Con due provvedimenti di analogo tenore, la CNIL – Autorità di controllo francese in tema di tutela dei dati personali – il 7 dicembre 2020 ha sanzionato Amazon e Google LLC/Google Ireland Limited con una pena pecuniaria rispettivamente di 35 e 100 (60 + 40) milioni di euro. L’aspetto interessante di queste decisioni non è solo la portata delle violazioni, connesse a un uso scorretto dei cookies per finalità pubblicitarie, ma, soprattutto, la presa di posizione in ordine alla competenza della giurisdizione francese circa la possibilità di svolgere accertamenti e sanzionare le società in menzione (sia bene inteso per un’attività svolta in Francia nei confronti di utenti francesi).
Non è stato ritenuto applicabile in questi casi l’istituto del one stop shop di cui all’art. 60 (Autorità di controllo capofila) del GDPR. Secondo la CNIL, la questione rientrerebbe nel contesto della direttiva e-Privacy talchè la competenza è dello stato francese.
Vediamo qual è stato il percorso argomentativo seguito dalla CNIL nel provvedimento relativo a Google LLC[1] e Google Ireland Limited[2] e se una sanzione analoga potrebbe essere irrogata anche dal Garante italiano.
Le violazioni contestate (sintesi)
A seguito di un’indagine online effettuata sul sito web google.fr (gestito da Google France sarl, società controllata al 100% da Google LLC) la CNIL ha rilevato che quando un utente francese visitava questo sito web, i cookie erano automaticamente inseriti sul suo computer, senza che fosse richiesta alcuna azione da parte sua. Molti di questi cookie sono stati poi utilizzati per scopi pubblicitari.
La CNIL ha ritenuto che le società non abbiano rispettato il requisito previsto dall’articolo 82 della legge francese[3] sulla protezione dei dati personali in merito alla raccolta dell’espresso consenso preventivo prima di inserire cookie non essenziali per il servizio. Sebbene fosse presente un banner informativo, non veniva fornita all’utente alcuna informazione relativa ai cookie che venivano inseriti nel suo computer al momento dell’arrivo sul sito. Gli utenti residenti in Francia non sarebbero stati preventivamente e chiaramente informati in merito al deposito di cookie sul proprio computer né sulle finalità di tali cookie né sui mezzi disponibili che consentono di rifiutarli. È stato inoltre evidenziato che il motore di ricerca Google Search avrebbe interessato 47 milioni di utenti francesi (pari al 70% della popolazione totale) [4].
Nessuna competenza per l’Autorità di controllo capofila
La tesi di Google
Google, pur riconoscendo che le vicende del procedimento erano coperte dalla direttiva e-Privacy, ha sostenuto che nel suo caso si dovesse applicare il quadro procedurale previsto dal Regolamento (UE) 2016/679 (GDPR), ovvero il meccanismo di cooperazione tra le autorità di controllo nonché l’istituto one-stop-shop, previsto al Capo VII del GDPR. In applicazione di quest’ultimo istituto, l’autorità di controllo competente a conoscere i fatti in questione non doveva quindi essere la CNIL ma l’autorità di controllo irlandese (DPC – Commissione per la protezione dei dati), intesa come autorità capofila. L’implementazione dei cookie in tale contesto sarebbe stata realizzata da Google Ireland Limited, sede effettiva del gruppo Google in Europa e luogo di amministrazione centrale ai sensi dell’articolo 56 del GDPR.
Secondo Google l’autorità irlandese sarebbe competente sia ai sensi del GDPR che ai sensi la direttiva e-Privacy per cui l’assenza di regole specifiche relative alla determinazione della competenza dell’autorità di controllo, in caso di trattamento transfrontaliero nella direttiva e-Privacy, doveva essere integrata dall’applicazione del quadro procedurale previsto dal GDPR.
