Google multata da CNIL: 325 milioni di euro per pubblicità e cookie senza consenso

CNIL (Commission Nationale de l’Informatique et des Libertés), Autorità francese indipendente che vigila sulla protezione dei dati personali e sulla protezione dei dati personali, ha inflitto a Google una sanzione complessiva di 325 milioni di euro per due gravi violazioni relative alla privacy degli utenti francesi. Le infrazioni riguardano la visualizzazione di pubblicità tra le email degli utenti di Gmail senza il loro consenso e l’impianto di cookie traccianti durante la creazione degli account Google senza un valido consenso.

Com’è nata l’indagine a carico di Google

Le indagini CNIL sono iniziate a seguito di un reclamo presentato dall’organizzazione None Of Your Business (NOYB) capeggiata dall’attivista austriaco Max Schrems, il 24 agosto 2022. Tra il 2022 e il 2023, CNIL ha effettuato diverse ispezioni sul servizio di posta Gmail e sul processo di creazione degli account Google.

Gli accertamenti hanno evidenziato che Google ha inserito pubblicità sotto forma di email nelle schede “Promozioni” e “Social” di Gmail. CNIL ha ritenuto che tali inserzioni costituissero marketing diretto via email, per il quale è obbligatorio ottenere il consenso degli utenti secondo il Codice francese delle comunicazioni elettroniche (CPCE).

Inoltre, è emerso che durante la creazione di un account Google gli utenti erano incoraggiati a selezionare cookie per pubblicità personalizzata, con difficoltà nel rifiutarli, senza essere chiaramente informati che l’accesso ai servizi dipendesse dall’accettazione dei cookie stessi. Le verifiche hanno quindi accertato una violazione dell’articolo 82 della Legge francese sulla protezione dei dati personali.

Sanzioni e obblighi imposti a Google

A fronte delle due violazioni, CNIL quindi disposto:

• Due multe per un totale di 325 milioni di euro: 200 milioni a Google LLC e 125 milioni a Google Ireland Ltd.
• Ordine di conformità: entro 6 mesi le aziende del gruppo Alphabet devono cessare di mostrare pubblicità tra le email degli utenti senza consenso e garantire un consenso valido per i cookie pubblicitari al momento della creazione degli account. In caso di inadempienza, è prevista una penale di 100.000 euro al giorno.

La sanzione ha considerato esclusivamente gli utenti residenti in Francia, interessando oltre 74 milioni di account, di cui 53 milioni hanno ricevuto pubblicità illegittima nelle loro caselle Gmail. Non è quindi escluso che provvedimenti simili possano essere assunti in altri Paesi europei.

La reazione di Google

Un portavoce dell’azienda di Mountain View ha affermato che Google sta esaminando la decisione e ha aggiunto che gli utenti hanno sempre potuto controllare gli annunci pubblicitari visualizzati nei loro prodotti.

Negli ultimi due anni, Google ha apportato degli aggiornamenti per rispondere alle preoccupazioni della Commissione, tra cui un modo semplice per rifiutare gli annunci personalizzati quando si crea un account Google e modifiche al modo in cui gli annunci vengono presentati in Gmail, ha osservato il portavoce.

Considerazioni finali

CNIL ha sottolineato la posizione centrale di Google nel mercato pubblicitario online e il fatto che Gmail sia il servizio di posta più utilizzato al mondo, evidenziando la gravità delle violazioni. La multa segue precedenti sanzioni inflitte a Google nel 2020 e nel 2021.

Con un ruolo simile a quello del Garante Privacy italiano, CNIL è un organismo indipendente incaricato di proteggere i dati personali dei cittadini e garantire il rispetto della normativa sulla privacy. Come il Garante italiano, CNIL può condurre ispezioni, emettere prescrizioni e sanzioni, e fornire linee guida per il corretto trattamento dei dati personali.

In questo caso, CNIL ha dimostrato la sua capacità di imporre obblighi concreti e sanzioni significative a un colosso tecnologico globale, ribadendo l’importanza del consenso informato degli utenti e della trasparenza nelle pratiche pubblicitarie online.