La decisione adottata il 30 dicembre 2025 dalla CNIL interviene su una pratica di marketing digitale molto diffusa e, proprio per questo, spesso sottovalutata nei suoi profili giuridici. Al centro del caso c’è l’utilizzo dei dati personali raccolti tramite un programma di fidelizzazione e il loro trasferimento verso un social network per attività pubblicitarie avanzate.
In concreto, la società metteva a disposizione della piattaforma social una serie di informazioni relative ai propri clienti – indirizzi email e altri elementi utili all’abbinamento degli account – con l’obiettivo di sfruttarli in due direzioni distinte ma strettamente collegate. Da un lato, i dati venivano usati per mostrare inserzioni personalizzate direttamente agli iscritti al programma fedeltà, intercettandoli all’interno del social network. Dall’altro, gli stessi dataset alimentavano meccanismi di profilazione più ampi, come la creazione di audience simili, basate sulle caratteristiche comportamentali e demografiche degli utenti già clienti.
Uso dei dati per advertising e audience look alike
Il passaggio messo in evidenza dalla Commission nationale de l’informatique et des libertés riguarda l’estensione funzionale del trattamento. I dati caricati sulla piattaforma venivano utilizzati per intercettare i clienti già noti all’interno del social network e, allo stesso tempo, alimentavano i meccanismi che consentono di individuare nuovi utenti con caratteristiche simili. Il dataset originario finiva così per diventare uno strumento di ampliamento del pubblico delle campagne, con un utilizzo che superava il perimetro del rapporto diretto tra l’azienda e i propri clienti.
Per l’Autorità, un trattamento costruito in questo modo incide in maniera diversa sui diritti delle persone coinvolte. L’adesione a un programma di fidelizzazione rende prevedibili comunicazioni promozionali legate al rapporto diretto con l’azienda, mentre l’impiego degli stessi dati per alimentare modelli di somiglianza e strategie di acquisizione su una piattaforma terza introduce un utilizzo ulteriore, meno intuitivo per l’interessato. È questa estensione operativa che richiedeva una manifestazione di volontà autonoma, espressa in modo chiaro e accompagnata da informazioni comprensibili sulle reali finalità del trattamento.
Consenso e informativa: cosa mancava davvero
L’istruttoria ha mostrato che le informazioni messe a disposizione degli utenti non consentivano di comprendere con chiarezza quali dati venissero trasferiti al social network né come questi sarebbero stati utilizzati nelle diverse fasi delle attività pubblicitarie. Il consenso, quando raccolto, era formulato in modo ampio e indifferenziato, senza permettere di cogliere la distinzione tra inserzioni rivolte ai clienti già esistenti e l’impiego dei dati come base per la costruzione di audience simili.
Anche gli strumenti per opporsi al trattamento o revocare il consenso risultavano poco visibili e distribuiti su più livelli informativi. Questo assetto, secondo la CNIL, riduceva in modo significativo la possibilità per gli interessati di esercitare un controllo concreto sui propri dati, soprattutto in un contesto dominato da processi automatizzati e da logiche di profilazione difficilmente percepibili dall’esterno.
La sanzione da 3,5 milioni di euro si inserisce così in una linea di intervento che osserva con attenzione crescente le connessioni operative tra sistemi aziendali e piattaforme pubblicitarie. Il segnale rivolto alle imprese digitali è pragmatico: l’uso dei dati per campagne pubblicitarie e per la creazione di audience simili richiede scelte progettuali trasparenti, informative comprensibili e consensi costruiti in modo coerente con ciò che avviene, concretamente, nelle infrastrutture di advertising.