A sostegno della sua tesi, Google ha sottolineato la natura inscindibile della registrazione dei cookie sui terminali degli utenti con il successivo utilizzo dei dati raccolti da questi cookie per le finalità perseguite dal titolare del trattamento. L’esclusione del meccanismo dello sportello unico nel caso di specie, secondo Google, avrebbe rappresentato una “frammentazione” della normativa europea sui dati personali relativi ai cookie, in contrasto al principio di armonizzazione e coerenza affermato nel GDPR.
La tesi della CNIL
La CNIL, a tale proposito, ha sottolineato preliminarmente che:
- quando il trattamento rientra sia nell’ambito di applicazione materiale della direttiva e-Privacy che nell’ambito di applicazione materiale del GDPR, si dovrebbe fare riferimento alle specifiche disposizioni contenute nei due provvedimenti[5];
- l’art 1°, paragrafo 2, della direttiva e-Privacy, in particolare, prevede che le disposizioni della stessa direttiva precisano e integrano la direttiva 95/46/CE, ora GDPR;
- il Considerando 173 del GDPR stabilisce, esplicitamente, che il Reg UE 679/2016 non si applica al trattamento dei dati personali soggetti a obblighi specifici aventi lo stesso obiettivo di proteggere i diritti e le libertà fondamentali stabilito nella direttiva e-Privacy, compresi gli obblighi del titolare del trattamento e i diritti delle persone fisiche;
- nel quadro di tali norme l’articolo 5, paragrafo 3, della direttiva e-Privacy costituirebbe regola speciale rispetto al GDPR in quanto, prevedendo per le operazioni di lettura e scrittura dei cookie soltanto con il preventivo consenso dell’utente, non consentirebbe di avvalersi delle altre basi giuridiche di cui all’articolo 6 dello stesso GDPR.
La CNIL ha, inoltre, rilevato che il legislatore francese ha incaricato la stessa Autorità di garantire che i titolari del trattamento dati rispettino le disposizioni della direttiva e-Privacy trasposta nell’articolo 82 della legge sulla protezione dei dati conferendogli il potere di sanzionare qualsiasi inosservanza di tale articolo[6].
Contrariamente a quanto sostenuto da Google, la CNIL ha evidenziato che la direttiva e-Privacy prevede un proprio meccanismo per l’attuazione e il monitoraggio della sua applicazione all’interno dell’articolo 15bis. Il primo paragrafo di questo articolo, infatti, lascia agli Stati membri la competenza di determinare il sistema di sanzioni, comprese quelle penali se del caso, applicabili alle violazioni delle disposizioni nazionali adottate ai sensi della presente direttiva e adotta tutte le misure necessarie per assicurarne l’attuazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive e possono essere applicate per coprire la durata dell’infrazione, anche se successivamente rettificata.
Queste ultime disposizioni escluderebbero, pertanto, l’applicazione del meccanismo dello sportello unico contenuto nel GDPR a fatti disciplinati esclusivamente dalla direttiva e-Privacy.
In tal senso, peraltro, si è espressa anche l’EDPB nel parere 5/2019 laddove afferma che, secondo il capo VII del regolamento generale sulla protezione dei dati, i meccanismi di cooperazione e coerenza a disposizione delle autorità per la protezione dei dati a norma del regolamento riguardano il controllo dell’applicazione delle disposizioni del regolamento. I meccanismi del regolamento non si applicano all’attuazione delle disposizioni contenute nella direttiva e-privacy in quanto tali.
Tale esclusione sarebbe corroborata dal fatto che gli Stati membri, liberi di determinare l’autorità nazionale competente per trattare le violazioni delle disposizioni nazionali adottate ai sensi della direttiva e-Privacy, potrebbero aver attribuito tale ultima giurisdizione a un’autorità diversa dalla loro autorità nazionale per la protezione dei dati personali istituita dal GDPR. Pertanto, laddove queste ultime autorità non fanno parte dell’EDPB[7], è conseguentemente impossibile applicare lo sportello unico alle pratiche passibili di sanzioni da parte delle autorità nazionali di vigilanza che non fanno parte dell’EDPB.
