Lo scorso giugno l'autorità francese per la privacy (CNIL) ha multato il gigante francese dell'ad tech Criteo per 40 milioni di euro per non aver rispettato il consenso degli utenti al tracciamento. A dicembre anche il Tribunale distrettuale di Amsterdam ha emesso una sentenza contro Criteo, poi confermata in appello.
Questi casi sono molto importanti. Criteo è una grande multinazionale dell'ad tech che controlla i dati personali di milioni di utenti di Internet. Ma soprattutto, il ragionamento che sta alla base della decisione si discosta dal passato e potrebbe far sì che la decisione venga presa da diversi settori, tra cui quello dell'ad tech e della web analytics,
Ecco di cosa si tratta e perché potrebbero aprire nuove opportunità di azione contro il tracciamento illegale.
- Di cosa trattano i casi?
- Chi deve occuparsi del consenso?
- La "dottrina Criteo": uno sguardo più approfondito
- Responsabili congiunti del trattamento
- La ripartizione delle responsabilità
- L'effettiva protezione dei diritti
- Che cosa significa questo per la web analytics?
- Parole conclusive
Di cosa trattano i casi?
Finora sono state emesse tre decisioni contro Criteo:
- due ONG che si occupano di privacy (Privacy International e noyb) hanno presentato un reclamo all'autorità francese di vigilanza sulla privacy (CNIL) sostenendo che i siti web stavano inserendo illegalmente i cookie di Criteo. Questa denuncia è stata decisa nel giugno 2023 e ha portato a una multa di 40 milioni di euro per l'azienda
- un cittadino olandese ha presentato lo stesso caso presso il Tribunale distrettuale di Amsterdam, ottenendo l'ordine di smettere di inserire i cookie e di cancellare i dati già raccolti
- la decisione del tribunale distrettuale è stata successivamente confermata in appello.
Tutti i casi riguardano l'uso non autorizzato di cookie di tracciamento. Diversi siti web popolari hanno utilizzato i cookie di Criteo per scopi pubblicitari. Ciò è avvenuto senza consenso, in violazione del GDPR e della Direttiva ePrivacy.
Sembrano casi standard di cookie: qualcuno si è accorto di essere stato tracciato senza il suo consenso, ha intrapreso un'azione legale e ha vinto. Ma ciò che rende questi casi speciali è che i siti web, e non Criteo, hanno inserito i cookie. Criteo è stata ritenuta responsabile dei cookie scritti dai suoi clienti, e questo è un grosso problema.
Chi deve occuparsi del consenso?
È molto comune che i fornitori di servizi di ad tech e web analytics "scarichino" il lavoro di conformità ai loro clienti, cioè ai siti web che utilizzano il servizio.
Per esempio, supponiamo che il vostro sito web utilizzi Google Analytics. Google Analytics utilizza cookie di tracciamento, che richiedono il consenso ai sensi della normativa UE. Questo non è un problema di Google: secondo i termini di servizio di Google Analytics, spetta a voi implementare Google Analytics in modo conforme (il che include assicurarsi che scriva i cookie solo dopo che i visitatori li hanno accettati). Se si commette un errore, si viola la legge, non Google.
Questa ripartizione delle responsabilità è uno dei motivi per cui Internet è diventato un pozzo nero di tracciamenti illegali. I giganti della tecnologia pubblicitaria, come Google e Meta, forniscono a Internet strumenti di tracciamento potenti e invasivi, ma non possono essere ritenuti responsabili per il loro uso improprio. Gli utenti e i difensori della privacy possono quindi lottare contro il tracciamento solo andando a colpire i singoli siti web, in un gioco di briscola infinito e in gran parte inutile.
Le decisioni contro Criteo aprono nuove strade per le azioni legali. La CNIL e i tribunali hanno detto forte e chiaro che Criteo - un gigante della pubblicità con innumerevoli partner - non può lavarsi le mani dagli obblighi legali che derivano dall'uso dei cookie. Criteo è stata ritenuta responsabile di ciò che i suoi clienti fanno con i suoi cookie, anche se Criteo stessa non ha fatto nulla, o meglio, perché non ha fatto nulla per contrastare il prevedibile abuso dei cookie di Criteo.
