Già nel 2019, la CNIL aveva classificato i dati trattati da QWANT come dati personali e non come dati anonimi. A seguito di questa riclassificazione, la società QWANT ha pubblicato, nel 2020, una nuova politica sulla riservatezza relativa a questi dati per informare gli utenti.

Il contesto

QWANT è una società francese che ha lanciato il suo motore di ricerca nel 2013. Grazie alle forti misure di protezione della privacy implementate, la società riteneva che il motore di ricerca non raccogliesse dati personali quando gli utenti effettuavano una ricerca, in particolare nel contesto della visualizzazione di annunci pubblicitari correlati all’oggetto della ricerca. I dati utilizzati nell’ambito della vendita di spazi pubblicitari sul motore di ricerca, gestito tramite MICROSOFT, sono stati quindi presentati in forma anonima.  

Il 15 marzo 2019, la CNIL ha ricevuto un reclamo contro la società QWANT, con la motivazione che i dati personali raccolti costituivano dati personali e non dati anonimi e che pertanto la normativa sui dati personali non era stata rispettata.

Sulla base di questa denuncia, nel 2019 la CNIL ha effettuato due ispezioni presso l’azienda, seguite da numerosi colloqui con la stessa. Tali indagini hanno permesso di stabilire che i dati personali trasmessi da QWANT alla società MICROSOFT erano essenzialmente di tipo tecnico (ad esempio l’indirizzo IP troncato o l’indirizzo IP sottoposto a hash per creare un identificativo generato da QWANT), in modo che MICROSOFT potesse:

• visualizzare annunci pubblicitari contestuali, correlati alla ricerca dell’utente, che per loro natura non richiedono il monitoraggio delle attività dell’utente nel tempo, né alimentano un profilo;
• contare il numero di visualizzazioni pubblicitarie;
• offrire di visualizzare i propri risultati di ricerca nel caso in cui QWANT non sia in grado di fornire risultati sufficienti, in numero o qualità.

Nel corso delle indagini, la società QWANT ha segnalato alla CNIL di ritenere che i mezzi tecnici da essa stessa adottati avessero l’effetto di rendere anonimi i dati raccolti prima della loro trasmissione alla società MICROSOFT. Di conseguenza, la società QWANT ha ritenuto di non trasmettere dati personali. Pertanto, nella sua versione iniziale, l’informativa sulla privacy del motore di ricerca indicava che le query degli utenti venivano immediatamente “rese anonime”.

A seguito di analisi approfondite effettuate nel 2019, tenuto conto della natura altamente tecnica degli elementi del caso e del fatto che si trattava del primo sistema del suo genere esaminato dalla CNIL, il suo presidente ha ritenuto, nonostante le misure messe in atto dalla società QWANT, che, alla luce in particolare delle raccomandazioni e della giurisprudenza pertinente all’epoca dei fatti, i dati trasmessi alla società MICROSOFT non potevano essere qualificati come anonimi. Nel 2020, la società QWANT ha modificato di conseguenza la propria politica sulla riservatezza.

Considerata la natura transfrontaliera del trattamento, nel 2020 la CNIL, in qualità di autorità capofila, ha condiviso le sue conclusioni con le controparti europee, in particolare per discutere l’analisi e la misura correttiva più appropriata.

Dopo numerose discussioni con le sue controparti, la CNIL ha emesso un promemoria degli obblighi legali della società alla luce di queste conclusioni risalenti al 2019.

Il contenuto del promemoria degli obblighi legali

Nella sua decisione, la presidente della CNIL ha ricordato che, nonostante le forti precauzioni adottate nel 2019 per evitare la reidentificazione degli individui, l’insieme dei dati trasmessi a MICROSOFT non è stato reso anonimo, ma solo pseudonimizzato.

Tuttavia, nella sua informativa sulla privacy al momento delle ispezioni, la società QWANT aveva indicato che i dati erano anonimi. Non ritenendo applicabile la normativa sui dati personali, non ha menzionato la finalità pubblicitaria della trasmissione dei dati alla società MICROSOFT, né la base giuridica utilizzata per tale trattamento. Infine, fino al 21 febbraio 2020, le versioni italiana e tedesca dell’informativa sulla privacy non contenevano le stesse informazioni delle versioni francese e inglese.

Inoltre, il giorno della verifica, le informazioni contenute nell’informativa sulla privacy relative al trattamento relativo alla trasmissione dei dati a MICROSOFT erano inesatte e incomplete. La società non ha pertanto rispettato gli obblighi di trasparenza e informazione previsti dagli articoli 12 e 13 del GDPR.

Perché un promemoria degli obblighi di legge e non una multa?

Il richiamo agli obblighi legali è una delle misure correttive che il presidente della CNIL può pronunciare con la messa in mora e l’avvertimento, ma che non ha carattere di sanzione .

La scelta di questa misura è apparsa giustificata poiché la volontà della società QWANT era quella di sviluppare un motore di ricerca che consumasse pochissimi o nessun dato personale, utilizzando la pubblicità contestuale e non quella comportamentale e quindi con un livello di invadenza molto inferiore. Infatti, i dati trasmessi a MICROSOFT, essenzialmente tecnici, non sono stati conservati allo scopo di stabilire il profilo pubblicitario dell’utente. Quindi non c’era alcun monitoraggio dell’attività dell’utente nel tempo.

A questo proposito, benché la CNIL ritenga in definitiva che i dati trasmessi a MICROSOFT fossero pseudonimi, sottolinea che la società ha adottato numerose misure tecniche per ridurre il più possibile il rischio di reidentificazione. Si è trattato di un errore di analisi iniziale sulla qualificazione dei dati trasmessi che ha portato alle violazioni commesse, senza alcuna intenzione da parte della società QWANT di eludere le disposizioni del GDPR.  

Successivamente, il presidente della CNIL ha fatto notare che la società aveva modificato la sua politica sulla riservatezza a seguito delle discussioni con la CNIL del 22 ottobre 2020:

• per menzionare una trasmissione di dati “pseudonimi” a MICROSOFT;
• di menzionare esplicitamente la base giuridica e lo scopo pubblicitario della trasmissione dei dati alla società MICROSOFT.

Inoltre, nel corso del 2020 QWANT ha aggiornato la propria informativa sulla privacy nelle diverse lingue, in modo che tutte le traduzioni includano le stesse informazioni.

Infine, il Presidente della CNIL ha tenuto conto della buona fede dell’impresa e della sua cooperazione con la CNIL per tutta la durata della procedura.

Tali elementi hanno indotto il Presidente a ritenere che il richiamo agli obblighi di legge nei confronti della società costituisse una misura correttiva proporzionata.

https://www.cnil.fr/fr/qwant-cnil-traitement-des-donnees-personnelles-rappel-obligations-legales