È stato inoltre correttamente osservato, peraltro, che bisogna distinguere:
- da un lato, le operazioni di lettura e scrittura su un terminale, che sono disciplinate dalle disposizioni dell’articolo 82 della legge francese sulla protezione dei dati e per le quali il legislatore francese ha affidato alla CNIL una missione di controllo (e in particolare il potere di sanzionare l’eventuale inosservanza del presente articolo)
- e, dall’altro, il successivo utilizzo dei dati raccolti grazie ai cookie, che è regolato dal GDPR e può quindi, se necessario, essere soggetto all’applicazione del meccanismo dello sportello unico.
Competenza territoriale della CNIL
In base all’articolo 3, paragrafo I, della legge francese sulla protezione dei dati personali (che determina l’ambito di competenza territoriale della CNIL) la Commissione si è dichiarata competente a controllare e sanzionare i trattamenti rientranti nell’ambito di applicazione della direttiva e-Privacy, ed, in particolare, quando il trattamento consiste in operazioni finalizzate ad accedere o inserire informazioni nel terminale degli utenti residenti in Francia durante l’utilizzo del motore di ricerca a fini pubblicitari (cosa che sarebbe avvenuta nell’ambito delle attività della società Google France). Questa competenza è condizionata, ovviamente, all’accertamento della giurisdizione territoriale.
In merito la CNIL, al fine di rimarcare la propria competenza, derivante dalla effettiva esistenza di uno stabilimento del titolare del trattamento sul territorio francese, ha richiamato l’orientamento della CGUE che ha costantemente ritenuto che la nozione di stabilimento debba essere ampiamente interpretata e che il grado di stabilità dell’impianto è connesso allo svolgimento concreto delle attività in un altro Stato membro.
La CNIL ha, pertanto, puntualizzato che la società Google France:
- è la sede principale della filiale francese della società Google LLC, che impiega approssimativamente 1.400 persone e che, secondo il suo statuto (depositato in Francia) il suo scopo principale è la fornitura di servizi e / o consulenza relativi a software, Internet, reti telematiche o online, in particolare ”intermediazione nella vendita di pubblicità online, promozione di tutte le forme di pubblicità online, promozione diretta di prodotti e servizi e realizzazione di un centro di elaborazione delle informazioni;
- è responsabile della promozione della pubblicità online per conto della società Google Ireland Limited, che è co-contraente di contratti pubblicitari conclusi con società francesi o filiali francesi di società estere;
- partecipa effettivamente alla promozione di prodotti e servizi progettati e sviluppati dalla società Google LLC, come Google Search, in Francia, nonché alle attività pubblicitarie gestite dalla società Google Ireland Limited.
Sulla base di tali premesse è stato riscontrato che il trattamento consistente in operazioni di accesso o inserimento di informazioni nel terminale degli utenti del motore di ricerca Google Search residente in Francia (in particolare per scopi pubblicitari), è stato svolto nell’ambito delle attività della società Google France sul territorio francese. La società in oggetto si è occupata della promozione e del marketing dei prodotti Google e delle loro soluzioni pubblicitarie in Francia.
La CNIL ha ritenuto, quindi, che i due criteri previsti dall’articolo 3, paragrafo I, della legge sulla protezione dei dati fossero soddisfatti e che il trattamento, pertanto, fosse sufficientemente territorializzato in Francia per essere soggetto al diritto francese.
Sulla base di tali premesse la CNIL ha affermato la propria competenza (ovviamente esclusivamente per le operazioni di lettura e scrittura effettuate sul territorio francese) per esercitare i suoi poteri, compreso quello di adottare un provvedimento sanzionatorio rientrante nell’ambito di applicazione della direttiva e-Privacy.