È presto per dire se questa linea di ragionamento prenderà piede a livello europeo. Ma ci sono ragioni per essere ottimisti: il CNIL è un'autorità ben rispettata che spesso dà esempi influenti ad altre autorità di regolamentazione. Inoltre, i difensori della privacy (come quelli coinvolti nel caso CNIL) sono ben consapevoli del potenziale delle decisioni contro Criteo e sicuramente cercheranno di sfruttarlo in future controversie.
In conclusione: i casi non si trasformeranno necessariamente in un precedente influente a livello europeo, ma c'è una possibilità molto concreta che lo diventino, fornendo ai difensori della privacy un potente strumento legale contro il tracciamento.
La "dottrina Criteo": uno sguardo più approfondito
In poche parole, ecco perché le motivazioni alla base dei casi Criteo sono importanti. Ma qual è esattamente questa logica e come si adatta al GDPR?
Per farla breve, la "dottrina Criteo" - per così dire - dice che i corresponsabili del trattamento devono assegnare gli obblighi di conformità in modo da proteggere efficacemente i diritti alla privacy. Sono molte cose da digerire, quindi vediamo di analizzarle.
Responsabili congiunti del trattamento
Spiegare la nozione di contitolarità in termini rigorosi richiederebbe un blog a sé stante. In poche parole, la contitolarità è la situazione in cui due o più entità gestiscono insieme i dati e hanno voce in capitolo su ciò che accade ai dati. Quindi, se due aziende sono contitolari del trattamento, entrambe decidono quali dati vengono raccolti, perché vengono raccolti, come vengono elaborati e così via.
Questo era il tipo di rapporto che Criteo aveva con i suoi clienti. In effetti, l'azienda non ha mai affermato il contrario.
La ripartizione delle responsabilità
La contitolarità pone un problema: tutti i contitolari hanno obblighi ai sensi del GDPR, ma chi deve rispettare esattamente quali? In altre parole, come vengono ripartiti gli obblighi di conformità tra i contitolari del trattamento?
La soluzione del GDPR è quella di consentire ai contitolari del trattamento di ripartire queste responsabilità nel modo che preferiscono, purché chiariscano questa ripartizione in un contratto legale chiamato accordo di contitolarità.
In pratica, ogni volta che sorge un problema legale con i responsabili del trattamento congiunto, gli avvocati e le autorità di regolamentazione guardano al contratto di contitolarità per sapere chi deve fare cosa: per esempio, l'azienda A è l'unica responsabile della gestione del consenso, mentre l'azienda B è l'unica responsabile della gestione del database e della segnalazione delle violazioni dei dati.
Questo sistema presenta evidenti vantaggi. I responsabili del trattamento dei dati possono assegnare i compiti di conformità in modo efficace, perché sanno esattamente in che modo ciascuna parte contribuisce al trattamento dei dati. Ad esempio, se l'azienda B controlla il database, ha senso che sia responsabile della notifica delle violazioni dei dati. Allo stesso modo, se l'azienda A ha un contatto diretto con gli interessati (cioè le persone i cui dati vengono trattati), mentre l'azienda B non lo ha, allora ha senso che sia l'azienda A a raccogliere e gestire il consenso.
L'aspetto negativo di questo sistema di assegnazione è che può fallire. E nel caso del tracciamento online, fallisce sistematicamente.
L'effettiva protezione dei diritti
Innumerevoli siti web abusano di cookie o pixel per tracciare l'utente senza il suo consenso. Questo è illegale, ma non si può agire contro fornitori come Google o Meta perché lasciano al cliente il compito di rispettare la legge sulla protezione dei dati. Non potete nemmeno agire contro ogni singolo sito web che vi traccia: sono semplicemente troppi!
