Bollettino Legale n. 86 – Agosto 2025. 

 

Cookie e targeting degli utenti internet: stato attuale delle cose.

Il 1° settembre, la CNIL ha inflitto una multa di 325 milioni di euro a Google e di 150 milioni di euro alla filiale irlandese del gruppo Shein, importi che aumenteranno significativamente la media delle sanzioni comminate dalla CNIL negli ultimi mesi.

Google è stata sanzionata per aver visualizzato annunci pubblicitari inseriti tra le email degli utenti di Gmail e per aver installato cookie durante la creazione di account Google, senza il valido consenso degli utenti francesi.

La CNIL impone inoltre a Google di rimuovere la visualizzazione di tali annunci entro sei mesi e di ottenere il consenso valido degli utenti per l'installazione di cookie pubblicitari al momento della creazione di un account Google, pena una multa di 100.000 euro al giorno. 

La sanzione inflitta a Shein riguarda anche la mancata osservanza delle norme relative ai cookie, installati sui dispositivi degli utenti che visitano il sito web "shein.com".

Queste sanzioni pecuniarie significative rientrano tra le diverse misure adottate dalla Commissione per regolamentare il tracciamento e la profilazione degli utenti di Internet, e pubblicate sul suo sito web nel 2019.

Nel dicembre 2021, la CNIL aveva già multato Google per 150 milioni di euro per violazione delle normative sui cookie e per 50 milioni di euro per la mancanza di trasparenza e chiarezza della sua informativa sulla privacy e per l'assenza di una base giuridica per la pubblicità personalizzata.

Di recente ha inoltre sanzionato l'azienda Orange per pratiche simili, ovvero l'invio di pubblicità tramite e-mail.

Queste decisioni ci offrono l'opportunità di esaminare le pratiche di targeting degli utenti di Internet e il quadro giuridico.

Le norme applicabili ai singoli casi sono specifiche: la Commissione ricorda che le operazioni relative all'uso di tracker e alla prospezione elettronica non rientrano nell'ambito di applicazione del GDPR, bensì di altre normative: la direttiva "ePrivacy", recepita nell'articolo 82 della legge sulla protezione dei dati per i tracker, e la legge 34-5 del CPCE per la prospezione commerciale tramite mezzi elettronici.

Le pratiche considerate non conformi riguardano principalmente l'installazione di tracker senza il consenso dell'utente, ma anche la crescente diffusione dei "cookie wall", che subordinano l'accesso dell'utente a un servizio all'accettazione dell'installazione di tracker sul proprio terminale.

A differenza di alcune sue controparti europee, la CNIL non considera questa pratica illegale di per sé.

Tuttavia, sottolinea che il consenso deve essere dato liberamente e che le alternative offerte all'utente devono essere presentate in modo equilibrato, senza incoraggiarlo a scegliere un'opzione piuttosto che un'altra (ad esempio, rendendo una scelta più complessa dell'altra).

È inoltre necessario che il consenso sia informato, ovvero che le persone abbiano una comprensione piena e chiara delle conseguenze delle loro scelte.

Queste decisioni della CNIL rappresentano anche il culmine di reclami presentati dall'ONG noyb più di due anni fa a numerose autorità di protezione dei dati (DPA) in Europa, principalmente riguardanti il fenomeno dei cookie wall o pay or okay e la questione della trasparenza nella raccolta dei dati.

Pertanto, a metà agosto, il Tribunale amministrativo federale austriaco ha accolto il parere dell'Autorità austriaca per la protezione dei dati e ha ritenuto che l'esistenza di molteplici finalità per l'installazione dei cookie richieda un consenso separato.

Secondo la corte, raggruppare diverse finalità di trattamento violerebbe la libertà di decisione e renderebbe invalido il consenso.

"Questa granularità è strettamente legata al requisito che il consenso debba essere dato per uno scopo specifico", si legge nella nota esplicativa della sentenza.

Questi recenti sviluppi confermano la posizione delle autorità di controllo, secondo cui il quadro giuridico, e in particolare la direttiva ePrivacy, si applica rigorosamente al consenso, soprattutto per i cookie non essenziali.

Le autorità non tollerano più i consensi "predefiniti" o le interfacce informative vaghe.

       

È stato interrogato dal Senato quest'estate, Anton Carniaux, direttore degli affari pubblici e legali di Microsoft Francia, ha ammesso di non poter "garantire" che i dati dei cittadini francesi ospitati in Europa non vengano mai trasmessi al governo americano. ai sensi del Cloud Act, anche se "questo non è mai successo".

