Il Garante privacy francese, la Commission Nationale de l’Informatique et des Libertés (“CNIL”), ha annunciato l’irrogazione di ingenti sanzioni nei confronti di Facebook Ireland Limited (“Facebook”) e Google LLC e Google Ireland Limited (“Google”), rispettivamente di 60 e 150 milioni euro per violazioni relative ai cookie.
Il CNIL ha irrogato tali sanzioni nel contesto di una più ampia campagna, iniziata a maggio 2021, atta a garantire la conformità delle modalità di installazione di cookie sui principali siti web attivi in Francia. Infatti, già al 14 dicembre 2021, il CNIL aveva inviato una sessantina di avvisi formali, attraverso i quali contestava agli operatori coinvolti di non consentire agli utenti dei propri siti web di rifiutare i cookie con la stessa facilità con cui questi ultimi potevano fornire il proprio consenso.
Sulla scia della summenzionata campagna, anche Google e Facebook sono state ritenute responsabili dell’implementazione di pratiche, sui propri siti web, non conformi alla normativa applicabile in materia di cookie, le quali erano state portate all’attenzione del CNIL mediante numerosi reclami di utenti che lamentavano le difficoltà nel rifiutare l’utilizzo di cookie sui siti web facebook.com, google.fr e youtube.com.
In particolare, secondo il CNIL, i siti oggetto di sanzione “offrono un pulsante per accettare immediatamente i cookie”, mentre “sono necessari diversi click per rifiutare tutti i cookie”. Inoltre, è stato ritenuto particolarmente critico l’utilizzo del pulsante di Facebook “Accetta i cookie” da utilizzare, in realtà, per rifiutare i tracker. Infatti, secondo il CNIL rendere il meccanismo di rifiuto più complesso ha l’effetto di scoraggiare gli utenti a rifiutare i cookie, spingendoli invece a preferire, per maggiore comodità e facilità, la selezione del pulsante di consenso per i cookie. Di conseguenza, il CNIL ha ritenuto che tale procedura violasse la libertà di consenso degli utenti.
Oltre alle sanzioni amministrative multimilionarie, il CNIL ha ingiunto a Google e Facebook di mettere a disposizione degli utenti situati in Francia un apposito meccanismo per rifiutare i cookie che sia altrettanto semplice di quello esistente per accettarli, al fine di garantire la libertà del loro consenso. I due colossi americani avranno solo tre mesi di tempo per adeguarsi alla decisione, pena il pagamento di una multa di 100 mila euro per ogni giorno di ritardo.
Tra le altre cose, il CNIL ha affermato di essere materialmente competente a sanzionare le operazioni relative ai cookie inseriti da Google e Facebook sui terminali degli utenti situati in Francia in quanto il meccanismo di cooperazione previsto dall’articolo 60 del Regolamento UE 679/2016 (GDPR) con il one-stop-shop non è applicabile a tali procedure. Infatti, le pratiche connesse all’uso dei cookie rientrano nell’ambito di applicazione della cosiddetta direttiva “ePrivacy”, recepita dall’articolo 82 della Legge sulla protezione dei dati francese.
Tornando in Italia, ad oggi, il Garante per la protezione dei dati non ha ancora emesso sanzioni per violazioni in materia di cookie, ma il periodo di “tolleranza” potrebbe essere finito: è bene ricordare, infatti, che lo scorso 9 gennaio 2022 è scaduto il periodo di sei mesi concesso agli operatori coinvolti per l’adeguamento alle nuove linee guida sui cookie. Sarà quindi interessante vedere se il Garante italiano utilizzerà la stessa strategia delil CNIL, iniziando una vera e propria campagna atta a sanzionare gli operatori non conformi, o propenderà per un approccio più graduale.
Sul questo tema, potrebbe interessarvi l’articolo “Siete pronti alle nuove linee guida del Garante privacy sui cookie?” e l’Infografica “Nuovi obblighi privacy introdotti dal Garante sui cookie”.