L’autorità privacy spagnola ha comminato a un noto social media una sanzione di € 30K per aver gestito e utilizzato i cookie in violazione della normativa sul trattamento dei dati personali.
L’Agencia Española de Protección de Datos (“AEPD”), l’Autorità per la protezione dei dati personali spagnola, ha comminato ad un social media una sanzione di € 30.000 per aver gestito in violazione della normativa privacy i cookie installati sui dispositivi degli oltre 4 milioni di utenti registrati in Spagna.
Il caso in esame prende le mosse da una segnalazione pervenuta nel 2018 all’autorità privacy, nella quale si denunciava l’illecita gestione dei cookie sul noto social network. A seguito di tali rilievi, l’autorità aveva pertanto avviato tra il 2018 e il 2019 un procedimento ispettivo, i cui risultati hanno di fatto confermato le asserite violazioni. In particolare, è emerso anzitutto che la piattaforma procedeva alla memorizzazione automatica sui dispositivi degli utenti di cookie non strettamente necessari, tra cui alcuni di tipo sconosciuto e altri a scopo pubblicitario. Inoltre, il cookie banner che compariva automaticamente sulla piattaforma al momento dell’accesso, sebbene specificasse la tipologia di cookie utilizzati, a giudizio dell’autorità sul trattamento dei dati personali
- non consentiva all’utente di rifiutare i cookie diversi rispetto a quelli strettamente necessari,
- non reindirizzava ad un ulteriore pannello di controllo per la gestione e la configurazione degli stessi, e
- non conteneva alcun link di rinvio all’informativa estesa (i.e., cookie policy).
Inoltre, a tale ultimo proposito, l’AEPD ha rilevato che la cookie policy risultava accessibile soltanto tramite un link incluso nel footer della home page e che, nonostante in quest’ultima il titolare indicasse in maniera puntuale la natura e le finalità dei cookie e delle altre tecnologie di tracciamento utilizzate, veniva tuttavia fornito soltanto un generico riferimento alla possibilità per l’utente di gestire i cookie tramite i browser, senza includere né predisporre direttamente alcuna concreta modalità di rifiuto o selezione granulare degli stessi.
Pertanto, alla luce di tutto quanto precede, l’AEPD ha comminato alla società una sanzione pari a € 30.000. Tale importo è stato calcolato in considerazione di taluni criteri, esplicitati nel provvedimento dell’Autorità, relativi a:
- la negligenza della società nell’adempimento degli obblighi posti dalla normativa applicabile;
- il prolungato periodo di tempo durante il quale è perdurata l’infrazione;
- la natura e all’ammontare dei danni causati, in relazione all’ingente volume di utenti interessati dalla violazione;
- i profitti ottenuti dalla violazione, tenuto anche qui conto del volume di utenti coinvolti; nonché
- il volume d’affari interessato dall’infrazione commessa.
Autore: DLA Piper
