Nel contesto: di recente abbiamo assistito a un’enorme spinta verso la privacy degli utenti su Internet. A parte il Regolamento generale sulla protezione dei dati (GDPR), i paesi europei hanno respinto numerosi casi in cui sono interessati la raccolta dei dati e il tracciamento degli utenti.
L’ultimo di questo sforzo incentrato sulla privacy arriva dalla Francia, dove la Commission nationale de l’informatique et des libertés (CNIL) ha multato Google di 150 milioni di euro (170 milioni di dollari) e Facebook di 60 milioni di euro (68 milioni di dollari) per aver rinunciato di cookie troppo confusi per gli utenti. Oltre alle sanzioni, entrambe le società hanno 90 giorni di tempo per apportare modifiche che consentano di rifiutare più facilmente i cookie o di affrontare una sanzione di € 100.000 al giorno.
Secondo la CNIL, Facebook e Google utilizzano “dark patterns” per indurre gli utenti ad accettare i cookie di tracciamento. I modelli oscuri sono metodi per progettare un’interfaccia utente in un modo che confonde l’utente o lo porta a credere di non avere scelta in merito, ad esempio presentando una finestra di dialogo che costringe gli utenti ad accettare i cookie prima di accedere al contenuto, quindi nascondendo i mezzi per rifiutare cookie dietro altri menu.
Google utilizza uno schema scuro simile all’esempio sopra. Il watchdog afferma che i siti Web di Google, incluso YouTube, offrono un modo per accettare tutti i cookie con un clic, ma gli utenti devono navigare attraverso diversi menu per rifiutare tutti i cookie. La CNIL afferma che Google rende intenzionalmente più difficile rifiutare i cookie in modo che gli utenti prendano la strada più semplice e li accettino.
Nel caso di Facebook, la CNIL afferma che la società offre anche una soluzione con un clic per accettare tutti i cookie, ma richiede diversi clic per rifiutarli. Inoltre, Facebook etichetta in modo ingannevole il pulsante per disattivare “Accetta i cookie”, portando le persone a credere di non avere scelta.
La CNIL afferma che entrambe le istanze violano la legge europea, richiedendo ai cittadini di comprendere appieno le loro decisioni quando acconsentono alla raccolta dei dati. È interessante notare che la CNIL non fa affidamento sull’attuale legge GDPR in entrambi i casi. Al contrario, sta impiegando un vecchio atto legislativo chiamato Direttiva ePrivacy.
TechCrunch osserva che le autorità di regolamentazione della privacy irlandesi applicano le violazioni del GDPR presentate da qualsiasi membro dell’UE, ma sono molto lente ad agire. Molte aziende tecnologiche statunitensi stabiliscono la loro sede europea in Irlanda, principalmente a causa della tassazione e della regolamentazione più rilassate. Tuttavia, la Direttiva ePrivacy consente alle nazioni europee di applicare sanzioni direttamente nei propri paesi. Quindi la Francia lo sta usando per assicurarsi che Facebook e Google siano ritenuti responsabili in modo tempestivo.