GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/763/01.jpg
venerdì 17 febbraio 2023
di Dott. Alessandro Mammoli
Cookie e sanzioni: il Garante francesce ha sanzionato un'azienda per aver profilato anche chi ha negato il consenso
Il Garante per la protezione dei dati francese ha avviato,tra il 2021 il 2022, un'indagine su un'azienda sviluppatrice di giochi per dispositivi mobile. In particolare il Garante ha vagliato una serie di app che lo sviluppatore aveva reso pubbliche, sia per iOS che per smartphone. Alcuni di questi giochi erano rivolte ad un pubblico di minori. Lo sviluppatore, vooodoo.io, è piuttosto noto e vanta titoli piuttosto popolari tra i più giovani. Come il videogioco Helix Jump, rivolto ad utenti minorenni e che registra 100 milioni di download.
Al momento del download di un gioco, l'utente visualizza una richiesta di consenso alla profilazione, con possibilità (come dev'essere) di accettare o negare il trattamento dati a fini di profilazione. Il problema, come è emerso dall'istruttoria, è che l'azienda finiva poi a profilare anche coloro che avevano rifiutato il trattamento.
Per approfondire > Che cosa sono i tracker?
Il Garante francese ha ricostruito quindi, in dettaglio, il meccanismo di raccolta del consenso degli utenti. E' emerso che, una volta rifiutato il consenso, all'utente era mostrato un avviso con la conferma del fatto che il sistema di tracciamento e profilazione era stato disattivato. Gli annunci publicitari mostrati dallo sviluppatore, quindi avrebbero dovuto essere non personalizzati.
La realtà si è rivelata essere molto differente. L'azienda infatti analizzava comunque le informazioni raccolte dal cosiddetto "IDFV" - Identifier for Vendors". Parliamo di un identificatore, formalmente solo tecnico, che viene associato all'utente che esegue un download sull'App Store di Apple. IDFV elabora una serie di informazioni dell'utente e Apple lo mette a disposizione per consentire agli sviluppatori di tracciarel'uso che gli utenti fanno delle app. L'azienda leggeva quindi tali contenuti per individuare le abitudini di navigazione di uno specifico utente, usando queste risultanze per proporre pubblicità mirata.
Insomma, l'utente che aveva negato il consenso, veniva comunque profilato e in base a quella profilazione l'azienda mostrava annunci mirati.
L'istruttoria ha fornito indicazioni chiare, per le quali il Garante francese ha ritenuto necessario sanzionare l'azienda sviluppatrice. In dettaglio è stata ravvisata la violazione dell'art. 82 della legge francese sulla protezione dati. Il Garante ha optato per una sanzione di 3 milioni di euro. Ma non finisce qui. Oltre alla sanzione amministrativa, la CNIL ha imposto allo sviluppatore di adeguarsi entro 3 mesi alla normativa provay e al GDPR. Ogni giorno di ritardo comporterà per l'azienda, il pagamento di ulteriori 20.000 euro.
Qui è disponibile il provvedimento completo
venerdì 27 dicembre 2024
Leggi tutto...giovedì 19 dicembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!