Estratto SIG – Basta un pixel e scatta il GDPR
L’autorità di supervisione norvegese (il “Datatilsynet”) ha reso nota l’intenzione di sanzionare una società americana che ha utilizzato un widget per il tracciamento online di utenti norvegesi a fini di pubblicità comportamentale senza rispettare le prescrizioni normative; apparentemente l’azienda sarebbe caduta nell’errore di ritenere il GDPR non applicabile alla Norvegia. In aggiunta alla misura rilevante della sanzione, la decisione tocca profili di interesse che ripercorriamo in questa tornata.
Provvedimento Datatilsynet
Il 2 maggio 2021 l’autorità di supervisione norvegese ha inviato alla società americana Disqus Inc. di San Francisco la notifica preliminare di sanzione amministrativa con la quale informa l’azienda della propria intenzione di irrogarle la sanzione di circa € 2,5 milioni a conclusione della istruttoria relativa all’utilizzo da parte di Disqus di un widget applicato su siti web norvegesi che permette il tracciamento online di utenti che si trovano sul suolo norvegese, per pubblicità comportamentale.
Lo scopo di una notifica preventiva è garantire che il caso sia chiarito il più accuratamente possibile prima che venga presa una sanzione amministrativa e per consentire il contraddittorio dando l’opportunità alla parte interessata di presentare le proprie deduzioni.
Disqus ha tempo fino al 31 maggio 2021 per commentare i risultati del regolatore. Datatilsynet emetterà la decisione definitiva una volta valutata la risposta di Disqus.
Circostanze di fatto
Disqus è proprietaria di una piattaforma social che permette agli utenti di intraprendere una discussione pubblica su specifici argomenti. L’uso della piattaforma si basa sul modello di business “gratuito in cambio di pubblicità”: cioè l’utente non è tenuto a corrispondere un prezzo monetario, in cambio dell’utilizzo dei propri dati personali per fini di marketing. Il meccanismo funziona tramite un widget (cioè un plug-in per siti web) che viene installato sul sito web ospitante, tramite cui l’utente ha la possibilità, cliccando sull’apposito link, di intraprendere la conversazione. Il widget, inoltre, impianta un cookie con identificativo univoco nel browser di qualsiasi utente che accede al sito web ospitante. Tramite l’identificativo si traccia qualsiasi attività svolta sui siti web contenenti il widget, dall’utente sia registrato che non. Queste informazioni sono poi utilizzate per assegnare l’utente a determinati gruppi e questi ultimi vengono adoperati a fini di pubblicità comportamentale sia da Disqus e dalla propria casa madre (Zeta Global), sia da terze parti a cui tali dati vengono comunicati.