La Francia ha deciso di prendere provvedimenti contro i dark patterns dei colossi del Big Tech, multando Google e Facebook per quasi 240 milioni di dollari per i cookie manipolativi
Francia, multa da 210 milioni di euro a Google e Facebook per i cookie manipolativi
I siti web cercano regolarmente di indirizzare gli utenti ad accettare i loro cookie di tracciamento, rendendo relativamente difficile rifiutarli. Giovedì, l’autorità di vigilanza francese per la protezione dei dati ha reagito contro questi trucchi – noti nell’industria tecnologica come “modelli oscuri” – multando Facebook, Google e YouTube per un totale di 210 milioni di euro (238 milioni di dollari).
L’agenzia, nota come CNIL, ha detto che le azioni delle aziende hanno violato la legge francese sulla protezione dei dati.
Oltre a queste multe – 60 milioni di euro per Facebook e 150 milioni di euro per Google e la sua attività di video-streaming – ha dato loro tre mesi di tempo per cambiare il funzionamento dei loro meccanismi di accettazione/rifiuto dei cookie, o affrontare ulteriori sanzioni di 100.000 euro al giorno.
Il duro regime europeo sulla privacy online è entrato in azione nel 2021, quando le multe ai sensi del precedentemente meno temuto Regolamento generale sulla protezione dei dati (GDPR) hanno totalizzato più di 1 miliardo di euro, soprattutto grazie alle multe a tappeto per Amazon e WhatsApp, imposte rispettivamente in Lussemburgo e Irlanda.
Le ultime multe della CNIL, tuttavia, sono state sostenute da un diverso documento di legislazione europea: la direttiva ePrivacy, che è stata recepita nella legge francese circa due decenni fa.
Conosciuta popolarmente come “legge sui cookie”, questo antico (nel tempo di Internet) regolamento avrebbe dovuto essere sostituito cinque anni fa, anche se il processo legislativo si è ripetutamente bloccato.
La legge sui cookie e la decisione della CNIL francese
Il consenso degli utenti è centrale nella legge sui cookie e, secondo la CNIL, Facebook e Google non l’hanno ottenuto correttamente.
“Diversi click sono richiesti per rifiutare tutti i cookies, contro uno solo per accettarli”, ha denunciato il regolatore riguardo ai siti di Google e YouTube.
Lo stesso vale per il sito web di Facebook, con un’aggiunta particolarmente divertente: “La CNIL ha anche notato che il pulsante che permette all’utente di rifiutare i cookie si trova nella parte inferiore della seconda finestra ed è intitolato ‘Accetta i cookie'”.
In tutti questi casi, ha detto la CNIL, i meccanismi scoraggiano gli utenti a rifiutare i cookie, in un processo che “colpisce la libertà di consenso degli utenti di Internet.”
“Stiamo rivedendo la decisione dell’autorità e rimaniamo impegnati a lavorare con le autorità competenti”, ha detto un portavoce del proprietario di Facebook Meta. “I nostri controlli sul consenso dei cookie forniscono alle persone un maggiore controllo sui loro dati, compreso un nuovo menu delle impostazioni su Facebook e Instagram dove le persone possono rivisitare e gestire le loro decisioni in qualsiasi momento, e continuiamo a sviluppare e migliorare questi controlli.”
Un portavoce di Google ha riferito: “Le persone si fidano di noi per rispettare il loro diritto alla privacy e tenerli al sicuro. Comprendiamo la nostra responsabilità di proteggere quella fiducia e ci stiamo impegnando in ulteriori cambiamenti e nel lavoro attivo con la CNIL alla luce di questa decisione ai sensi della direttiva ePrivacy.”
“Modelli oscuri” di Facebook e Google
Questa non è la prima volta che Facebook e Google sono stati accusati di impiegare modelli oscuri per manipolare le persone a indebolire la loro privacy.
Alcuni anni fa, poco dopo l’entrata in vigore del GDPR, gruppi di consumatori di tutta Europa hanno chiesto ai regolatori nazionali della privacy di indagare sui “dark pattern”. Il Consiglio norvegese dei consumatori (NCC), che ha guidato la spinta, ha presentato un reclamo formale contro Google al garante della protezione dei dati della Norvegia.
Tuttavia, secondo il meccanismo “one stop shop” del GDPR, i reclami dovrebbero essere gestiti dal regolatore del paese in cui l’azienda ha la sua sede europea, cioè l’Irlanda, per la maggior parte di Big Tech. Così il reclamo della NCC è passato alla notoriamente lenta e sottofinanziata commissione irlandese per la protezione dei dati, dove langue da allora.
La CNIL francese ha evitato questa trappola prendendo di mira Google e Facebook sotto la legge ePrivacy. Come ha ripetutamente notato nelle dichiarazioni di giovedì, ha la giurisdizione per emettere multe per le violazioni dell’ePrivacy sul suolo francese.
“La decisione della CNIL manda un forte segnale rispetto al fatto che gli utenti devono poter fare scelte reali ed eque online, e non essere manipolati per ‘accettare’ ciò che è nell’interesse delle aziende”, ha ribadito il capo della politica digitale della NCC, Finn Myrstad, nella giornata di giovedì 6 gennaio 2022.
