[co-author: Martina Acquaro]

Alla luce del recente provvedimento dell’Autorità Garante per la Protezione dei Dati Personali Francese, la Commission nationale de l'informatique et des libertés (“Garante” o “CNIL”), riportiamo di seguito un’analisi del provvedimento e alcune considerazioni illustrative sull’impatto che tale statuizione potrebbe avere in Italia per le software house che producono videogames.

Executive Summary

• Una software house è stata sanzionata per €3.000.000,00 dal Garante Francese per aver violato la legge francese di recepimento della Direttiva ePrivacy.
• La software house tracciava i dati personali degli utenti per finalità pubblicitarie utilizzando l’Identifier for vendors (“IDFV”) fornito da Apple, senza aver richiesto il previo consenso e riproponendo il cookie banner agli interessati.
• Anche in Italia un comportamento analogo sarebbe passibile di sanzione da parte dell’Autorità Garante per la protezione dei dati personali poiché violerebbe le linee guida sui cookie e altri strumenti tracciamento.

***

Garante per la Protezione dei Dati Personali Francese: sanzione nei confronti di una software house per violazione della normativa in materia di trattamento di dati personali

La Commission nationale de l'informatique et des libertés (“CNIL”), il Garante per la Protezione dei Dati Personali Francese, tramite il provvedimento SAN-2022-026 del 29 dicembre 2022 ha sanzionato una software house per la violazione dell’articolo 82 della legge n° 78-17 del 6 gennaio 1978, che recepisce l’articolo 5 paragrafo 3 della Direttiva (UE) ePrivacy 2002/58/CE, per il tracciamento dei dati personali degli utenti per finalità pubblicitarie, senza aver richiesto il previo consenso degli interessati.

La violazione della normativa privacy nazionale e del General Data Protection Regulation (“GDPR”) è avvenuta unicamente sui dispositivi prodotti da Apple Inc. (“Apple”). Ai fini dell’analisi del caso di specie è necessario richiamare come Apple fornisca due tipologie di identificatori che sono Identifier for advertisers (“IDFA”) e Identifier for vendors (“IDFV”). L’IDFA è un codice generato casualmente ed assegnato da Apple che permette di tracciare gli utenti per fini pubblicitari senza fornire agli inserzionisti i dati personali dell’’utente. Dall’aggiornamento del sistema operativo a iOS 14.5 Apple ha previsto l’obbligo di richiedere il consenso all’utente finale per essere tracciato anche all’esterno dell’applicazione. Secondo stime non ufficiali, circa il 20% degli utenti iOS ha scelto di non essere tracciato. Nel caso l’utente scelga di non essere tracciato, si attiverà l’opzione limit ad tracking (“LAT”) che sostituisce l’IDFA con un identificatore equivalente di numeri composto unicamente da 0. Pertanto, la scelta di non essere tracciati non impedisce la visualizzazione della pubblicità ma unicamente della pubblicità personalizzata ove sia fornita tramite il servizio pubblicitario di Apple.

L’IDFV, invece, è un codice univoco assegnato e condiviso fra tutte le applicazioni dello stesso developer installate su un dispositivo. I dati sono utilizzati principalmente per creare campagne cross-promotional a utenti che hanno aderito al LAT quindi senza utilizzare tecnologie di tracciamento o fingerpriting.

Ai sensi dell’articolo 82 della legge francese n° 78-17 del 6 gennaio 1978 “ogni abbonato o utente di un servizio di comunicazione elettronica deve essere informato in modo chiaro e completo, a meno che non sia stato preventivamente informato, dal titolare del trattamento[…] di: 1) Lo scopo di qualsiasi azione volta ad accedere, tramite trasmissione elettronica, a informazioni già memorizzate nella sua terminale di comunicazione elettronica, o a scrivere informazioni in tale terminale; 2) I mezzi a sua disposizione per opporsi. Tale accesso o registrazione può avvenire solo a condizione che l'abbonato o l'utente abbia espresso, dopo aver ricevuto tali informazioni, il proprio consenso […]”

Successivamente all’entrata in vigore del GDPR il consenso deve essere inteso come statuito dall’articolo 4 paragrafo 11 del GDPR: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. In aggiunta, il Garante Francese ha specificato, tramite la delibera 2020-091 del 17 settembre 2020, riguardante i cookie e altri sistemi traccianti che le linee guida sono applicabili non solo ai browser ma a tutti i dispositivi indipendentemente dai sistemi operativi o dai software utilizzati, tra cui rientrano anche gli identificativi IDFA e IDFV presenti sui dispositivi Apple.

