Tracking occulto e cookie: sanzione da 1,5 milioni di euro ad American Express
Contrasto al tracking occulto
L’Commission Nationale de l’Informatique et des Libertés (CNIL) ha irrogato una sanzione amministrativa pecuniaria pari a 1,5 milioni di euro nei confronti di American Express Carte France, per gravi violazioni della disciplina in materia di cookie e tracker pubblicitari.
Il provvedimento (Délibération SAN-2025-011 del 27 novembre 2025) conclude un’istruttoria avviata nel gennaio 2023, nel corso della quale l’Autorità francese ha effettuato verifiche tecniche sul sito web della società e ispezioni presso la sua sede operativa.
Il quadro normativo di riferimento: consenso e cookie
La contestazione si fonda sulla violazione dell’articolo 82 della Loi Informatique et Libertés, che recepisce la Direttiva e-Privacy 2002/58/CE.
La norma stabilisce che qualsiasi operazione di archiviazione o accesso a informazioni presenti sul terminale dell’utente (come cookie e altri tracker) è lecita solo a fronte di un consenso preventivo, libero, specifico e informato, salvo limitate eccezioni di natura tecnica.
Secondo la CNIL, tali principi risultano oggi consolidati e pienamente operativi, anche alla luce delle linee guida e raccomandazioni emanate dalla stessa Autorità in materia di cookie.
Le condotte illecite accertate dall’Autorità
L’indagine ha fatto emergere una gestione strutturalmente carente dei cookie pubblicitari, articolata in tre distinte violazioni:
- Installazione ante-consenso
Alcuni tracker pubblicitari venivano depositati sul dispositivo dell’utente immediatamente all’accesso al sito, prima che fosse possibile interagire con il banner di raccolta del consenso. - Mancato rispetto del diniego
In diversi casi, i cookie pubblicitari risultavano attivati anche dopo il rifiuto esplicito dell’utente tramite l’apposito pulsante. - Persistenza dei tracker dopo la revoca del consenso
Qualora l’utente revocasse successivamente il consenso inizialmente prestato, la società continuava comunque a leggere le informazioni già raccolte, disattendendo la nuova volontà manifestata.
Tali condotte sono state ritenute incompatibili con il principio di autodeterminazione informativa e con l’obbligo di garantire un controllo effettivo dell’utente sui propri dati.
I criteri di determinazione della sanzione
Nel quantificare l’importo della multa, la CNIL ha valorizzato diversi elementi:
- Rilevanza economica del soggetto sanzionato
American Express opera a livello globale nel settore dei servizi di pagamento, con un numero elevato di utenti potenzialmente coinvolti. - Maturità del quadro regolatorio
Le regole sui cookie non costituiscono una novità normativa, ma un ambito ormai stabilizzato e chiaramente delineato dalla prassi dell’Autorità. - Collaborazione nel corso del procedimento
La società ha avviato misure correttive durante l’istruttoria, circostanza che ha contribuito a una parziale mitigazione della sanzione.
Considerazioni conclusive
Il provvedimento conferma l’approccio rigoroso delle autorità di controllo europee nel contrasto alle pratiche di tracking occulto, ribadendo che il consenso ai cookie deve essere reale, effettivo e sempre reversibile.
La decisione rappresenta un ulteriore monito per le imprese che operano online, chiamate a garantire una gestione dei tracker pienamente conforme alla normativa e-Privacy e ai principi di protezione dei dati personali.
1. Perché la CNIL ha sanzionato American Express?
La CNIL ha sanzionato American Express per l’installazione e l’utilizzo di cookie e tracker pubblicitari senza un valido consenso degli utenti, in violazione della normativa e-Privacy.
2. A quanto ammonta la sanzione irrogata dalla CNIL?
La sanzione amministrativa pecuniaria è pari a 1,5 milioni di euro.
3. Quale normativa è stata violata secondo l’Autorità francese?
La violazione riguarda l’art. 82 della Loi Informatique et Libertés, che recepisce la Direttiva e-Privacy 2002/58/CE, in materia di consenso ai cookie.
4. Quali condotte illecite sono state accertate?
La CNIL ha rilevato l’installazione di cookie prima del consenso, il mancato rispetto del diniego espresso dall’utente e la persistenza dei tracker anche dopo la revoca del consenso.
5. È possibile installare cookie senza consenso?
Solo in casi eccezionali, limitati ai cookie tecnici strettamente necessari al funzionamento del sito. I cookie pubblicitari richiedono sempre il consenso preventivo.
6. La collaborazione della società ha inciso sulla sanzione?
Sì. La CNIL ha tenuto conto delle misure correttive adottate da American Express durante il procedimento, attenuando parzialmente l’importo della multa.
7. Qual è il significato della decisione per le imprese online?
Il provvedimento ribadisce che il consenso ai cookie deve essere effettivo, libero e revocabile, e che le pratiche di tracking occulto sono oggetto di particolare attenzione da parte delle Autorità europee.
