La Commission Nationale de l’Informatique et des Libertés (CNIL) ha sanzionato nel mese di dicembre i siti web www.facebook.com, www.youtube.com e www.google.fr per violazioni della normativa ePrivacy (derivante dalla Direttiva 2002/58) sui cookie.
Su questi siti, infatti, agli utenti non è consentito rifiutare i cookie con la stessa semplicità con cui li accettano, e questo significa che di fatto essi sono indotti ad essere tracciati e profilati nei loro comportamenti online, dovendosi quindi sorbire pubblicità mirata in base ai loro gusti e alle loro preferenze, e anche “consentire” non proprio volontariamente che i loro dati personali vengano condivisi con agenzie di marketing e altre terze parti.
Il garante per la privacy francese ha reso note le violazioni della privacy con due rispettivi comunicati sul proprio sito istituzionale, nei quali sottolinea che le due piattaforme offrono un pulsante per accettare immediatamente i cookie. Sono però necessari diversi click per rifiutarli tutti.
Facebook e Google hanno opposto alla CNIL una questione relativa al c.d. “one-stop-shop”: cioè il meccanismo di sportello unico ex art. 56 GDPR, per cui sarebbe competente solo l’autorità capofila di stabilimento principale del titolare. Ad esempio la sede europea di Facebook sarebbe solo quella irlandese, a Dublino, per cui la CNIL non avrebbe avuto competenza per giudicare le condotte della società.
La CNIL ha affermato di essere materialmente competente a controllare e sanzionare le operazioni relative ai cookie inseriti da Google e Facebook sui terminali degli utenti situati in Francia, perché il meccanismo di cooperazione previsto dall’art.60 del GDPR con il “one-stop-shop” non è destinato ad applicarsi a tali procedure in quanto le operazioni connesse all’uso dei cookie rientrano nella direttiva “ePrivacy”, recepita dall’art. 82 della Legge sulla protezione dei dati francese.
Le due piattaforme americane hanno adesso tre mesi per adeguarsi, e nel caso in cui non dovessero farlo, le aziende dovranno pagare ciascuna una multa di 100.000 euro per ogni giorno di ritardo.
Google sembra aver mostrato il proprio impegno a cambiare le proprie pratiche e ad attuare nuove modifiche ai propri siti, nonché a collaborare attivamente con la CNIL nel quadro della direttiva europea ePrivacy.
Facebook, pur ribadendo la bontà della propria procedura, la quale consente ai suoi utenti di avere un migliore controllo sui propri dati, incluso un nuovo menu all’interno di Facebook e Instagram in cui si possono modificare le proprie decisioni in qualsiasi momento, al quotidiano Le Figaro ha dichiarato che sta studiando la decisione della CNIL, e che collaborerà con le autorità competenti.