1 settembre 2025: la CNIL (autorità francese per la protezione dei dati) ha inflitto una sanzione da 150 milioni di euro a INFINITE STYLES SERVICES CO. LIMITED, la sussidiaria irlandese del colosso del fast fashion SHEIN.
Il motivo? Violazioni sistematiche delle norme sui cookie. Ma non parliamo di sviste tecniche: parliamo di un sistema progettato per ignorare le scelte degli utenti.
Il pulsante “Rifiuta tutto” che non rifiuta nulla
Immagina di cliccare su “Rifiuta tutto” in un banner cookie e scoprire che:
- Nuovi cookie vengono comunque installati sul tuo dispositivo
- I cookie già presenti continuano a tracciare le tue attività
- Il tuo “no” viene semplicemente ignorato
Secondo la CNIL, questo è esattamente ciò che accadeva su shein.com, dove anche dopo aver rifiutato o revocato il consenso, i cookie continuavano a essere posizionati e letti.
Non si trattava un bug tecnico ma di una scelta!
Le violazioni: un manuale di dark pattern
La CNIL ha documentato quattro violazioni principali, tutte interconnesse in un sistema che rende impossibile per l’utente controllare davvero i propri dati:
1. Cookie installati prima ancora di scegliere
Diversi cookie, in particolare quelli pubblicitari, venivano posizionati sui dispositivi degli utenti non appena arrivavano sul sito, prima ancora che interagissero con il banner informativo.
Il consenso? Irrilevante. Il tracciamento partiva comunque.
2. Banner ingannevoli
Due interfacce diverse per la gestione dei cookie, entrambe incomplete: il primo banner non menzionava lo scopo pubblicitario dei cookie, il secondo pop-up non forniva alcuna informazione sugli scopi.
Informazione confusa = consenso facile da ottenere.
3. Trasparenza zero sui partner
Nessuna informazione sull’identità delle terze parti che posizionavano cookie era fornita al secondo livello informativo, accessibile cliccando su “Impostazioni cookie”.
Chi sta tracciando? Mistero. Quanti sono? Non si sa.
4. Il meccanismo di rifiuto farsa
Come già detto: cliccare “Rifiuta tutto” non serviva a nulla. Una violazione diretta del diritto fondamentale degli utenti di controllare i propri dati.
I numeri che contano
Perché una multa così alta? La CNIL ha considerato la posizione centrale dell’azienda nel settore della moda online, con una media di 12 milioni di persone residenti in Francia che visitano shein.com ogni mese.
Facciamo due conti:
- 12 milioni di utenti/mese solo in Francia
- Cookie pubblicitari installati senza consenso
- Sistema progettato per ignorare le preferenze degli utenti
- Scala europea del fenomeno
Aggravanti: Non un errore tecnico ma un modello di business costruito sul tracciamento di massa non autorizzato.
Il precedente che fa scuola
La CNIL ha ricordato che dal 2020 ha ripetutamente sanzionato organizzazioni per violazioni simili e ha reso pubbliche le sue decisioni. Il messaggio è chiaro: non sapere non è più una scusa. Le regole sui cookie sono note da anni, i precedenti sono pubblici, le sanzioni sono sempre più pesanti e SHEIN non può dire di non sapere. Ha scelto consapevolmente di costruire un sistema per aggirare il consenso degli utenti.
Perché dovrebbe interessarti (anche se non usi SHEIN)
Questo caso è importante per tre motivi:
1. Il “dark pattern” è una strategia diffusa SHEIN non è l’unica. Quanti siti hai visitato dove “Rifiuta tutto” è nascosto, mentre “Accetta tutto” è un bottone enorme e colorato?
2. Le sanzioni hanno sempre più impatto rilevanti: 150 milioni non sono uno schiaffo sul polso. Sono un colpo al bilancio. Le autorità europee stanno dimostrando che fanno sul serio.
3. Il diritto al controllo dei propri dati non è negoziabile Se un utente dice “no”, deve significare “no”. Non “forse”, non “sì ma in modo nascosto”. No.
Cosa devono fare le aziende (subito)
Se gestisci un sito web o un’app, è il momento di controllare:
✅ I cookie si installano SOLO dopo il consenso esplicito? ✅ Il pulsante “Rifiuta tutto” funziona davvero? ✅ Le informazioni su scopi e partner sono complete e chiare? ✅ Il ritiro del consenso blocca immediatamente il tracciamento?
Non sono suggerimenti. Sono obblighi di legge, con sanzioni che possono raggiungere cifre a nove zeri.
SHEIN ha costruito il suo impero sulla velocità e sui volumi. Ma in Europa, velocità e volume non ti danno il diritto di ignorare le regole sulla privacy.
SHEIN ha modificato il suo sito durante il procedimento, ma il danno – e la multa – rimangono.
La domanda per ogni azienda è semplice: meglio investire in compliance seria ora, o pagare sanzioni milionarie dopo?
Perché sì, possono sembrare “solo cookie” ma 150 milioni di euro dimostrano che non è affatto così.
Hai notato comportamenti simili su altri siti? La tua azienda ha verificato la conformità dei meccanismi di consenso? In FinData aiutiamo le aziende a trasformare la compliance da rischio legale a vantaggio competitivo. Vai alla pagina specifica: Cookie Management System
#GDPR #Privacy #DataProtection #SHEIN #CNIL #Cookies #Compliance #DigitalRights