Cookie, sanzione da 60 milioni di euro per Microsoft Ireland

Il 19 dicembre 2022 la CNIL («Commission Nationale de l'Informatique et des Libertés») ha comminato nei confronti di Microsoft Ireland Operations Limited («MIOL») una sanzione di 60 milioni di euro per violazione della normativa in materia di cookie e di consenso (art. 82,  Loi n. 78-17 del 1978, legifrance.gouv.fr, che recepisce la Direttiva “ePrivacy” (Direttiva 2002/58 CE), Cons. 25 e artt. 2 f) e 5.3; ulteriore normativa di riferimento, Regolamento UE n. 679/2016, art. 4, par. 1, n. 11, art. 7, art. 56, Cons. 42 ).

In particolare, la sanzione – disposta a seguito di una segnalazione di un interessato avente ad oggetto l'utilizzo dei cookie sul motore di ricerca “Bing.com” – è scaturita dalla impossibilità per gli utenti del predetto motore di ricerca di revocare il proprio consenso ai cookie con la medesima facilità con cui lo stesso poteva essere prestato, nonché, in alcuni casi, per la totale assenza di raccolta di consenso.

La decisione della CNIL è articolata in tre motivi principali:

Motivo A - sulle operazioni di trattamento e sulla competenza della CNIL

La sanzione è disposta nei confronti di MIOL, con sede centrale in Irlanda, titolare dei dati scambiati sul motore di ricerca Bing.com (“Bing”): la CNIL, garante per la protezione dei dati personali francese, invero, risulta essere territorialmente competente rispetto alle attività di trattamento relative ai cookie presenti su Bing, poiché installati sui dispositivi di utenti situati sul territorio francese, nell'ambito delle attività della società Microsoft France, lo stabilimento francese del gruppo Microsoft. Inoltre, la competenza della CNIL deriva dalla non applicabilità del meccanismo del c.d. “sportello unico” previsto dall'art. 56, par. 1 del GDPR (che vedrebbe quindi competente l'autorità di controllo capofila irlandese) poiché le operazioni sull'uso dei cookie rientrano nel campo di applicazione della direttiva ePrivacy, così come recepita dall'art. 82 della legge francese sulla protezione dei dati (Loi n. 78-17 del 1978), a patto che – come nel caso di specie – le operazioni di trattamento siano legate in qualche modo alla giurisdizione territoriale della CNIL.

Motivo B - sulla individuazione del titolare del trattamento

MIOL viene individuato dalla CNIL come titolare del trattamento, ai sensi dell'art. 4, par. 1, n. 7 GDPR, in quanto determina le finalità e i mezzi del trattamento consistente nell'accesso o nella registrazione di informazioni nei terminali degli utenti residenti in Francia, quando utilizzano il motore di ricerca Bing.

Motivo C - sulla violazione degli obblighi in materia di cookie

Il presupposto normativo su cui si fonda la decisione è rappresentato dalla violazione dell'art. 82 della legge francese sulla protezione dei dati, in cui si prevede da parte dell'utente di un servizio di comunicazione elettronica il rilascio di un consenso nel caso di accesso ad informazioni memorizzate nel dispositivo dell'utente stesso (a meno che tale attività non sia strettamente necessaria alla fornitura del servizio o sia utile a facilitare le comunicazioni o avvenga su richiesta dell'utente). Pertanto, l'utilizzo di cookie – diversi da quelli tecnici – richiede il preventivo consenso: la CNIL ha riscontrato, però, la presenza di alcuni cookie (i cookie “MUID” e “ABDEF” utilizzati per varie finalità, tra cui quelle pubblicitarie e di filtraggio di frodi pubblicitarie) rilasciati senza un previo consenso dell'utente. Invero, MIOL ha sostenuto la necessarietà ed essenzialità dell'utilizzo di tali cookie, con conseguente inapplicabilità – a suo avviso – della disciplina sul consenso: secondo MIOL le finalità di rilevamento di malware e di lotta alla disinformazione e alle frodi pubblicitarie sarebbero strettamente necessarie per la fornitura del servizio reso da Bing e l'art. 82 quindi non troverebbe applicazione. Di contro, la CNIL ha ribadito che l'utilizzo richiederebbe comunque un previo consenso dell'utente poiché il carattere “multiuso” di tali cookie (per scopi essenziali e non) necessita – in caso di utilizzo degli stessi per scopi “non essenziali” al funzionamento del sito, quali quelli anti frode pubblicitaria – del consenso (si vedano le FAQ CNIL sul tema). Inoltre, la CNIL evidenzia come – in ottemperanza a quanto statuito dagli artt. 4, 7 e Cons. 42 del GDPR – il consenso deve poter essere revocato con la stessa facilità con cui è stato prestato, affinché all'utente sia garantita una reale libertà di scelta (si vedano le Linee Guida in cnil.fr). Prosegue ancora evidenziando la necessità che gli utenti possano scegliere tra due pulsanti (accetta tutto / rifiuta tutto) dello stesso tipo e formato: invece, il banner del sito Bing non consentiva di rifiutare i cookie con la medesima facilità con cui erano stati accettati (erano, anzi, richieste all'utente due azioni). Il porre in essere un meccanismo di rifiuto “più complesso” di quello dell'accettazione spingerebbe, così gli utenti ad accettare i cookie quando potrebbero invece voler rifiutare.

Per i motivi sopra indicati la CNIL ha imposto a MIOL una sanzione amministrativa pecuniaria pari a 60.000.000,00 di euro per violazione dell'art. 82 della legge sulla protezione dei dati personali, tenuto conto dell'ambito del trattamento, del numero di interessati e dei vantaggi tratti dall'azienda attraverso le entrate pubblicitarie generate indirettamente dai dati raccolti dai cookie; ha, ancora, intimato a MIOL di raccogliere il consenso preventivo degli utenti del sito Bing.com in relazione ai cookie installati sui dispositivi degli utenti residenti in Francia per finalità anti frodi pubblicitarie. MIOL dovrà apportare le opportune modifiche al sito entro tre mesi, decorsi i quali sarà tenuta al pagamento di una penale di 60.000,00 euro per ogni giorno di ritardo.