Nuova cookie law 2022, prime sanzioni a Google e Facebook

Con le nuove leggi 2022, sono cambiate molte regole dedicate agli strumenti di tracciamento online, tra cui le linee guida dedicate ai Cookie. Non tutti i titolari del trattamento, tuttavia, sono pronti a queste nuove normative e, anche i nomi più grandi come Google e Facebook, sono già stati multati dalla CNIL francese per aver commesso violazioni delle normative ePrivacy sui cookie. Per fare in modo che ciò non venga ripetuto da altri titolari del trattamento e che soprattutto non avvenga anche in Italia, vediamo più nel dettaglio l’episodio e alcuni utili lezioni per evitare multe milionarie.

La CNIL francese sanziona Google e Facebook con una multa milionaria

La Commission Nationale de l’Informatique et des Libertés (CNIL, il corrispettivo del nostro Garante della Privacy italiano) ha multato per 60 milioni di euro Meta e 150 milioni di euro Google per simili condotte, ovvero per violazioni della normativa ePrivacy (derivante dalla Direttiva 2002/58) sui cookie. Si tratta di una delle somme più alte mai quantificate per multe afferenti ai cookie, alle quali sono stati affiancati l’obbligo di correggere immediatamente i propri banner e la pena di 100.000 euro aggiuntivi per ogni giorno di ritardo. Il caso francese è quindi “esemplare” per gli altri Paesi europei che stanno applicando le nuove linee guida europee sui cookie (a tal proposito, leggi anche “Come funzionano le nuove norme sui cookies nel 2022”). A tal proposito, sia Google che Facebook si sono opposti alla sanzione prima citata, in quanto affermavano che non fosse di competenza francese il loro esercizio, data la sede presente altrove. In risposta, l’Autorità francese ha ribadito la sua piena competenza per il rispetto delle disposizioni della Direttiva ePrivacy, in quanto si tratta di episodi relativi a utenti francese i cui dispositivi sono oggetto di accesso o lettura da parte dei titolati, Facebook e Google, come previsto dalla legge nazionale francese di recepimento della predetta Direttiva.

La fondamentale scelta libera dell’utente: accettare o rifiutare il consenso

Venendo al dunque, qual è quindi il motivo per cui sia Meta che Google sono state multate per violazione delle Direttive ePrivacy? La sanzione è simile in quanto anche le violazioni sono state simili e consistono esattamente nella mancata libertà dell’utente nel consenso dei cookies non tecnici. Tramite il banner di facebook.com, google.fr e youtube.com, infatti, il consenso dell’utente non è libero, in quanto non vi è la stessa possibilità di accettare come di rifiutare il consenso. Vi è un evidente squilibrio tra il rifiutare e l’accettare il consenso, in quanto per accettare c’è il semplice tasto “Accetto” in fondo alla pagina, mentre per rifiutare il consenso sono necessari diversi, più lunghi e complessi passaggi e stratificazioni di ulteriori banner. Si contesta quindi un vulnus al diritto di scelta dell’utente interessato, in quanto non c’è un corretto equilibrio di Cookie policy e GDPR e non è né privacy-oriented né by default. Questo tipo di prassi è chiamato dark pattern, ovvero una pratica sleale volta a indirizzare l’utente verso la soluzione più favorevole al titolare, solo perché più facile e sbrigativa da concludere, ma in realtà sfavorevole all’utente. Sfrutta la mancanza di attenzione, le debolezze cognitive e spesso anche la pigrizia degli utenti per scopi ben più grandi e non rispettosi della privacy. Per evitare tali sanzioni, anche gli altri titolari del trattamento dovrebbero conoscere tali pratiche e fare in modo che la libertà di consenso sia sempre e comunque rispettata al meglio.