È stato un mese caldo per la privacy in Francia. La DPA francese (CNIL) ha comminato multe a tre grandi aziende tecnologiche (Apple, TikTok e Microsoft). Tutte le decisioni sono interessanti, e una è accompagnata da una grossa multa.
- La direttiva ePrivacy
- Apple multata per 8 milioni di euro per tracciamento illegale
- TikTok è stato multato di 5 milioni di euro per un pasticcio sui cookie
- Microsoft multata per 60 milioni di euro per i cookie di Bing
- Alcune considerazioni
- Considerazioni finali
La direttiva ePrivacy
Tutti i casi riguardano l'articolo 5 della direttiva ePrivacy dell'UE. Nei nostri blog scriviamo molto sul GDPR, ma anche la direttiva ePrivacy è molto importante in materia di privacy.
Il GDPR è noto come "legge sui cookie", ma la direttiva è la vera legge sui cookie. L'articolo 5 richiede il consenso per leggere e scrivere qualsiasi informazione memorizzata sull'apparecchiatura terminale dell'utente. La norma riguarda i cookie, ma si applica anche a tecnologie diverse come gli ID pubblicitari (come nel caso di Apple).
La direttiva prevede due esenzioni. Il consenso non è richiesto per le informazioni necessarie al trattamento:
- Per rendere possibile la comunicazione (ad esempio, le compagnie telefoniche devono elaborare i numeri di telefono).
- Per fornire un servizio richiesto dall'utente. Questa esenzione comprende i cosiddetti cookie essenziali utilizzati dai siti web, come i cookie che memorizzano le preferenze dell'utente o tengono traccia degli articoli in un carrello della spesa.
I cookie necessari per il marketing e l'analisi del web non sono cookie essenziali e possono essere elaborati solo dopo aver raccolto il consenso. Questo è il motivo per cui si vedono tanti fastidiosi banner sui cookie quando si naviga in Internet.
Nel complesso si tratta di un regime più severo rispetto al GDPR, perché quest'ultimo consente il trattamento dei dati personali su basi diverse dal consenso, come il legittimo interesse o l'esecuzione di un contratto (abbiamo scritto di più sulle basi giuridiche qui).
Un'altra differenza importante è che la direttiva non è direttamente applicabile. Pertanto, le autorità per la protezione dei dati (DPA) in ogni Stato membro non applicano direttamente la direttiva, ma piuttosto le leggi nazionali che la implementano (nel caso del CNIL, si tratta della legge francese sulla protezione dei dati).
Apple multata per 8 milioni di euro per tracciamento illegale
Il primo caso riguarda gli ID pubblicitari. iOS 14.6 utilizza gli ID pubblicitari per tracciare l'attività degli utenti e personalizzare le pubblicità sull'App Store. Il sistema operativo non chiede il consenso all'utente, ma fornisce un'opzione di opt-out nelle impostazioni sulla privacy. La CNIL ha ritenuto che ciò costituisca una violazione della direttiva ePrivacy e ha multato Apple per 8 milioni di euro. Secondo Politico, Apple intende impugnare la decisione.
Questa sentenza non è una novità. Il GDPR richiede che il consenso sia dato attraverso una chiara azione affermativa e la Corte di giustizia dell'UE ha già chiarito che i sistemi di opt-out non possono mai raccogliere un consenso valido, quindi le regole sono chiare. Eppure le aziende continuano a utilizzare sistemi di opt-out (anche multinazionali con dipartimenti legali ben finanziati).
Vanno notate altre due cose. In primo luogo, il caso riguardava specificamente iOS 14.6 e la DPA non ha indagato sul tracciamento in altre versioni. In secondo luogo, Apple ha modificato le impostazioni sulla privacy a partire da iOS 15 e ha implementato un sistema di opt-in per la specifica opzione sulla privacy coinvolta nel caso. Questo non significa necessariamente che Apple non stia più tracciando gli utenti senza il loro consenso: infatti, l'azienda sta affrontando una causa sulla privacy in California per il tracciamento non autorizzato.
TikTok è stato multato di 5 milioni di euro per un pasticcio sui cookie
Nel secondo caso, la CNIL ha indagato sui cookie del sito web di TikTok. Il risultato non è stato dei migliori.
In primo luogo, il sito web utilizzava tre cookie, indipendentemente dalla scelta dell'utente di accettarli o rifiutarli. Due erano cookie essenziali ai sensi della Direttiva ePrivacy, ma uno era un cookie di marketing. Non è possibile farlo.
