TUTELA DEI DATI PERSONALI
Autorità per la protezione dei dati francese (CNIL): sanzione di 60 milioni di euro contro Google LLC e di 40 milioni di euro contro Google Ireland Limited per violazione norme sui cookies.
In data 7 dicembre 2020, la CNIL ha sanzionato le società Google LLC e Google Ireland Limited con una sanzione complessiva di 100 milioni di euro, in particolare per aver installato cookie pubblicitari sui computer degli utenti del motore di ricerca Google.fr senza previo consenso o informazioni soddisfacenti.
Il 16 marzo 2020, la CNIL ha effettuato un controllo online sul sito google.fr da cui è emerso che quando un utente accedeva a questo sito, i cookie venivano automaticamente inseriti sul suo computer. Molti di questi cookie avevano scopi pubblicitari. Il comitato ristretto, l'organo della CNIL responsabile della pronuncia delle sanzioni, ha rilevato tre violazioni dell'articolo 82 della legge francese sulla protezione dei dati: l'assenza di consenso preventivo, l'inidonea informativa e l'assenza del meccanismo per esercitare il diritto di opposizione da parte degli utenti.
Quando un utente si recava sulla pagina google.fr, veniva visualizzato un banner informativo in fondo alla pagina, recante le seguenti parole "Promemoria relativo alle regole di riservatezza di Google" davanti al quale comparivano due pulsanti intitolati "Visualizza più tardi "e "Consulta ora". Tale banner non fornisce all'utente alcuna informazione relativa a cookie che già inseriti nel suo computer, all'atterragio sul sito. Informazione mancante anche nella policy accessibile dal pulsante "Consulta ora". Il comitato ristretto ha pertanto ritenuto che le informazioni fornite dalle società non consentissero agli utenti residenti in Francia di essere preventivamente e chiaramente informati sull'invio di cookie sul proprio computer né, di conseguenza, sugli obiettivi di tali cookie e sui mezzi messo a loro disposizione circa la possibilità di rifiutarli.
Quando un utente disattivava la personalizzazione degli annunci sulla ricerca di Google utilizzando il meccanismo messo a sua disposizione dal pulsante “Consulta ora”, uno dei cookie pubblicitari rimaneva poi comunque memorizzato sul suo computer e continuava a leggere le informazioni destinate al server a cui è collegato. Il comitato ristretto ha quindi ritenuto che il meccanismo di "opposizione" messo in atto dalle società fosse parzialmente difettoso, in violazione dell'articolo 82 della Legge privacy francese.
La CNIL ha giustificato l'importo sanzionatorio di 100 milioni di Euro in relazione alla gravità della suddetta triplice violazione di cui all'articolo 82 della legge sulla protezione dei dati. Ha anche evidenziato la portata del motore di ricerca di Google in Francia e il fatto che le pratiche aziendali hanno interessato quasi cinquanta milioni di utenti. Infine, ha rilevato i notevoli profitti che le aziende traggono dai ricavi pubblicitari generati indirettamente dai dati raccolti da questi cookie pubblicitari.
A partire da un aggiornamento di Settembre 2020, Google ha interrotto la pratica di inviare automaticamente cookie pubblicitari non appena l'utente atterra sulla pagina google.fr. La CNIL ha tuttavia ulteriromente segnalato che il nuovo banner informativo implementato dalle società non consentiva ancora agli utenti residenti in Francia di comprendere le finalità per le quali vengono utilizzati i cookie e la loro facoltà di disattivazione e rifiuto, essendo carente sul punto l'informativa. Conseguentemente, oltre alla sanzione amministrativa pecuniaria, il collegio ristretto ha adottato anche un decreto ingiuntivo sanzionatorio affinché le società procedano a rendere una idoena informativa ai sensi dell'articolo 82 della legge privacy francese 3 mesi dal la notifica. In caso contrario, le aziende saranno esposte al pagamento di una multa di 100.000 euro per giorno di ritardo.
Nella sua delibera, il comitato ristretto ha ricordato che la CNIL è materialmente competente per controllare e sanzionare i cookie inseriti dalle società sui computer degli utenti residenti in Francia. Ha quindi sottolineato che il meccanismo di cooperazione previsto dal GDPR (meccanismo dello “sportello unico”) non era inteso ad applicarsi in tale procedura dato che le operazioni legate all'uso dei cookie rientrano nella direttiva “ ePrivacy ”, trasposto all'articolo 82 della legge privacy francese. Ha ritenuto di essere territorialmente competente anche in applicazione dell'articolo 3 della Loi in quanto l'utilizzo dei cookie è effettuato nell'ambito del “quadro delle attività” della società Google France che costituisce lo “stabilimento” sul territorio francese delle società Google LLC e Google Ireland Limited e garantisce in Francia la promozione dei loro prodotti e servizi. Ha inoltre considerato che Google LLC e Google Ireland Limited sono contitolari del trattamento poiché entrambe determinano le finalità e i mezzi relativi all'uso dei cookie.
Nell'ambito del suo piano d'azione sul targeting pubblicitario e per tenere conto dell'entrata in vigore del GDPR, il 1 ottobre 2020 la CNIL ha pubblicato le sue linee guida di modifica, nonché una raccomandazione sull'uso dei cookie e altre tecnologie di tracciamento.