Valutazione della sanzione CNIL a Google nell’ottica della normativa italiana
La tematica in questione dimostra come sul tema dei cookies e dell’e-Privacy non ci sia, di fatto, un orientamento europeo armonizzato. Infatti, alcuni stati pur recependo il GDPR nelle loro legislazioni continuano a prevedere un’autonoma tutela e competenza rispetto ad ambiti diversi dal GDPR (come, ad esempio, in Francia in cui la normativa e-Privacy recepita nella normativa nazionale è sanzionata autonomamente). Altri stati, come l’Italia, hanno invece recepito completamente il GDPR anche con riguardo alla competenza territoriale in tema di comunicazione elettroniche (abrogando gli articoli che disciplinavano la competenza territoriale dell’autorità di controllo italiana).
Le conseguenze sono evidenti: su tale argomento ogni stato contesta e adotta iniziative sanzionatorie differenti, non consentendo l’applicazione armonizzata dell’istituto dell’Autorità capofila. In definitiva il Garante italiano non potrebbe sanzionare Google per motivi analoghi a quelli francesi ma dovrebbe valutare di rimettere il tutto al garante irlandese o lussemburghese (nel caso di Amazon) nell’ambito dell’istituto del one stop shop.
- La società Google LLC, con sede in California, sviluppa il motore di ricerca Google Search. ↑
- La società Google Ireland Ltd, con sede in Irlanda, si presenta come la sede europea del gruppo Google. ↑
- Legge n ° 78-17 del 6 gennaio 1978 ↑
- Analoga situazione sarebbe stata rilevata per Amazon, infatti, indipendentemente dal percorso utilizzato, gli utenti che visitavano il sito Web non erano sufficientemente informati, o non lo erano affatto, della circostanza che i cookie erano stati inseriti istantaneamente nel loro computer. Detti cookies sarebbero stati utilizzati per annunci personalizzati necessari per aumentare la visibilità dei propri prodotti in altri siti web. Infine, data l’importanza del sito web amazon.fr nell’e-commerce, in un periodo di 9 mesi sono stati assegnati in Francia ben circa 300 milioni di identificatori Amazon. ↑
- Così, l’art 1, paragrafo 2, della direttiva e-privacy prevede che le disposizioni della presente direttiva precisano e integrano la direttiva 95/46 / CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla protezione dei dati personali (di seguito dopo la Direttiva 95/46 / CE sulla protezione dei dati personali), ricordando che, dall’entrata in vigore del Regolamento, i riferimenti a quest’ultima direttiva devono intendersi fatti al RGPD, ai sensi dell’articolo 94 di quest’ultimo. Allo stesso modo, risulta dal considerando 173 del GDPR che prevede esplicitamente che l’art. 94 non si applica ai trattamenti dei dati personali soggetti a obblighi specifici aventi lo stesso obiettivo [di proteggere i diritti e le libertà fondamentali] stabilito nella direttiva 2002 / 58 / CE del Parlamento europeo e del Consiglio, compresi gli obblighi del responsabile del trattamento e i diritti delle persone fisiche. ↑
- tale competenza sarebbe stata riconosciuta dal Consiglio di Stato nella delibera Associazione delle agenzie di consulenza in comunicazione del 19 giugno 2020 riguardante la delibera della CNIL n. 2019-093 che adotta le linee guida relative all’applicazione dell’articolo 82 della legge del 6 gennaio 1978, modificato per le operazioni di lettura o scrittura nel terminale di un utente, laddove quest’ultima ha rilevato che l‘articolo 20 della presente legge conferisce al suo presidente [della CNIL] il potere di adottare misure correttive in caso di mancato rispetto degli obblighi derivanti dal Regolamento (UE) 2016/279 o dalle sue stesse disposizioni, nonché la possibilità deferire la questione alla commissione ristretta al fine di pronunciare le sanzioni eventualmente irrogabili (CE, 19 giugno 2020, req.434684, pt.3). ↑
- Perché questo comitato svolge una funzione essenziale nel controllo del meccanismo di coerenza previsto dal capo VII del GDPR ↑