La richiesta di tracciamento IDFA è catalogata da Apple come App Tracking Trasparency (“ATT”) che richiede una singola volta all’utente se voglia essere tracciato e quindi profilato quando si usano anche altre applicazioni. All’utente è data la scelta fra “chiedi all’app di non eseguire il tracciamento” o di consentire al tracciamento. L’analisi effettuata dal Garante Francese ha evidenziato che, ove venisse scaricata per la prima volta un’applicazione della software house sanzionata e ove venisse negata la richiesta ATT, non permettendo quindi il tracciamento tramite cookie IDFA, all’utente sarebbe apparso un secondo pop up a schermo interno contenete il seguente testo: “Hai disabilitato il monitoraggio degli annunci sul tuo dispositivo. La tua privacy è molto importante per [nome della software house] e rispettiamo la tua scelta. Ti preghiamo di tenere presente che le impostazioni del dispositivo impediscono il tracciamento, in particolare per la personalizzazione pubblicitaria basata sull'identificatore del tuo dispositivo. Altri dati tecnici che non comportano tracciamento (come ad esempio informazioni relative al tipo di dispositivo dell'utente, al tipo di connessione o all'indirizzo IP) possono ancora essere raccolti come descritto nella nostra politica sulla privacy, in particolare per consentirti di godere dei nostri giochi, ma anche per consentirci di monitorare, migliorare e risolvere potenziali problemi nei nostri giochi (finalità analitiche) e per fornirti pubblicità non personalizzata in base allo scopo delle tue abitudini di navigazione (scopo pubblicitario non mirato). Questi dati vengono raccolti utilizzando strumenti chiamati SDK implementati da noi e dai nostri partner nelle nostre applicazioni e sono parte integrante dei nostri servizi. Grazie ad essi, siamo in grado di offrirti un'esperienza di gioco unica e continuare a migliorare i nostri giochi.”

In fondo al popup sarebbe apparso uno slider con la richiesta di conferma all’utente di un’età superiore sedici anni e il flag relativo alla lettura, alla comprensione e all’accettazione della privacy policy.

Il meccanismo adottato dalla software house è stato valutato in netto contrasto con la legge nazionale, dal momento che impiegava l’IDFV per scopi pubblicitari e vari dati, personali e non, raccolti dall’applicazione installata sul dispositivo dell’utente per fini pubblicitari a cui l’utente si era appena opposto.

La difesa della software house si è basata sul fatto che la contestazione proposta non fosse sufficientemente motivata e che il quadro giuridico fosse in parzialmente imprevedibile ed eterogeneo a livello nazionale ed europeo. Inoltre, la software house riporta la situazione di dipendenza e vulnerabilità economica rispetto alle piattaforme monopolistiche che controllano gli app store, tra cui rientrano l’App Store di Apple e il Play Store di Google, visto che le loro entrate dipendono quasi esclusivamente dalla visualizzazione di annunci pubblicitari.

Riguardo al trattamento illecito di dati personali, la software house ha sostenuto che il trattamento era di recente introduzione, che non riguardava dati personali e la raccolta era limitata quantitativamente e qualitativamente.

Il Garante francese, non accogliendo le difese della software house, ha emesso una ammenda per €3.000.000 e una penalità di €20.000 per ogni giorno di ritardo nell’implementazione della richiesta di consenso conforme all’articolo 82 della legge privacy francese dopo un periodo di tre mesi dalla notifica della decisione.

Key takeaways

Un comportamento analogo a quello della software house potrebbe essere sanzionato anche dal Garante italiano. Infatti, lo stesso Garante italiano tramite le linee guida sopracitate stabilisce le modalità e i casi in cui può essere richiesto nuovamente il consenso all’utente finale che sono:

1. “quando mutino significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le “terze parti”;
2. quando sia impossibile, per il gestore del sito web, avere contezza del fatto che un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio nel caso in cui l’utente scelga di cancellare i cookie legittimamente installati nel proprio dispositivo senza che il titolare abbia modo, dunque, di tenere traccia della volontà di mantenere le impostazioni di default e dunque di proseguire la navigazione senza essere tracciati);
3. quando siano trascorsi almeno sei mesi dalla precedente presentazione del banner.”

In aggiunta al provvedimento del Garante italiano si segnala il recente report dell’European Data Protection Board pubblicato in data 18 gennaio 2023 - Report of the work undertaken by the Cookie Banner Taskforce - relativamente ai banner relativamente ai cookie.