Gli obblighi con i quali la CNIL ora sanziona le inadempienze da parte delle imprese preesistevano al GDPR e non sono quindi tra quelli chiariti dalle nuove linee guida e dalla raccomandazione del 1° Ottobre 2020.
Il 16 marzo 2020, la CNIL ha effettuato un controllo online sul sito google.fr da cui è emerso che quando un utente accedeva a questo sito, i cookie venivano automaticamente inseriti sul suo computer. Molti di questi cookie avevano scopi pubblicitari. Il comitato ristretto, l'organo della CNIL responsabile della pronuncia delle sanzioni, ha rilevato tre violazioni dell'articolo 82 della legge francese sulla protezione dei dati: l'assenza di consenso preventivo, l'inidonea informativa e l'assenza del meccanismo per esercitare il diritto di opposizione da parte degli utenti.
Quando un utente si recava sulla pagina google.fr, veniva visualizzato un banner informativo in fondo alla pagina, recante le seguenti parole "Promemoria relativo alle regole di riservatezza di Google" davanti al quale comparivano due pulsanti intitolati "Visualizza più tardi "e "Consulta ora". Tale banner non fornisce all'utente alcuna informazione relativa a cookie che già inseriti nel suo computer, all'atterragio sul sito. Informazione mancante anche nella policy accessibile dal pulsante "Consulta ora". Il comitato ristretto ha pertanto ritenuto che le informazioni fornite dalle società non consentissero agli utenti residenti in Francia di essere preventivamente e chiaramente informati sull'invio di cookie sul proprio computer né, di conseguenza, sugli obiettivi di tali cookie e sui mezzi messo a loro disposizione circa la possibilità di rifiutarli.
Quando un utente disattivava la personalizzazione degli annunci sulla ricerca di Google utilizzando il meccanismo messo a sua disposizione dal pulsante “Consulta ora”, uno dei cookie pubblicitari rimaneva poi comunque memorizzato sul suo computer e continuava a leggere le informazioni destinate al server a cui è collegato. Il comitato ristretto ha quindi ritenuto che il meccanismo di "opposizione" messo in atto dalle società fosse parzialmente difettoso, in violazione dell'articolo 82 della Legge privacy francese.
La CNIL ha giustificato l'importo sanzionatorio di 100 milioni di Euro in relazione alla gravità della suddetta triplice violazione di cui all'articolo 82 della legge sulla protezione dei dati. Ha anche evidenziato la portata del motore di ricerca di Google in Francia e il fatto che le pratiche aziendali hanno interessato quasi cinquanta milioni di utenti. Infine, ha rilevato i notevoli profitti che le aziende traggono dai ricavi pubblicitari generati indirettamente dai dati raccolti da questi cookie pubblicitari.
A partire da un aggiornamento di Settembre 2020, Google ha interrotto la pratica di inviare automaticamente cookie pubblicitari non appena l'utente atterra sulla pagina google.fr. La CNIL ha tuttavia ulteriromente segnalato che il nuovo banner informativo implementato dalle società non consentiva ancora agli utenti residenti in Francia di comprendere le finalità per le quali vengono utilizzati i cookie e la loro facoltà di disattivazione e rifiuto, essendo carente sul punto l'informativa. Conseguentemente, oltre alla sanzione amministrativa pecuniaria, il collegio ristretto ha adottato anche un decreto ingiuntivo sanzionatorio affinché le società procedano a rendere una idoena informativa ai sensi dell'articolo 82 della legge privacy francese 3 mesi dal la notifica. In caso contrario, le aziende saranno esposte al pagamento di una multa di 100.000 euro per giorno di ritardo.
Nella sua delibera, il comitato ristretto ha ricordato che la CNIL è materialmente competente per controllare e sanzionare i cookie inseriti dalle società sui computer degli utenti residenti in Francia. Ha quindi sottolineato che il meccanismo di cooperazione previsto dal GDPR (meccanismo dello “sportello unico”) non era inteso ad applicarsi in tale procedura dato che le operazioni legate all'uso dei cookie rientrano nella direttiva “ ePrivacy ”, trasposto all'articolo 82 della legge privacy francese. Ha ritenuto di essere territorialmente competente anche in applicazione dell'articolo 3 della Loi in quanto l'utilizzo dei cookie è effettuato nell'ambito del “quadro delle attività” della società Google France che costituisce lo “stabilimento” sul territorio francese delle società Google LLC e Google Ireland Limited e garantisce in Francia la promozione dei loro prodotti e servizi. Ha inoltre considerato che Google LLC e Google Ireland Limited sono contitolari del trattamento poiché entrambe determinano le finalità e i mezzi relativi all'uso dei cookie.
Nell'ambito del suo piano d'azione sul targeting pubblicitario e per tenere conto dell'entrata in vigore del GDPR, il 1 ottobre 2020 la CNIL ha pubblicato le sue linee guida di modifica, nonché una raccomandazione sull'uso dei cookie e altre tecnologie di tracciamento.
Gli obblighi con i quali la CNIL ora sanziona le inadempienze da parte delle imprese preesistevano al GDPR e non sono quindi tra quelli chiariti dalle nuove linee guida e dalla raccomandazione del 1° Ottobre 2020.
