Con la delibera del 29 dicembre 2023, l’Autorità Garante Privacy francese (CNIL) ha irrogato una sanzione di centocinque milioni di euro nei confronti della società “NS Cards France”, distributore di moneta elettronica che permette di effettuare pagamenti online, per non aver rispettato alcuni principi anche cardini del GDPR concernenti il periodo di conservazione dei dati (data retention), delle informazioni personali e la sicurezza dei dati nonché per aver violato la normativa sui cookie e tracker (e altri sistemi di tracciamento).
Indice degli argomenti
Il contesto di riferimento
Analizziamo il provvedimento nel dettaglio.
La Società coinvolta e la sua attività
La società coinvolta è la “NS CARDS FRANCE” la quale pubblica il sito “neosurf.com” e l’applicazione mobile “Neosurf” per poter effettuare pagamenti online previa registrazione al servizio.
La società in questione, come si legge nel testo della delibera in parola, offre due forme di pagamento elettronico: da un lato distribuisce, presso i punti vendita autorizzati, coupon neosurf con i quali i privati possono effettuare pagamenti online sui siti partner; dall’altro crea, in combinato, un portafoglio elettronico, previo inserimento dei dati ai fini della creazione di un account utente sul sito www.neosurf.com, Non solo, mette anche a disposizione l’applicazione mobile “neosurf” nella quale l’utente può altresì pagare con carta di credito.
I fatti riscontrati
Alla fine del 2021, la CNIL effettuava due ispezioni presso la società. Nel corso dell’istruttoria, constatava alcune lacune circa:
- i periodi di conservazione dei dati degli account degli utenti;
- l’informativa rilasciata agli utenti;
- la sicurezza dei dati e le modalità di deposito di cookie e traccianti sul portale utente.
Le violazioni accertate
Durante le indagini effettuate, la CNIL come anticipato ha rilevato diverse violazioni, irrogando due sanzioni:
- una per violazione del GDPR adottando la sanzione in cooperazione con altri Paesi (17) europei nell’ambito dello sportello unico dal momento che il sito web, dalle indagini effettuate, risulta avere utenti/visitatori in diversi Stati membri della UE;
- una per la violazione sull’utilizzo dei cookie e tracker, agendo in autonomia.
La CNIL ha determinato l’importo della sanzione pari ad 105 milioni di euro, tenendo conto dei criteri dettati della natura delle violazioni, della negligenza dimostrata dalla società, delle categorie di dati personali (ivi compresi i dati bancari) coinvolti, nonché del numero delle persone interessate e della situazione finanziaria della società.
Le motivazioni adottate
La CNIL ha riscontrato tre violazioni al GDPR e una alla normativa dei cookie argomentando come segue.
Sulla violazione dell’obbligo di limitare la durata della conservazione dei dati
L’Autorità Garante privacy francese ha fatto questo tipo di ragionamento. A fronte delle indagini svolte, è emerso che durante la creazione di un account/utente sul sito web www.neosurf.com, venivano raccolti: nome, data di nascita, indirizzo postale e e-mail, numero di telefono e, ove applicabile, coordinate bancarie, così come documenti personali, quale prova di identità e indirizzo.
A prescindere dall’opportunità di tutti questi dati ed eventuali considerazioni in ordine al principio di minimizzazione dei dati che sarebbero ultronee in questa sede, dall’ispezione in loco è emerso, come si legge testualmente nella delibera che “se la società avesse definito un periodo di conservazione di dieci anni per tali dati a partire dall’ultima operazione effettuata […], i conti sarebbero stati disattivati solo alla fine di tale periodo”. Quando, invece, i dati risultavano essere (ancora) conservati di fatto per un periodo indefinito, senza effettuare alcuna cancellazione dei dati dalle relative banche dati e così avviene dal 2005 quando è iniziata l’attività della società in questione.
