In datata 29 dicembre 2023, l’Autorità Garante della #privacy francese (CNIL, Commissione Nazionale dell’Informazione e delle Libertà) ha imposto una sanzione di notevoli proporzioni, pari a 10 milioni di euro, a ” #Yahoo Emea Limited “, la rinomata società irlandese operante nel campo della tecnologia e dei media. Il motivo di tale penalità risiede nella violazione delle disposizioni in materia di #cookie e nell’ignoranza nei confronti delle espressioni di dissenso manifestate dagli utenti nei confronti dei suddetti cookie.
La #CNIL ha ricevuto ventisette reclami da parte di utenti che lamentavano ostacoli nel revocare il proprio consenso. La società sanzionata è ben nota per le sue attività, tra cui la fornitura di servizi web come motore di ricerca e messaggistica elettronica. Nel periodo compreso tra giugno 2019 e ottobre 2020, la CNIL ha registrato numerosi reclami da parte di utenti che denunciavano l’inserimento di cookie nei loro dispositivi senza la possibilità di esprimere dissenso.
A seguito di ciò, sono stati avviati i primi controlli online da parte dell’Autorità, con successivi scambi di repliche e osservazioni, sia orali che scritte. Le conclusioni emerse sono nette: la società ha trascurato gli obblighi derivanti dalle regole sui cookie (art. 82).
Le due principali violazioni contestate sono:
-
L’inserimento di cookie senza il consenso dell’utente.
-
L’incoraggiamento a non revocare il consenso.
Riguardo al posizionamento di cookie senza consenso, durante un’ispezione del 2020 è emerso che almeno venti cookie, richiedenti un consenso preliminare, sono stati depositati senza la verifica del consenso. La difesa della società si è basata sull’argomento che molti di questi cookie erano “strettamente necessari per la fornitura dei suoi servizi” e quindi esenti dal consenso. Tuttavia, la CNIL ha evidenziato che, durante la visita a “yahoo.com”, compariva un banner con la possibilità di gestire le impostazioni dei cookie, ma nonostante ciò, alcuni cookie pubblicitari venivano comunque installati senza il consenso espresso dell’utente.
La seconda contestazione riguarda l’incoraggiamento a non revocare il consenso. La società avrebbe utilizzato messaggi persuasivi minacciando la perdita dell’accesso a Yahoo Mail in caso di revoca del consenso. La difesa ha richiamato la direttiva ePrivacy, il #GDPR e il Data Protection Act, sostenendo che nessuna di queste normative disciplina la revoca del consenso ai cookie. Tuttavia, la CNIL ha sottolineato che il consenso deve essere libero, specifico, illuminato e inequivocabile, e la mancanza di un’effettiva libertà di scelta da parte degli utenti rende il processo illecito.
La società ha sollevato l’eccezione di incompetenza materiale e territoriale, ma la CNIL ha respinto tale eccezione, dichiarandosi competente a controllare e sanzionare le operazioni legate ai cookie sulla base della presenza di Yahoo France come stabilimento sul territorio francese di Yahoo Emea Limited.
Questa multa milionaria potrebbe rappresentare un segnale per le organizzazioni con siti web affinché prestino maggiore attenzione alle normative sui cookie.