In secondo luogo, il banner dei cookie forniva all'utente la scelta di accettare o personalizzare i cookie nel primo livello, costringendolo ad accedere al secondo livello e a fare ulteriori clic per rifiutare i cookie. Si tratta di un esempio da manuale di design ingannevole, di cui abbiamo già parlato nel nostro blog. Inoltre, il banner non forniva informazioni sufficienti all'utente. Per questo motivo, la CNIL ha ritenuto che il banner sui cookie non fosse conforme e che il sito web stesse elaborando i cookie senza il consenso dell'utente.
Come nota a margine, TikTok ha presentato una difesa interessante: "Rifiutare i cookie è davvero semplice sul nostro sito web, perché l'utente può semplicemente ignorare il banner dei cookie e continuare a navigare". Quindi per accettare tutti i cookie basta un clic, mentre per rifiutarli ne bastano zero: è così semplice! Inutile dire che la CNIL non se l'è bevuta.
Microsoft multata per 60 milioni di euro per i cookie di Bing
Il terzo caso riguarda i cookie del dominio Bing.com ed è costato a Microsoft una multa di 60 milioni di euro.
L'autorità ha innanzitutto rilevato che il banner dei cookie visualizzato sul sito web non era conforme al GDPR e alle linee guida della CNIL. Analogamente al banner di TikTok.com, quello di Bing non includeva un' opzione di rifiuto nel primo livello e costringeva l'utente a fare altri clic inutili per rifiutare i cookie.
La CNIL ha inoltre riscontrato che Bing.com ha inserito un cookie per le frodi anti-pubblicità, indipendentemente dalle preferenze dell'utente. Microsoft ha considerato questo cookie come essenziale, ma la CNIL ha deciso diversamente sulla base delle proprie linee guida. L'autorità ha inoltre riscontrato l'inserimento di un cookie pubblicitario senza consenso, che Microsoft ha dichiarato essere la conseguenza di un errore umano.
Alcune considerazioni
La tempistica delle decisioni contro TikTok e Microsoft non potrebbe essere più appropriata. Una task force del Comitato europeo per la protezione dei dati si è occupata dei cookie banner e ha pubblicato il suo rapporto poco dopo la pubblicazione delle decisioni del CNIL. Tra l'altro, la necessità di un pulsante di rifiuto nel primo livello dei banner è uno dei punti principali del rapporto.
Abbiamo trattato questo argomento in dettaglio sul nostro blog perché riteniamo che il rapporto sia un buon indicatore di come le autorità di protezione dei dati gestiranno i casi relativi ai cookie d'ora in poi. Ci auguriamo che le multe inflitte dalla CNIL a TikTok e Microsoft per i loro banner ingannevoli siano d 'esempio per altre DPA.
La competenza è un altro aspetto importante di tutte e tre le decisioni. La CNIL non ha detto nulla di nuovo a questo proposito, ma la questione merita comunque di essere approfondita.
Apple, TikTok e Microsoft hanno tutte le loro filiali europee nella Repubblica d'Irlanda e tutte e tre hanno sostenuto che il DPC (l'autorità di protezione dei dati irlandese) era competente a decidere i loro casi ai sensi del GDPR. Ma i casi riguardavano violazioni della direttiva ePrivacy, che segue regole di competenza diverse rispetto al GDPR. Per questo motivo la CNIL si è ritenuta competente a comminare le ammende.
La competenza può sembrare una questione tecnica, ma è importante dal punto di vista pratico. Alcune DPA sono più severe di altre, e il CNIL è molto più severo del DPC. Se i casi fossero stati decisi in Irlanda, l'esito sarebbe stato diverso e più favorevole alle aziende.
Considerazioni finali
È presto per dirlo, ma potremmo finalmente assistere a un giro di vite sui banner di cookie ingannevoli. Noi di Simple Analytics non siamo mai stati fan dell'uso dei cookie, tanto meno di quelli fastidiosi e spesso ingannevoli. Il motivo è che i proprietari dei siti web possono ottenere le informazioni necessarie per migliorare le prestazioni dei loro siti senza dover ricorrere ai cookie.
Siamo un'alternativa a Google Analytics senza cookie che è conforme al 100% al GDPR e non necessita di cookiebanner. Siete curiosi di vedere come si presenta? Non esitate a provarci!