Palese è dunque la violazione di un principio cardine come è quello sulla data retention che impone invece di conservare i dati per il solo tempo strettamente necessario in base alle finalità individuate. Il GDPR impone infatti che i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un periodo non superiore a quello necessario agli scopi per i quali sono trattati” (art. 5-1, lett. e).
Non solo, il periodo di conservazione individuato in presunti dieci anni è stato applicato a tutti gli account degli utenti, senza invece effettuare una cernita dei dati da conservare, anche grazie ad una corretta applicazione/compilazione del registro delle attività di trattamento (art. 30); e cita ad esempio il combinato disposto con il Codice del Consumo.
Sulla mancata corretta informativa
Sia sul suo sito web che sull’App mobile, la società ha informato le persone tramite un’informativa sulla privacy tanto incompleta quanto obsoleta (datata 2018), non certo conforme agli standard che l’art. 13 impone.
In sostanza, informazioni non aggiornate e solo in inglese, nonostante la maggior parte degli utenti fossero francofoni.
Per quanto, come si legge in delibera, dopo le prime ispezioni in cui è emerso questa circostanza, la società abbia intrapreso un adeguato processo di adeguamento, senza tuttavia mettere in discussione le carenze passate.
Sulle misure di sicurezza dei dati personali
La società in questione è poi stata sanzionata anche per violazione delle regole sulla sicurezza entrando in gioco la debolezza delle password. Non solo password deboli nel senso che non imponevano all’utente regole più stringenti, come si dovrebbe convenire, ma anche conservate con misure di sicurezze inesistenti. Infatti, su un campione di quasi 50.000 password analizzate, è emerso che queste erano conservate in formato di testo nel database, associate all’indirizzo e-mail e agli ID utente.
Da qui, regole sulla complessità della password dell’account utente non sufficienti determinando una palese violazione dell’art. 32.
Peraltro, si evince dal testo della delibera, le password erano archiviate in formato” hash e salted”, le cui funzioni risultavano del tutto non aggiornate, generando quindi un elevato rischio di attacco, perdita, fuga di dati degli utenti.
Sulla violazione dell’utilizzo di cookie e tracker
La CNIL ha da ultimo constatato l’inserimento di cookie di Google Analytics sul terminale dell’utente senza consenso. Tuttavia, come si legge testualmente, “nella misura in cui questi cookie possono includere funzionalità pubblicitarie e, in ogni caso, consentono di raccogliere dati che possono essere utilizzati per mantenere e proteggere il servizio Analytics, essi non possono essere inseriti nel terminale dell’utente senza il suo consenso”. Consenso che legittima, in pratica il trattamento.
Ancora, è stato rilevato come durante la creazione dell’account e durante la connessione al sito web e all’applicazione mobile, la società abbia utilizzato il meccanismo reCAPTCHA fornito dalla società GOOGLE. Tale meccanismo funziona, come noto, con una raccolta di informazioni hardware e software (come dati del dispositivo e dell’applicazione). Sebbene i dati raccolti siano stati trasmessi a Google per l’analisi, la società non ha fornito informazione alcuna all’utente né ha ottenuto un suo preventivo consenso.
A questo punto, il mancato consenso al deposito dei cookie di Google Analytics colpendo ogni visitatore del sito web, ovvero varie centinaia di migliaia di persone, ha determinato la violazione che sommata alle altre violazioni riscontrate ha contribuito a determinare l’importo irrogato.
Insegnamento e conclusioni
Cosa insegna questo precedente? Che il GDPR non è affatto lettera morta; che esistono anche negli altri Paesi europei situazioni in cui leggiamo ancora di informative sbagliate, “sciatte” ed obsolete; che le misure di sicurezza devono essere adeguate, e la sensibilità su politiche di creazione delle password e della loro conservazione sono ancora arretrate nella maggior parte delle realtà aziendali, nonostante gli sforzi anche compiuti da parte dell’EDPB.
Infine, sul tema dei cookie, c’è ancora molta strada da fare, ma almeno il cammino è iniziato.