In questo contesto di dipendenza dai giganti americani, il governo danese ha annunciato il lancio ufficiale di un'iniziativa volta a valutare l'integrazione di soluzioni open source nei propri servizi pubblici.

Il 9 settembre, la DGE e la DGCCRF hanno pubblicato la bozza di designazione delle autorità nazionali incaricate dell'attuazione del regolamento europeo sull'intelligenza artificiale.

Il documento include un diagramma che mostra le – numerose – autorità competenti in base agli articoli pertinenti del regolamento e alle finalità del trattamento tramite IA.

Grazie al lavoro del vice capo della missione legale della DINUM, è ora possibile consultare la mappa dei controlli della CNIL per anno e settore di attività.

La mappatura si concentra su questi controlli e non include tutte le azioni della CNIL, come le campagne di sensibilizzazione sul territorio, le notifiche formali, le sanzioni, ecc.

Si basa sui dati che la CNIL pubblica sul sito data.gouv.

 

istituzioni e organismi europei

In questo periodo dell'anno, le notizie europee sono molto intense, a causa dell'attività delle istituzioni e in particolare della Corte di giustizia dell'Unione europea (CGUE).

La proposta di regolamento sul controllo delle comunicazioni ("Controllo delle chat"), volta a prevenire e contrastare gli abusi sessuali commessi ai danni dei minori, è nuovamente all'ordine del giorno del Consiglio europeo del 12 settembre 2025, sotto la presidenza danese.

La proposta rivista prevede la possibilità di scansionare le comunicazioni sul terminale dell'utente prima che vengano inviate e costituisce, agli occhi di molti scienziati e della società civile, un passo indietro rispetto al testo della presidenza polacca.

L'8 settembre è stata pubblicata una nuova lettera aperta (la quarta su questo argomento), firmata da oltre 600 scienziati provenienti da 34 paesi.

Sottolinea l'inefficienza e i rischi di questa proposta in termini di crittografia e menziona possibili alternative.

Il 4 settembre, la Commissione europea ha avviato la procedura per l'adozione, da parte del Brasile, di una decisione di adeguatezza in materia di protezione dei dati.

Una volta adottata, questa decisione sarà la prima decisione di adeguatezza per l'America Latina dopo quelle relative all'Argentina del 3 giugno 2003 e all'Uruguay del 21 agosto 2012.

Anche le autorità brasiliane hanno avviato un processo volto ad adottare una decisione equivalente che consenta il libero flusso dei dati brasiliani verso l'UE.

I prossimi passi prevedono la presentazione del progetto di decisione al Comitato europeo per la protezione dei dati (EDPB) e al Consiglio dei ministri in rappresentanza degli Stati membri dell'UE per la revisione.

Anche il Parlamento europeo esaminerà la proposta.

Il 5 settembre, La Commissione europea ha annunciato che infliggerà a Google una multa di 2,95 miliardi di euro. per aver violato le norme antitrust dell'UE distorcendo la concorrenza nel settore delle tecnologie pubblicitarie ("adtech").

Google avrebbe favorito i propri servizi di tecnologia per la pubblicità online a scapito dei fornitori di servizi di tecnologia pubblicitaria concorrenti, degli inserzionisti e degli editori online.

La Commissione ha ordinato a Google di porre fine a queste pratiche di auto-favoritismo e di attuare misure per eliminare i conflitti di interesse inerenti alla sua catena di fornitura di tecnologie pubblicitarie.

Google ha ora 60 giorni di tempo per informare la Commissione su come intende procedere.

Questa sanzione ha provocato una reazione immediata da parte degli Stati Uniti, con Donald Trump che ha manifestato l'intenzione di adottare misure di ritorsione contro l'UE.

Il 3 settembre, nella sua decisione T-553/23 | Latombe contro Commissione, la La Corte di giustizia dell'Unione europea ha respinto il ricorso presentato dall'eurodeputato Philippe Latombe, volto ad annullare la terza versione dell'accordo sul trasferimento dei dati tra l'UE e gli Stati Uniti. il Data Protection Framework (DPF), considerando che gli Stati Uniti "garantivano un livello adeguato di protezione dei dati personali".

Il signor ha sottolineato in particolare che l'organismo di appello americano, la "Data Protection Review Court" (DPRC), non è imparziale e dipende dal potere esecutivo.