La**"dottrina Criteo" fornisce una protezione contro questo fallimento**. Riconosce che il GDPR consente alle aziende di ripartire le responsabilità come vogliono, ma sostiene anche che la ripartizione delle responsabilità deve proteggere efficacemente i diritti dei dati.
Quindi, i responsabili del trattamento possono ripartire le responsabilità come vogliono, ma la conseguenza di questa discrezionalità è che devono trovare una ripartizione che protegga i diritti alla privacy o, per lo meno, che non fallisca in modo spettacolare e sistematico. È qui che le autorità di regolamentazione tracciano una linea di demarcazione e ritengono entrambi i responsabili del trattamento responsabili delle violazioni, indipendentemente da ciò che dicono i loro documenti legali.
Che cosa significa questo per la web analytics?
La "dottrina Criteo" ha molte conseguenze importanti, alcune delle quali difficili da prevedere. Per quanto riguarda la pubblicità e la web analytics in particolare, la dottrina significa che i fornitori dovrebbero preoccuparsi molto di più del modo in cui i loro strumenti vengono utilizzati nella pratica e adottare misure per combattere gli abusi.
Questo è ciò che le autorità di regolamentazione hanno richiesto a Criteo: alla società è stato ordinato di adottare misure per garantire la raccolta di un consenso valido, anziché prendere per buona la promessa del mignolo del cliente. In altre parole, a Criteo è stato richiesto di controllare i propri partner meglio di quanto non facessero già (e non è un'asticella molto alta).
La verifica della conformità sembra complicata e di solito lo è. Ma quando si tratta dell'uso dei cookie, il problema è che non è facile da risolvere. Ma per quanto riguarda l'uso dei cookie, i controlli automatici da parte dei provider potrebbero eliminare molte violazioni dei cookie. Sicuramente i controlli automatici non individueranno tutte le non conformità, ma sarebbero comunque un buon inizio e dimostrerebbero che i provider prendono sul serio le loro responsabilità.
Oltre a una migliore verifica, i provider dovrebbero documentare il consenso degli utenti. Questo è più difficile di quanto sembri: documentare il consenso può essere piuttosto complicato, soprattutto quando i flussi di dati sono già attivi e gestiscono enormi quantità di dati personali.
Ma il significato generale di Criteo è più importante degli obblighi specifici imposti. I fornitori meno attenti alla privacy, come Google Analytics e Meta, dovranno adottare misure per garantire che i loro servizi non vengano sistematicamente abusati (come avviene oggi). Se non dovessero farlo, i difensori della privacy dei consumatori potrebbero ritenerli responsabili agendo direttamente contro di loro, anziché essere costretti a giocare a "whack-a-mole" contro l'intera Internet.
Parole conclusive
Vale la pena sottolineare ancora una volta che la "dottrina Criteo" è stata finora sostenuta da due autorità di regolamentazione: la CNIL e i tribunali olandesi. È ancora da vedere se prenderà piede.
Va inoltre notato che la dottrina non è priva di inconvenienti. Tracciare e documentare il consenso non è un compito facile per un responsabile del trattamento dei dati, soprattutto quando i sistemi che elaborano i dati sono già operativi. La dottrina aumenterebbe l'onere di conformità per molte aziende, comprese quelle che trattano i dati in modo corretto e non invasivo.
Riteniamo che i vantaggi siano superiori agli svantaggi. L'esternalizzazione della conformità ai singoli clienti consente a molti servizi invasivi della privacy di nascondersi dietro i loro ToS o accordi di controllo congiunto. La "dottrina Criteo" potrebbe essere proprio lo strumento di cui abbiamo bisogno per responsabilizzarli nella lotta per un Internet migliore.
A noi di Simple Analytics non piace il tracciamento. Crediamo che non sia etico e invasivo e che renda Internet un posto peggiore. Per questo motivo abbiamo creato Simple Analytics: un servizio di analisi web al 100% privo di tracciamento che non raccoglie nemmeno un bit di dati personali! Se vi sembra una buona idea, non esitate a provarci!