Il 30 dicembre 2025, la Commissione nazionale per l’informatica e le libertà (CNIL) ha emesso un’ammenda record di 3,5 milioni di euro nei confronti di un’azienda che ha illegalmente trasmesso i dati personali dei membri del suo programma di fidelizzazione a un social network, principalmente per operazioni di targeting pubblicitario. Questa decisione è stata presa a seguito di controlli effettuati a gennaio 2023, che hanno rivelato diverse violazioni degli obblighi stabiliti dal regolamento generale sulla protezione dei dati (RGPD), sottolineando l’importanza del consenso e della trasparenza nel trattamento dei dati personali.
I controlli della CNIL e le constatazioni di violazioni
Durante le sue indagini, la CNIL ha osservato che l’azienda interessata aveva iniziato a trasmettere, a partire da febbraio 2018, gli indirizzi e-mail e/o i numeri di telefono dei membri del suo programma a un social network. Queste informazioni venivano utilizzate per mostrare pubblicità mirate, con l’intento di promuovere i prodotti dell’azienda. Le violazioni identificate dalla CNIL sono significative e riguardano principalmente principi fondamentali di protezione dei dati.
Analisi delle violazioni della legislazione sui dati
Uno dei punti cruciali sollevati dalla CNIL riguarda la mancanza di consenso valido. Infatti, l’azienda ha tentato di giustificare le sue azioni sostenendo che il consenso dei membri era stato ottenuto al momento della loro iscrizione al programma di fidelizzazione. Tuttavia, la CNIL ha concluso che questo accordo non era valido. Le informazioni fornite nel modulo di iscrizione non menzionavano la trasmissione dei dati per scopi pubblicitari, danneggiando così la possibilità dei membri di dare un consenso informato.
Obbligo di informazione e trasparenza
Un’altra violazione significativa notata dalla CNIL risiede nell’obbligo di informazione nei confronti delle persone coinvolte. La commissione ha ritenuto che le informazioni presentate sul sito web dell’azienda fossero non solo imprecise, ma anche incomplete. M mancavano dettagli cruciali relativi alla finalità del trattamento dei dati, come la durata della conservazione, rendendo così le informazioni insufficienti per consentire agli utenti di fare una scelta informata.
La sicurezza dei dati: una negligenza da non ignorare
La CNIL ha anche sottolineato delle carenze in materia di sicurezza dei dati. Non venivano rispettati i requisiti relativi alla complessità delle password per gli account degli utenti. Così, gli utenti erano esposti a un rischio maggiore in termini di sicurezza delle informazioni personali. Inoltre, il metodo di hashing utilizzato per memorizzare le password non offriva una protezione adeguata.
Analisi d’impatto e rispetto dei cookie
Un aspetto fondamentale che è stato anche trascurato è l’assenza di un’analisi d’impatto sulla protezione dei dati (AIPD) prima di avviare le pratiche di targeting pubblicitario sul social network. Considerato il volume di dati personali trattati, la CNIL ha sottolineato che ciò avrebbe dovuto attivare un’analisi del genere, poiché i rischi per i diritti degli utenti erano considerevoli.
Infine, la questione dei cookie e dei tracker è stata messa in evidenza. La CNIL ha osservato che undici cookie, sottoposti a consenso, venivano depositati sul dispositivo degli utenti senza che questi avessero espresso una scelta preventiva. Inoltre, questi cookie rimanevano attivi anche quando gli utenti rifiutavano il loro utilizzo, il che costituisce una violazione manifesta delle regole riguardanti l’uso dei cookie.
Una decisione collaborativa a livello europeo
È importante notare che questa decisione è stata presa in cooperazione con sedici altre autorità di protezione dei dati europee. Di conseguenza, dei dati di persone residenti in questi paesi erano anch’essi coinvolti. L’importo dell’ammenda di 3,5 milioni di euro è stato determinato tenendo conto della gravità delle violazioni, ma anche dell’alto numero di persone colpite, stimato in oltre 10,5 milioni.
La CNIL ha anche scelto di rendere pubblica la deliberazione e di avvisare il pubblico sulle regole da rispettare in materia di pubblicità sui social network, una pratica notoriamente diffusa tra le aziende. Informando il pubblico, l’organo di regolazione mira a rafforzare la consapevolezza riguardo la protezione dei dati personali e i diritti degli utenti.
Per saperne di più sulle implicazioni di questa regolamentazione in altri contesti, puoi consultare articoli riguardanti l’impatto della blockchain, o le questioni di età sui social network, come dettagliato in questo. Inoltre, recenti decisioni riguardanti la restrizione dell’accesso a conti su piattaforme sociali, come compilato in questo articolo, mostrano le varie pratiche implementate per regolare l’uso dei social network.
