La conferenza italiana GDPR Day ne ha discusso spesso e a lungo e ancora a lungo ne parlerà: la privacy, la Data Protection e tutte le regole del GDPR. Il CNIL, ovvero la “Commission nationale de l’informatique et des libertés” e quindi l’equivalente del Garante Privacy francese, ha sanzionato Amazon e Google dopo aver condotto per diversi mesi indagini atte ad accertare il rispetto – o meno – delle regole sul trattamento dei dati. In particolare, Amazon è stata sanzionata con 35 milioni di euro per aver inserito cookie pubblicitari sui computer degli utenti, dal sito amazon.fr, senza aver ottenuto il consenso preventivo e senza fornire informazione adeguata.
Nel dettaglio, dal sito amazon.fr venivano installati molti cookie utilizzati a fini pubblicitari senza alcuna richiesta esplicita da parte dell’utente e, quindi, senza alcuna autorizzazione e l’esplicito consenso invece, appunto, necessario. In aggiunta, il CNIL ha rilevato come “le informazioni fornite non fossero né chiare né complete“, poiché l’apposito banner informativo (ovvero l’avviso “Utilizzando questo sito Web, accetti il nostro utilizzo dei cookie che consentono di offrire e migliorare i nostri servizi. Leggi di più“) conteneva solo un’informazione generale e approssimativa sulle finalità di tutti i cookie inseriti.
In particolare, l’utente non veniva quindi messo ad opportuna conoscenza del fatto che i cookie inseriti nel proprio computer fossero utilizzati principalmente per visualizzare annunci personalizzati, cookie invece che l’utente deve sempre eventualmente poter rifiutare.
Per questi motivi, AMAZON EUROPE CORE dovrà appunto pagare 35 milioni di euro.
[Partecipa al webinar di OneTrust sui cookies il 18 Dicembre – clicca qui]
Stessa sorte è toccata a Google che, in totale, dovrà pagare 100 milioni di euro per violazioni pressoché simili (violazioni dell’articolo 82 del French Data Protection Act). In questo caso, però, c’è stata una terza motivazione (e violazione) che il CNIL ha notato e quindi sanzionato: il mancato corretto funzionamento del “meccanismo di opposizione”, ovvero la possibilità che ogni utente ha di disattivare la personalizzazione degli annunci nella ricerca di Google. Questo, infatti, lasciava attivo uno dei cookie pubblicitari che, quindi, continuava a comunicare con il server.
Singolare il fatto che siano violazioni riguardanti l’abc della Privacy e del GDPR: i cookies e, soprattutto, l’elementare corretta informazione che Google ad Amazon, i giganti del web, avrebbero dovuto dare ai loro utenti.
Se anche tu ti occupi o ti interessi di GDPR e Privacy, entra nel gruppo Telegram del GDPR Day per parlarne con centinaia di italiani interessati a questi argomenti. Ti invitiamo, inoltre, a partecipare alle prossime conferenze GDPR Day con i maggiori esperti italiani di Privacy e GDPR!