Ha inoltre segnalato la pratica, da parte dei servizi di intelligence, di raccogliere enormi quantità di dati personali in transito dall'Unione Europea, senza la preventiva autorizzazione di un giudice o di un'autorità amministrativa indipendente, e quindi senza linee guida sufficientemente chiare e precise.

La Corte respinge la richiesta di annullamento.

Egli sottolinea che l'operato della Repubblica Popolare Democratica di Repubblica (RPDC) è soggetto a una serie di garanzie, che la Commissione europea monitora l'applicazione del Patto di Difesa Federale (DPF) e ritiene sufficiente che le attività di intelligence svolte dalle agenzie americane siano soggette a revisione giudiziaria ex post da parte della RPDC.

La decisione della Corte di giustizia dell'UE può essere impugnata dinanzi alla CGUE, e il deputato Philippe Latombe ha già espresso l'intenzione di presentare tale ricorso.

Il 4 settembre, con un'importante sentenza (causa C-413/23 P | EDPB/CRU), la Corte di giustizia dell'Unione europea ha ribaltato una decisione della Corte di giustizia dell'Unione europea relativa al concetto di dati personali.

Si pronuncia sul ricorso presentato dal Garante europeo della protezione dei dati (EDPS) contro la sentenza della Corte di giustizia dell'UE che ha annullato la sua decisione del 2020.

In questa decisione, il Garante europeo della protezione dei dati (EDPS) ha concluso che il Comitato unico di risoluzione europeo (SRB) aveva violato il GDPR delle istituzioni europee comunicando a una società di revisione contabile i commenti dei creditori e degli azionisti sulla procedura fallimentare di una banca spagnola.

La Corte di giustizia dell'Unione europea ritiene che le opinioni personali degli individui costituiscano informazioni personali e che la Corte avrebbe dovuto trattarle come tali.

Ritiene inoltre che il rischio di reidentificazione connesso al trattamento e al trasferimento dei dati personali debba essere valutato caso per caso al momento della raccolta e che la Corte abbia errato nell'annullare la decisione iniziale dell'EDPB, in parte perché non aveva accertato se il contenuto dei commenti pseudonimizzati contenesse effettivamente informazioni personali.

Tuttavia, la CGUE si è schierata con la CRU sulla questione di quali condizioni i dati pseudonimizzati possano essere considerati dati personali, scrivendo nella sua decisione che "I dati pseudonimizzati non devono essere considerati, in tutti i casi e per ciascuna persona, come dati personali ai fini dell'applicazione (del GDPR) nella misura in cui la pseudonimizzazione può, a seconda delle circostanze del caso, impedire effettivamente a soggetti diversi dal titolare del trattamento di identificare l'interessato in modo tale che, per loro, l'interessato non sia o non sia più identificabile.

In un'altra sentenza, anch'essa datata 4 settembre (sentenza C 655/23, IP contro Quirin Privatbank AG), il Tribunale si è pronunciato sull'esistenza di un diritto di ingiunzione preventiva per astenersi dal trattamento nei confronti del titolare del trattamento e sull'entità del danno morale.

La Corte ritiene che il GDPR non offra un rimedio giurisdizionale preventivo contro futuri trattamenti illeciti, ma che gli Stati membri possano prevederlo.

Ha inoltre chiarito che sentimenti come l'umiliazione o la preoccupazione possono essere sufficienti a dimostrare un danno morale, a condizione che vengano fornite le prove.

Aggiunge inoltre che la gravità della colpa del titolare del trattamento o l'ottenimento di un'ingiunzione non dovrebbero influenzare l'ammontare del risarcimento, che rimane esclusivamente compensativo.

 

Notizie dai paesi membri dell'Unione europea.

In Germania, la Corte federale del lavoro ha stabilito che un datore di lavoro aveva trattato illegalmente i dati sanitari di un dipendente monitorandolo per verificare se simulasse la propria incapacità lavorativa.

Ha inoltre riconosciuto al dipendente un risarcimento di 1500 euro per danni non patrimoniali.

L'Autorità belga per la protezione dei dati (APD) ha rimproverato un politico che ha raccolto l'indirizzo email di una persona da una fonte pubblica e le ha inviato messaggi politici, violando i principi di licealità, limitazione delle finalità e trasparenza del GDPR.

In Spagna, Loro Parque, società che gestisce uno zoo e un parco acquatico, è stata multata di 250.000 euro dall'APD (Agenzia spagnola per la protezione dei dati personali) per aver raccolto impronte digitali senza preavviso né consenso: le persone interessate erano infatti tenute a fornire le proprie impronte digitali se in possesso di biglietti promozionali che consentivano l'accesso a entrambi i parchi con un unico biglietto.

