NOYB segnala al Garante Privacy problemi sui cookie nei siti Maggioli

di Lorenzo Baudino Bessone e Valentina Prando

Con l’avvento della digitalizzazione e la crescente diffusione delle tecnologie digitali, la gestione dei dati personali e la protezione della privacy sono diventate questioni di fondamentale importanza. In questo contesto, l'Associazione austriaca NOYB - European Center for Digital Rights ha sollevato una serie di reclami contro Maggioli S.p.A.. I reclami in questione riguardavano presunte violazioni delle normative sulla privacy, in particolare riguardo alla gestione dei cookie e degli strumenti di tracciamento online.

 

Al centro della complessa attività istruttoria condotta dal Garante Privacy, vi è il Gruppo Maggioli, originariamente un editore tradizionale, ma che negli ultimi quindici anni ha ampliato la sua attività nel settore ICT. Nel maggio 2021, dieci siti di titolarità della società sono stati oggetto di contestazioni da parte dell’associazione no profit austriaca NOYB, riguardo all’implementazione dei cookie.

Le violazioni lamentate 

Le violazioni lamentate da NOYB riguardavano in particolare: 

• l’assenza di un pulsante “rifiuta” sul primo livello del banner, con presenza di caselle preselezionate nel secondo livello su otto dei dieci siti web della Società, oggetto dei reclami; 
• l’adozione di una modalità di rifiuto dei cookie consistente in un link anziché in un pulsante, come invece nel caso di selezione dell’opzione “accetta tutto”; 
• l’utilizzo di colori “ingannevoli” dei pulsanti dedicati alle scelte degli utenti; 
• il contrasto ingannevole dei pulsanti dedicati alle scelte dell’utente; 
• inoltre, l’informativa sui trattamenti di profilazione mediante cookie è stata considerata fuorviante e erronea, poiché menzionava il legittimo interesse come base giuridica, mentre l’uso di cookie diversi da quelli tecnici richiede il consenso preventivo dell’utente, come stabilito dall’art. 122 del Codice Privacy. Sempre in relazione al consenso degli utenti, la Società prevedeva una procedura di revoca non agevole rispetto a quella adottata per il suo rilascio.

L’indagine del Garante 

Nel corso dell’indagine avviata dal Garante Privacy, è emerso che, con riferimento ai siti oggetto delle contestazioni di NOYB, la maggior parte delle contestazioni mosse erano state risolte dalla società già prima della proposizione dei reclami al Garante.

Inoltre, l’entrata in vigore delle Linee Guida sui cookie e altri strumenti di tracciamento, successiva all’inoltro dei reclami, ha imposto al titolare l’adozione di accorgimenti e modalità idonei a conformare il trattamento dei dati degli utenti effettuati per il tramite di cookie alle indicazioni in esse contenute. 

Per quanto concerne l’ultimo punto relativo ai cookie di profilazione, l’Autorità ha rilevato che la società non utilizzava cookie di profilazione prima parte, né effettuava trattamenti di profilazione degli utenti sui propri siti avvalendosi di cookie di terze parti: al contrario, erano le terze parti che si avvelavano di cookie propri, cioè delle stesse terze parti, veicolati per il tramite dei siti Maggioli, per effettuare trattamenti di profilazione riferibili alle terze parti medesime (su 8 dei 10 siti oggetto di indagine). 

La gestione dei consensi tramite OneTrust 

Al momento delle verifiche effettuate dal Garante, la Società si avvaleva, in relazione ai siti contestati, in qualità di intermediario, della piattaforma per la gestione dei consensi elaborata da OneTrust. 

In relazione a tale piattaforma, è emerso nel corso dell’attività ispettiva che: 

• OneTrust forniva anche un servizio di classificazione dei cookie impiegati dal singolo sito sulla base di un database denominato “cookiepedia”;
• tale classificazione era determinata ed imposta da OneTrust e si articolava in 4 categorie, riportate nella cookie policy pubblicata sui siti del gruppo: cookie strettamente necessari, di funzionalità, utilizzati per pubblicità mirata, cookie di prestazioni;
• i cookie utilizzati sui siti della società venivano rilevati ed interpretati da OneTrust mediante comparazione con il proprio database (cookiepedia); ma nell’eventualità in cui OneTrust non fosse in grado di effettuare questa comparazione e dunque di identificare un cookie poiché non presente in cookiepedia, lo imputava di default al titolare Maggioli. Tale pratica ha permesso la generazione di alcuni errori, attribuendo cookie di profilazione terza parte come cookie prima parte di Maggioli;
• sia l’informativa breve presente all’interno del banner sia la cookie policy estesa presente nel secondo livello sono state predisposte e gestite da OneTrust secondo un modello pro-forma (non modificabile direttamente dal titolare del sito);

Occorre peraltro evidenziare come la società si sia attivata, nel corso dell’indagine, per richiedere a OneTrust di apportare le modifiche necessarie al cookie banner di primo livello e che, a fronte del diniego di quest’ultima, Maggioli ha esercitato il recesso dal contratto e sostituito il partner tecnologico con un nuovo, per l’implementazione di una diversa tipologia di banner. 

Conclusioni 

Alla luce di quanto riepilogato, il Garante ha comunque ritenuto la società responsabile per aver pubblicato un banner non conforme alla normativa fornito da OneTrust, in violazione degli articoli 5, par. 2, 24 e 25 del GDPR, e per aver selezionato un partner tecnologico non conforme alla disciplina applicabile, violando l’art. 28 del Regolamento.

Effettuando un bilanciamento tra l’accertamento di illiceità nei trattamenti effettuati da Maggioli S.p.A., e le modifiche da essa apportate al fine di rendere i suoi siti web conformi alla normativa sui cookie, l’Autorità ha però ritenuto di poter soprassedere l’applicazione di una sanzione amministrativa-pecunicaria, limitando il provvedimento sanzionatorio ad un ammonimento.
 

---

Avv. Lorenzo Baudino Bessone e Dott.ssa Valentina Prando
Studio Previti
Associazione Professionale