La CNIL ha sanzionato per 3 milioni di euro alla società VOODOO, che pubblica videogiochi per smartphone, per aver tracciato gli utenti senza consenso.

Dall’agosto 2021 al luglio 2022, la CNIL ha condotto diverse indagini su voodoo.io e su diverse applicazioni mobili pubblicate dalla società VOODOO, come il gioco Helix Jump.

Le indagini sono state condotte solo nell’ambito del download e del funzionamento delle applicazioni su un iPhone (APPLE), con il sistema operativo iOS.

Quando un editore offre un’applicazione sull’App Store, APPLE gli fornisce un identificatore tecnico “IDentifier For Vendors” (o IDFV), che consente all’editore di tracciare l’uso che gli utenti fanno delle sue applicazioni. Un IDFV viene assegnato a ogni utente ed è identico per tutte le applicazioni distribuite da un editore e quindi, in questo caso, per tutte le applicazioni di VOODOO.

Combinando altre informazioni provenienti dallo smartphone, l’IDFV consente di tracciare le abitudini di navigazione delle persone, comprese le categorie di giochi che scelgono, al fine di personalizzare gli annunci pubblicitari visti da ciascuno di loro.

Violazione della legge francese sulla protezione dei dati

All’apertura di un’applicazione di videogiochi, viene presentata agli utenti una prima finestra progettata dalla società APPLE (App Tracking Transparency o ATT) per raccogliere il loro consenso al tracciamento delle loro attività sulle applicazioni scaricate sui loro smartphone.

Quando l’utente rifiuta la “richiesta ATT“, viene visualizzata una seconda finestra dalla società VOODOO che spiega che il tracciamento pubblicitario è stato disattivato e specifica che verranno comunque offerti annunci non personalizzati.

Nel corso delle sue indagini, il CNIL ha tuttavia osservato che quando un utente rifiuta il tracciamento pubblicitario, la società VOODOO legge comunque l’identificatore tecnico associato a tale utente (IDFV) e continua a trattare le informazioni legate alle abitudini di navigazione a fini pubblicitari, quindi senza consenso e in contraddizione con quanto indicato nella schermata informativa che visualizza.

L’utilizzo dell’IDFV a fini pubblicitari senza il consenso dell’utente costituisce una violazione dell’articolo 82 della legge francese sulla protezione dei dati.

Sanzioni da parte della CNIL

Di conseguenza, il comitato ristretto – l’organo della CNIL incaricato di emettere sanzioni – ha sanzionato la società VOODOO con una multa di 3 milioni di euro, che è stata resa pubblica.

L’importo è stato giustificato in particolare dal numero di persone interessate, dai benefici finanziari ottenuti a seguito della violazione e dai fatturati dell’azienda per il 2020 e il 2021.

Oltre alla sanzione amministrativa, il comitato ristretto ha emesso anche un’ordinanza con penalità di mora che impone all’azienda di raccogliere il consenso dell’utente all’utilizzo dell’IDFV a fini pubblicitari, entro tre mesi dalla notifica della decisione. In caso contrario, l’azienda dovrà pagare 20.000 euro per ogni giorno di ritardo.