L’autorità francese per la protezione dei dati ha multato tre grandi aziende, Google, Shein e PayPal, per un totale di 486 milioni di euro per violazioni della legge nazionale sulla privacy che regola l’uso dei dati personali. Le sanzioni seguono indagini su come le aziende hanno raccolto e condiviso informazioni dai dispositivi degli utenti per scopi pubblicitari e analitici senza una base legale o trasparenza sufficienti.
L’autorità francese per la protezione dei dati, la Commission Nationale de l’Informatique et des Libertés (CNIL), ha dichiarato che la multa di 250 milioni di euro di Google era legata all’uso dei dati raccolti dai dispositivi Android degli utenti per pubblicità mirata. La CNIL ha rilevato che Google non ha ottenuto il consenso valido dagli utenti per alcune operazioni di elaborazione e non ha presentato informazioni chiare e accessibili su tali attività.
Shein, il rivenditore online di moda, ha ricevuto una multa di 150 milioni di euro per la sua applicazione mobile e il sito web. La CNIL ha dichiarato di aver individuato carenze nel modo in cui Shein informava gli utenti sulla raccolta di informazioni personali e su come tali dati venivano utilizzati per il marketing personalizzato. L’ente regolatore ha inoltre citato meccanismi inadeguati per ottenere il consenso degli utenti.
PayPal è stata multata di 86 milioni di euro per pratiche sui dati che prevedevano il trattamento dei dati degli utenti senza una base legale adeguata e la mancata trasparenza nella condivisione di informazioni personali con terzi. La CNIL ha affermato che le violazioni hanno colpito gli utenti in tutta la Francia e ha osservato che il livello delle sanzioni rifletteva sia la portata delle operazioni delle aziende sia la durata del trattamento non conforme.
Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE e la legge nazionale francese sulla protezione dei dati, le organizzazioni devono fornire agli utenti informazioni chiare su come i loro dati personali vengono raccolti, elaborati e condivisi. La CNIL ha dichiarato che le notifiche di privacy e i meccanismi di consenso delle aziende non soddisfano tali requisiti.
La CNIL ha dichiarato di aver considerato fattori come il numero di utenti coinvolti, la natura dei dati coinvolti e la durata delle violazioni per determinare l’entità di ciascuna multa. L’autorità ha inoltre imposto scadenze affinché le aziende possano adeguare le loro pratiche di trattamento dei dati e ha avvertito che potrebbero seguire ulteriori sanzioni se persistessero problemi.
Tutte e tre le aziende hanno dichiarato di stare esaminando le decisioni e potrebbero contestare alcuni aspetti delle conclusioni. Google ha dichiarato di essere impegnata nella privacy degli utenti e di aggiornare continuamente le sue politiche e i suoi strumenti. Shein ha dichiarato di collaborare con i regolatori e di lavorare per allineare le proprie pratiche alla legge applicabile. PayPal ha dichiarato di prendere sul serio la protezione dei dati e valuterà la sentenza.
I sostenitori della privacy hanno accolto con favore le multe come una riaffermazione dell’autorità dei regolatori di far rispettare i requisiti di trasparenza e consenso. Hanno affermato che informazioni chiare e accessibili sull’uso dei dati sono essenziali per il controllo da parte degli utenti sulle informazioni personali nei servizi digitali.
L’azione della CNIL fa parte di una più ampia spinta regolatoria in Europa quest’anno per ritenere le piattaforme tecnologiche e di e-commerce responsabili delle pratiche di privacy degli utenti. L’applicazione del GDPR e delle relative normative nazionali ha aumentato il controllo su come le aziende utilizzino i dati personali per pubblicità, analisi e servizi personalizzati.