Le sanzioni comminate all’inizio del mese di settembre 2025 dal CNIL Commission Nationale de l’informatique et des libertés) in Francia contro Google e Shein segnano un passaggio cruciale nella regolamentazione europea della privacy online. Le decisioni sollevano questioni sul consenso informato, sull’uso dei cookie e sull’efficacia delle multe come deterrente per i grandi player digitali.
Indice degli argomenti
La maxi-sanzione a Google per cookie e pubblicità illegali
La prima istruttoria ha riguardato Google che è stata sanzionata per il considerevole importo di 325 milioni di euro, per avere fatto visualizzare da parte di utenti di Gmail, senza il loro consenso, annunci pubblicitari e per aver “depositato” cookie durante la creazione di nuovi account Google, senza autorizzazione degli interessati.
Le considerazioni fatte da CNIL partono da un fatto più generale che è quello che aveva fatto avviare l’istruttoria. Il CNIL aveva rilevato come, in violazione della legge francese sui dati personali, gli utenti fossero incoraggiati a scegliere tracker legati alla visualizzazione di annunci pubblicitari personalizzati, a scapito di quelli legati alla visualizzazione di annunci generici e, al contempo, non chiaramente informati che l’accesso ai servizi di Google è condizionato al deposito di tracker a fini pubblicitari.
L’assenza di informazione determina, per conseguenza, un consenso non informato e in questo contesto non valido.
L’attività pubblicitaria non autorizzata da parte di Google è apparsa evidente anche attraverso un altro meccanismo sanzionato. Dai controlli effettuati dal CNIL è emerso che agli utenti del servizio di messaggistica Gmail veniva proposta l’attivazione di “funzioni intelligenti” per organizzare la propria casella di posta in tre schede: principale, promozioni e sociali. Coloro che utilizzavano questa funzione trovavano nelle proprie email, in mezzo a quelle private, email di promozione non sollecitate e ricevute senza consenso.
Su questo fronte il CNIL ha ritenuto di fare riferimento alla sentenza della Corte di Giustizia del 25 novembre 2021 nel caso C -102/20 StWL Staedtische Werke Lauf a.d Pegnitz in materia di inbox advertising, con la quale la Corte ha chiarito come i messaggi pubblicitari che appaiono nella casella di posta elettronica in un formato simile a un vero e proprio messaggio ricevuto da altro utente, sono da considerarsi promozioni pubblicitarie. Dette promozioni devono dunque rispettare la normativa sulla privacy e la protezione dei dati ed essere GDPR compliant. Ciò implica la necessità del preventivo consenso dell’utente per questo tipo di comunicazione.
Dalla sommatoria delle violazioni, la sanzione. Anche sotto questo profilo i parametri considerati dal CNIL per la quantificazione sono interessanti. Infatti, non è stato preso in considerazione solo il potenziale numero di messaggi veicolato che avrebbe riguardato circa (solo in Francia) 74 milioni di account, ma la centralità di Google quale player sul mercato della pubblicità online, senza dimenticare che Google, con Gmail, è il secondo servizio di posta elettronica piu’ usato al mondo.
Ovviamente, accanto all’aspetto sanzionatorio occorre considerare quello attraverso cui Google è stata chiamata a regolarizzare la propria posizione e rientrare nell’alveo del rispetto normativo, cio’ che deve accadere entro sei mesi dalla sanzione, sotto penale in caso di inadempimento.
Il caso Shein: cookie installati senza consenso
La seconda interessante pronuncia del CNIL ha riguardato il colosso cinese del settore moda e accessori Shein, o meglio la sua subsidiary ubicata in Irlanda.
Tenuto conto che la competenza del CNIL non supera i confini nazionali francesi ovviamente sono state prese in considerazione le attività di Shein rispetto a soggetti residenti in Francia.
Anche in questo caso il valore della sanzione pari a 150 milioni di euro tiene in considerazione il numero di accessi al sito “shein.com” operato da utenti francesi stimato in circa 12 milioni al mese.
In questo caso il CNIL ha rilevato che, nel momento stesso in cui il visitatore entrava sul sito “shein.com”, ancora prima di interagire con il banner e di ricevere qualunque informazione, ma soprattutto prima di poter esprimere un consenso, di qualunque natura.
Anche sull’espressione del consenso, il sito e i suoi banner si rilevavano deficitari posto che non contenevano alcuna informazione sullo scopo pubblicitario dei cookie. Progredendo e andando a verificare impostazioni cookie si scopriva che non venivano fornite informazioni circa l’identità dei terzi che potevano allocare dei cookie.
Anche in caso di scelta da parte dell’utente di rifiuto del consenso o in caso di successiva revoca del consenso alla registrazione dei cookie sul dispositivo da parte dell’utente, in realtà nuovi cookie venivano comunque inseriti mentre altri permanevano nonostante la revoca e continuavano ad essere letti, in palese violazione delle normative in materia di dati personali.
Le modifiche apportate da Shein o, meglio, da “Infinite Styles Services co. Limited”, durante l’istruttoria permettevano di evitare l’ordine di esecuzione, ma non la sanzione.
Le implicazioni future: deterrente o costo del business?
Le due decisioni del CNIL, pongono due quesiti. Il primo è quello della frequenza nell’utilizzo di queste tecniche da parte dei più importanti player di diversi settori. La seconda, se effettivamente la sola sanzione pecuniaria sia un deterrente posto che il ritorno economico per il soggetto sanzionato nell’attuare la violazione potrebbe essere molto più elevato dell’ammontare della sanzione.
