni generali, dichiara che è compito dell’editore del sito che usufruisce dei propri servizi informare gli utenti della raccolta dei dati degli stessi e della condivisione con Google.
Cosa sottoporre a consenso
Al fine di individuare gli strumenti di tracciamento da sottoporre a consenso, è opportuno fare riferimento al quadro giuridico attualmente vigente in materia, costituito dalle disposizioni della Direttiva 2002/58/CE (c.d. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento nazionale all’art. 122 del D.Lgs. 30 giugno 2003, n. 196 novellato dal D.Lgs. 101/2018 (nel seguito, “Codice Privacy”) quanto dal GDPR, per ciò che concerne specificamente la nozione di consenso. Anche l’Autorità di Controllo italiana ha emanato delle “Linee guida cookie e altri strumenti di tracciamento” al fine di fornire delle indicazioni, tra l’altro, per la raccolta e gestione del consenso secondo i principi di privacy by design & by default.
In base a quanto disciplinato dalle normative sopra citate, i cookie e gli altri strumenti di tracciamento implementati per finalità diverse da quelle tecniche possono essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente e/o utente del servizio.
Tale principio è disciplinato nell’ordinamento nazionale dall’art.122 del Codice Privacy, il quale riporta infatti che “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”.