Cookie e sanzioni: il Garante francesce ha sanzionato un’azienda per aver profilato anche chi ha negato il consenso.
L’indagine del Garante francese (CNIL) sui videogiochi
Il Garante per la protezione dei dati francese ha avviato, tra il 2021 il 2022, un’indagine su un’azienda sviluppatrice di giochi per dispositivi mobile. In particolare il Garante ha vagliato una serie di app che lo sviluppatore aveva reso pubbliche, sia per iOS che per smartphone. Alcuni di questi giochi erano rivolte ad un pubblico di minori. Lo sviluppatore, vooodoo.io, è piuttosto noto e vanta titoli piuttosto popolari tra i più giovani. Come il videogioco Helix Jump, rivolto ad utenti minorenni e che registra 100 milioni di download.
Al momento del download di un gioco, l’utente visualizza una richiesta di consenso alla profilazione, con possibilità (come dev’essere) di accettare o negare il trattamento dati a fini di profilazione. Il problema, come è emerso dall’istruttoria, è che l’azienda finiva poi a profilare anche coloro che avevano rifiutato il trattamento.
Per approfondire > Che cosa sono i tracker?
I risultati dell’istruttoria
Il Garante francese ha ricostruito quindi, in dettaglio, il meccanismo di raccolta del consenso degli utenti. E’ emerso che, una volta rifiutato il consenso, all’utente era mostrato un avviso con la conferma del fatto che il sistema di tracciamento e profilazione era stato disattivato. Gli annunci pubblicitari mostrati dallo sviluppatore, quindi avrebbero dovuto essere non personalizzati.
La realtà si è rivelata essere molto differente. L’azienda infatti analizzava comunque le informazioni raccolte dal cosiddetto “IDFV” – Identifier for Vendors”. Parliamo di un identificatore, formalmente solo tecnico, che viene associato all’utente che esegue un download sull’App Store di Apple. IDFV elabora una serie di informazioni dell’utente e Apple lo mette a disposizione per consentire agli sviluppatori di tracciare l’uso che gli utenti fanno delle app. L’azienda leggeva quindi tali contenuti per individuare le abitudini di navigazione di uno specifico utente, usando queste risultanze per proporre pubblicità mirata.
Insomma, l’utente che aveva negato il consenso, veniva comunque profilato e in base a quella profilazione l’azienda mostrava annunci mirati.
Cookie e sanzioni: la decisione del Garante francese
L’istruttoria ha fornito indicazioni chiare, per le quali il Garante francese ha ritenuto necessario sanzionare l’azienda sviluppatrice. In dettaglio è stata ravvisata la violazione dell’art. 82 della legge francese sulla protezione dati.
Il Garante ha optato per una sanzione di 3 milioni di euro. Ma non finisce qui. Oltre alla sanzione amministrativa, la CNIL ha imposto allo sviluppatore di adeguarsi entro 3 mesi alla normativa privacy e al GDPR. Ogni giorno di ritardo comporterà per l’azienda, il pagamento di ulteriori 20.000 euro.
Qui è disponibile il provvedimento completo
Acconsento.click è aggiornato alle Nuove Linee Guida del Garante in materia Cookie entrate in vigore il 10 Gennaio 2022
e consente di mettere in conformità i siti web alle Direttiva ePrivacy e al
GDPR – Regolamento Europeo per la Protezione dei Dati Personali (GDPR EU 2016/679).