Inoltre, l'APD ha multato la Camera di Commercio spagnola di 500.000 euro per aver trasferito i codici fiscali di lavoratori autonomi a società private senza una base giuridica.

In Italia, l'APD ha multato un'azienda automobilistica per 50.000 euro.

Quest'ultima aveva organizzato colloqui di "rientro al lavoro" con i propri dipendenti dopo la loro assenza, con conseguente raccolta eccessiva di dati, inclusi dati sensibili.

L'APD segnala inoltre una violazione dei principi di trasparenza e validità del consenso dei dipendenti.

L'Autorità lituana per la protezione dei dati (DPA) ha ordinato a Vinted di interrompere la raccolta dei numeri di telefono dei propri clienti a fini di verifica dell'account.

Inizialmente, la ricorrente riteneva che le motivazioni addotte da Vinted, ovvero la verifica degli account utente e la garanzia della sicurezza della piattaforma, non costituissero un aspetto essenziale del contratto tra il titolare del trattamento e l'interessato.

Ha inoltre osservato che le condizioni d'uso menzionavano altri possibili mezzi per verificare l'identità dell'utente e che, pertanto, il trattamento dei dati personali non soddisfaceva il criterio di necessità di cui all'articolo 6, paragrafo 1, lettera b), del GDPR.

La Corte amministrativa suprema dei Paesi Bassi ha stabilito che una struttura di assistenza per la salute mentale non è tenuta a soddisfare una richiesta di cancellazione dei dati.

La conservazione dei dati era necessaria in virtù del contratto di trattamento medico e per la gestione dei servizi della struttura.

In Polonia, la banca ING Śląski è stata multata di 4.300.000 euro per aver scansionato documenti d'identità senza una valida ragione o una valutazione del rischio..

L'APD ha riscontrato che la banca aveva trattato dati sensibili, inclusi i numeri PESEL e i dettagli dei documenti, in modo non necessario, violando così l'approccio basato sul rischio richiesto dalle normative antiriciclaggio.

 

La Cina sta rafforzando le sue normative in materia di trasferimento di dati all'estero.

La filiale di Dior a Shanghai è accusata dalle autorità di pubblica sicurezza cinesi di aver trasferito illegalmente i dati dei clienti alla sede centrale in Francia, senza rispettare le norme obbligatorie in materia di valutazione della sicurezza, notifica agli utenti e crittografia.

La filiale è stata soggetta a una sanzione amministrativa.

Negli Stati Uniti, 44 procuratori generali hanno inviato una lettera a 13 aziende di intelligenza artificiale, tra cui OpenAI, CharacterAI, Replika e Meta, informandole che sarebbero state ritenute responsabili qualora avessero causato danni ai minori.

La lettera mette in luce le recenti rivelazioni riguardanti le linee guida tecniche di Meta per Meta AI e i chatbot di Facebook, WhatsApp e Instagram.

Questo documento, approvato dai team legali, politici e tecnici dell'azienda, autorizzava i chatbot a invitare i bambini ad avere scambi romantici o seduttivi con il chatbot, inclusi commenti sull'aspetto dei bambini e scenari di gioco di ruolo.

A fine agosto, il blog "Tech Community" di Microsoft ha annunciato che l'ultimo aggiornamento di MS Word per Windows salva automaticamente i file Word degli utenti sul suo cloud (OneDrive) per impostazione predefinita.

Microsoft presenta questo aggiornamento come un miglioramento in termini di sicurezza, accesso, lavoro di squadra e utilizzo dell'intelligenza artificiale.

Sebbene sia possibile modificare queste impostazioni nelle preferenze di Word, il caricamento predefinito dei documenti su un cloud americano solleva interrogativi relativi al GDPR, riguardanti la riservatezza dei dati e la questione dell'accessibilità di tali dati da parte delle autorità pubbliche statunitensi.

Gli occhiali intelligenti "Halo" stanno suscitando preoccupazioni tra gli esperti di intelligenza artificiale.

L. Jarosvsky riferisce che questi nuovi occhiali sono sempre accesi, registrano tutto e non hanno alcun indicatore per avvertire le persone che vengono riprese.

In un'intervista a TechCrunch, i fondatori di Halo avrebbero declinato ogni responsabilità, affermando che negli stati degli Stati Uniti in cui è illegale registrare segretamente conversazioni senza il consenso dell'altra persona, spetta all'utente ottenere tale consenso prima di utilizzare gli occhiali.