In 3 appuntamenti, a partire da oggi, verrà approfondito il provvedimento prescrittivo adottato dal Garante Privacy nei confronti del colosso Google. Inquadramento del provvedimento del Garante, misure obbligatorie prescritte, contenuto dell’informativa, acquisizione del consenso degli utenti per i trattamenti di profilazione, politiche di data retention e data deletion, sono questi gli argomenti cardine affrontati
Inquadramento del Provvedimento prescrittivo del Garante. Ancora non è sopito il dibattito sulla recente sentenza della Corte di Giustizia UE sul c.d. diritto all’oblio nel caso Google che ecco che il gigante di Mountain View che sta attraversando un delicato momento per i vari fronti aperti in Europa, dalla fiscalità - con lo spinoso dibattito sulla web tax o “ Google tax ” - al copyright, ai sospetti di abuso di posizione dominante che hanno di recente risvegliato l’Antitrust UE è nuovamente al centro dell’attenzione a seguito del recente provvedimento dell’Autorità per la protezione dei dati personali italiana che - prima fra i Garanti privacy europei - ha emanato una serie di vincolanti prescrizioni sul trattamento dei dati personali degli utenti nell’ambito della fornitura e fruizione dei vari servizi Google. 70 diverse policies in un documento unico. Con il provvedimento numero 353 del 10 Luglio 2014 intitolato Provvedimento prescrittivo nei confronti di Google Inc. sulla conformità al Codice dei trattamenti di dati personali effettuati ai sensi della nuova privacy policy di seguito, per brevità, il “Provvedimento” – il Garante ha preso spunto dall’esame di conformità al Codice della privacy italiano della nuova privacy policy di Google che dal 1° Marzo 2012 ha unificato in un solo documento le circa 70 diverse policies fino ad allora in vigore per prescrivere una serie di regole a tutela degli utenti italiani fruitori di servizi Google. Tale Provvedimento si può considerare l’esito italiano di una istruttoria nazionale avviata dal Garante il 2 aprile 2013 al pari di almeno altre 5 autorità europee per la protezione dei dati comunque collegata ad una istruttoria europea condotta tramite il Garante privacy francese a ciò delegato, la CNIL dalle Autorità di protezione dei dati nazionali riunite nel cosiddetto Working Party previsto dall’articolo 29 Direttiva 46/95 sulla protezione dei dati personali e tesa ad un controllo sulla liceità e correttezza dei trattamenti effettuati dalla Google ai sensi della nuova privacy policy. L’esame ha avuto per oggetto la conformità alla normativa italiana sulla protezione dei dati di cui al Codice della nuova privacy policy di Google con riferimento ai trattamenti degli utenti svolti nell’ambito della fornitura della molteplicità di servizi e funzionalità offerti da Google, e che variano dal motore di ricerca sul web Google search alla posta elettronica Gmail , dalla commercializzazione di spazi pubblicitari DoubleClick al browser Google Chrome , dal social network Google+ alla gestione di pagamenti online Google Wallet , dal negozio virtuale per l'acquisto di applicazioni, musica, film, libri e riviste Google Play alla ricerca, visualizzazione e diffusione di filmati YouTube dai servizi di immagazzinamento, condivisione e revisione di testi Google Docs e Google Drive al software per la visualizzazione di immagini satellitari Google Earth dalla gestione di agende e calendari Google calendar a funzionalità per il controllo e la gestione dei profili dell'utente Google Dashboard , da strumenti di analisi statistica e di monitoraggio dei visitatori di siti web Google Analytics fino alle mappe online con il servizio Street View su Google Maps. Su quest’ultimo servizio – tra l’altro – è opportuno ricordare che proprio di recente – il 18 Dicembre 2013 – il Garante italiano ha comminato una sanzione a Google di circa un milione di Euro per inidonea informativa la sanzione ha riguardato il passato poiché ad oggi il Garante ritiene l’informativa del servizio Street View idonea una sanzione assai elevata se raffrontata ad analoghe sanzioni applicate a Google per il servizio Street View per motivi ben più gravi, come ad esempio la sottrazione di dati sull'accesso alle connessioni wi-fi non protette degli utenti in Francia la sanzione fu di 100 mila euro, in Germania di 145 mila euro, solo 25 mila negli Stati Uniti in totale, per quella vicenda, Google ha pagato in vari paesi circa 7 milioni di dollari . Ancora, con riferimento invece al servizio YouTube, è interessante notare come nel provvedimento il Garante ha sottolineato che Google omette di informare con chiarezza gli utenti circa la propria identità di titolare del trattamento dei dati personali raccolti anche attraverso l'uso di YouTube e successivamente incrociati con quelli relativi ad altre funzionalità ed ha prescritto che tale indicazione sia espressa in modo visibile sia nella privacy policy , sia nelle pagine di fruizione di YouTube. Diverse criticità A seguito della istruttoria, il Garante italiano ha ravvisato le criticità di seguito elencate, per risolvere le quali ha poi imposto a Google Inc. l’adozione delle conseguenti misure organizzative e tecniche - l'informativa resa da Google agli interessati è inidonea e non conforme all’articolo 13 del Codice della privacy, sia per le modalità con le quali viene resa agli utenti, sia per i contenuti informativi sia per l’insufficiente esplicitazione delle diverse finalità e modalità del trattamento dei dati personali degli utenti - Google omette poi di richiedere ai sensi degli articolo 23 e 122 del Codice lo specifico, separato e consapevole consenso degli interessati per finalità di profilazione e successivo invio di comunicazioni commerciali mirate o basate sulla analisi ed il monitoraggio dei comportamenti degli utenti sul web sul punto il Garante ha rilevato come la profilazione avvenga mediante a trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail b incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell'utente c utilizzo di cookie e altri identificatori credenziali di autenticazione, fingerprinting etc. , necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell'uso delle funzionalità offerte pattern - Google non ha adottato idonee procedure per consentire agli utenti di esercitare i propri diritti privacy, come ad esempio il diritto di opporsi al trattamento - Google non rispetta i principi in materia di tempi massimi di conservazione dei dati articolo 11 del Codice . Gli “interessati” presi in considerazione dal Provvedimento a fini della predisposizione delle misure a loro tutela sono ascrivibili poi a 3 categorie - gli utenti che dispongono di un account Google creato a seguito di una procedura di registrazione per l'accesso “autenticato” ai servizi di Google cd. utenti autenticati - gli utenti che utilizzano le medesime funzionalità in assenza di previa autenticazione cd. utenti non autenticati - gli utenti i cui dati, pur non utilizzando tali soggetti direttamente le funzionalità di Google, possono comunque essere acquisiti dalla società, come nel caso in cui navighino all'interno di siti di terze parti ove vengono installati, tra gli altri anche i cookie di Google cd. passive users .