L'autorità francese per la protezione dei dati ha inflitto sanzioni record per quasi mezzo miliardo di euro contro due colossi del digitale, segnando un punto di svolta nella battaglia europea per la privacy online. La Commission Nationale de l'Informatique et des Libertés (CNIL) ha colpito duramente Google con una multa da 325 milioni di euro e il gigante del fast fashion Shein con 150 milioni di euro. Queste sanzioni rappresentano l'ultimo capitolo di una strategia quinquennale che l'autorità francese ha messo in campo per costringere le piattaforme ad alta frequentazione a rispettare le regole sui cookie.
Le violazioni di Google nel servizio Gmail
Il caso Google presenta aspetti particolarmente complessi che vanno oltre le tradizionali infrazioni sui cookie. L'indagine della CNIL ha rivelato come il colosso di Mountain View inserisse pubblicità sotto forma di email nelle schede "Promozioni" e "Social" di Gmail senza richiedere il consenso preventivo degli utenti. Questa pratica, secondo l'autorità francese, viola l'Articolo L.34-5 del Codice Postale e delle Comunicazioni Elettroniche francese.
Durante la creazione di un account Google, gli utenti venivano inoltre incoraggiati a scegliere cookie collegati alla visualizzazione di pubblicità personalizzate, a discapito di quelli per annunci generici. La CNIL ha stabilito che gli utenti non erano chiaramente informati che l'accettazione dei cookie pubblicitari costituiva una condizione necessaria per accedere ai servizi Google, rendendo così invalido il consenso ottenuto.
Shein sotto la lente d'ingrandimento
Il retailer cinese della moda veloce si è trovato nel mirino delle autorità francesi per una serie di violazioni sistemiche. Shein ha piazzato cookie pubblicitari senza il consenso degli utenti, utilizzato banner informativi incompleti che non specificavano gli scopi del trattamento e omesso informazioni sui tracker di terze parti. Inoltre, le opzioni per rifiutare o ritirare il consenso si sono rivelate inefficaci, con i cookie che continuavano a essere installati o letti nonostante le scelte degli utenti.
L'azienda ha successivamente aggiornato il proprio sito web per correggere alcune di queste problematiche, ma ciò non ha impedito l'imposizione delle sanzioni. Shein ha annunciato l'intenzione di fare ricorso, definendo la multa "del tutto sproporzionata" e accusando la CNIL di motivazioni politiche. Il retailer sostiene di essere in piena conformità normativa e di aver cooperato attivamente con l'autorità dal 2023.
Una strategia di compliance a lungo termine
Dal 2020, la CNIL ha intensificato la propria azione di controllo basandosi sull'Articolo 82 della Legge francese sulla Protezione dei Dati. L'autorità ha riconosciuto miglioramenti generali nella conformità alle normative sui cookie, ma mantiene alta la vigilanza su pratiche ancora diffuse come l'installazione di tracker senza consenso. Particolare attenzione viene dedicata ai cosiddetti "cookie walls", meccanismi che subordinano l'accesso ai servizi online all'accettazione dei cookie.
Google ha ora sei mesi di tempo per cessare la visualizzazione di pubblicità in Gmail senza consenso e garantire un valido meccanismo di consenso per i cookie. In caso di ritardi nell'implementazione delle correzioni richieste, l'azienda dovrà affrontare multe giornaliere da 100.000 euro. Questa deadline serrata dimostra la determinazione dell'autorità francese nel far rispettare le proprie decisioni.
Il contesto normativo europeo
Le sanzioni si inseriscono in un panorama normativo europeo sempre più severo verso le big tech. La Francia, in particolare, sta considerando misure ancora più drastiche: un disegno di legge in discussione potrebbe addirittura vietare la pubblicità di Shein sul territorio nazionale. Questa escalation riflette una crescente preoccupazione per l'impatto ambientale e sociale del fast fashion, oltre che per le questioni legate alla privacy digitale.
Le violazioni accertate dalla CNIL evidenziano come anche le piattaforme più sofisticate possano cadere in pratiche scorrette quando si tratta di gestire il consenso degli utenti. La richiesta di un consenso genuinamente libero e informato rimane una sfida tecnica e legale complessa, specialmente per servizi che dipendono heavily dalla raccolta dati per i propri modelli di business pubblicitari.