Il 30 dicembre 2025, la Commissione Nazionale per l’Informatica e le Libertà (CNIL) ha comminato una multa di 3,5 milioni di euro a una società che ha trasmesso illegalmente i dati dei suoi membri del programma di fidelizzazione a un social network. Questa operazione rientra nel contesto della pubblicità mirata, ma è stata effettuata senza il consenso valido degli interessati. Questo caso illustra le questioni cruciali della protezione dei dati personali in un mondo digitale in continua evoluzione.
Il contesto della sanzione
Nel gennaio 2023, a seguito di dispositivi di controllo, la CNIL ha scoperto che la società interessata comunicava gli indirizzi email e/o i numeri di telefono dei suoi membri dal febbraio 2018. Queste informazioni erano utilizzate per mostrare pubblicità mirate su un social network, con l’obiettivo di promuovere i prodotti della società. Questa constatazione ha portato la formazione ristretta della CNIL a sanzionare l’impresa per molteplici violazioni degli obblighi previsti dal regolamento generale sulla protezione dei dati (RGPD) e dalla legge Informatica e Libertà.
Le violazioni identificate
Absence di base legale per la trasmissione dei dati
La prima violazione messa in luce dalla CNIL riguarda l’obbligo di avere una base legale per il trattamento dei dati personali. Invocando un consenso presuntivamente raccolto al momento dell’adesione al programma di fidelizzazione, la società ha omesso di fornire informazioni chiare sull’utilizzo dei dati a fini pubblicitari. Gli elementi forniti ai membri erano non solo insufficienti, ma anche complicati da accedere, rendendo impossibile un consenso informato.
Informazioni imprecise per le persone interessate
Inoltre, la CNIL ha notato che le informazioni fornite sul sito web dell’azienda erano imprecise. Gli obiettivi dei trattamenti dati non erano chiaramente legati alle relative basi legali. Di conseguenza, i membri non erano in grado di capire l’entità dei loro impegni in materia di protezione dei dati.
Deficienze in materia di sicurezza dei dati
La CNIL ha anche osservato significative lacune nella sicurezza dei dati memorizzati. Le regole relative alla complessità delle password non erano adeguate e il metodo di memorizzazione utilizzato per le password, chiamato SHA-256, non garantiva una sicurezza ottimale. Queste mancanze espongono i dati personali a rischi aumentati di hacking.
Omissione dell’analisi di impatto
È stato inoltre constatato che la società non aveva effettuato un’analisi di impatto sulla protezione dei dati (AIPD), nonostante il trattamento coinvolgesse un volume significativo di dati personali e un incrocio di questi. Tale negligenza costituisce una violazione degli obblighi che gravano sulle aziende in materia di protezione dei dati.
Non conformità con i cookie e i tracker
Infine, la CNIL ha identificato violazioni relative all’uso di cookie e tracker sul sito dell’azienda. I cookie soggetti a consenso venivano depositati automaticamente sui terminali degli utenti, anche prima che questi esprimessero la propria scelta. Questa pratica viola le regole stabilite in materia di consenso e trasparenza.
Una decisione in cooperazione internazionale
La sanzione imposta a questa società rientra in un quadro più ampio, che coinvolge 16 omologhi europei della CNIL. I dati dei cittadini residenti in questi paesi sono stati anch’essi interessati da questo trattamento illecito. La CNIL ha ritenuto essenziale rendere pubblica questa deliberazione per sensibilizzare il pubblico al rispetto delle norme di protezione dei dati, in particolare nel settore della pubblicità online.
Le sfide della protezione dei dati nella pubblicità digitale
Questo caso evidenzia le difficoltà affrontate dalle aziende che cercano di combinare dati personali e pubblicità mirata rispettando le normative vigenti. Le violazioni osservate sollevano questioni fondamentali sulla trasparenza, la sicurezza e il rispetto della vita privata degli utenti. Per approfondire questo tema essenziale, può essere pertinente esplorare le implicazioni della protezione dei dati o esaminare le sfide rappresentate da i social media e dai giovani utenti.
