Stangata della CNIL a società di videogiochi. La sanzione comminata dalla CNIL a Voodoo.io ammonta a tre milioni di euro. La società, specializzata in videogiochi per smartphone, ha utilizzato un identificatore tecnico per profilare gli utenti (molti dei quali minori) senza consenso. Dati poi utilizzati a scopo pubblicitario.
L’indagine
Le indagini della CNIL si sono concentrate nel periodo che va da agosto 2021 a luglio 2022 ed hanno coinvolto diverse app della società, tra cui il celebre Game Helix Jump. L’indagine del Garante d’oltralpe si è concentrata sugli aspetti tecnici delle applicazioni, in particolare quelle scaricabili da sistema iOS.
L’identificatore Apple
Quando un editore offre un’applicazione sull’App Store, “Apple” gli fornisce un identificatore tecnico “IDentifier For Vendors” (o IDFV), che consente all’editore stesso di tracciare l’uso che gli utenti fanno delle sue applicazioni. Un IDFV viene assegnato a ogni vendor ed è identico per tutte quelle distribuite dalla stessa azienda. Combinando altre informazioni provenienti dallo smartphone, l’IDFV permette di tracciare le abitudini di navigazione delle persone, comprese le categorie di giochi preferite. Utilizzando questo metodo, ha rilevato la CNIL, “Voodoo” ha personalizzato e mirato gli annunci pubblicitari anche sui profili di utenti che non avevano concesso il consenso.
Violazione
All’apertura delle app di “Voodoo”, agli utenti si presenta una prima finestra progettata da Apple (App Tracking Transparency o ATT) per raccogliere il loro consenso al tracciamento delle attività sulle applicazioni scaricate sui loro smartphone. Quando l’utente rifiuta la “richiesta ATT”, viene visualizzata una seconda finestra che spiega come il tracciamento pubblicitario sia stato disattivato, specificando che verranno comunque offerti annunci non personalizzati. CNIL ha tuttavia rilevato come “Voodoo” sfruttava l’IDFV a fini di pubblicità mirate, anche senza il consenso dell’utente. La violazione rilevata dal Garante francese riguarda l’articolo 82 della legge francese sulla protezione dei dati.
Oltre la sanzione
Oltre alla sanzione amministrativa, la CNIL ha emesso anche un’ordinanza che impone all’azienda di raccogliere il consenso dell’utente all’utilizzo dell’IDFV a fini pubblicitari, entro tre mesi dalla notifica della decisione. In caso contrario, l’azienda dovrà pagare 20.000 euro per ogni giorno di ritardo.
