Si chiude il dossier aperto lo scorso anno dal Garante Privacy su Google, in merito alle nuore regole sulla riservatezza dei dati degli utenti adottate dall’azienda americana nel marzo 2012.
Con una nota, l’Autorità italiana presieduta da Antonello Soro ha informato d’aver fissato maggiori garanzie per gli italiani che usano i servizi o il motore di ricerca di Google. Provvedimento che arriva dopo la multa da 1 milione di euro dell’aprile scorso per il caso Street View.
Il Garante ha stabilito che la web company americana non potrà utilizzare i dati degli utenti italiani a fini di profilazione se non ne avrà prima ottenuto il consenso e dovrà dichiarare esplicitamente di svolgere questa attività a fini commerciali.
Google avrà 18 mesi per adeguarsi alle prescrizioni del Garante. In quest’arco temporale, l’Autorità monitorerà l’implementazione delle misure prescritte. La società dovrà infatti sottoporre all’Autorità, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverrà vincolante, sulla base del quale verranno disciplinati tempi e modalità per l’attività di controllo che il Garante svolgerà nei confronti di Mountain View.
“Si tratta – sottolinea il Garante – del primo provvedimento in Europa, che – nell’ambito di un’azione coordinata con le altre Autorità di protezione dei dati europee ed a seguito della pronuncia della Corte di Giustizia europea sul diritto all’oblio (Scheda) – non si limita a richiamare al rispetto dei principi della disciplina privacy, ma indica nel concreto le possibili misure che Google deve adottare per assicurare la conformità alla legge”.
Pronta la replica del gruppo, che in una nota dichiara: “Abbiamo collaborato costantemente con il Garante nel corso di questa vicenda per spiegare le nostre privacy policy e come ci consentono di creare servizi più semplici ed efficaci e continueremo a collaborare in futuro. Analizzeremo il provvedimento del Garante attentamente per definire i prossimi passi.”
Due anni fa Google ha modificato la sua policy sulla privacy: una sessantina di regole di utilizzo sono state unificate in una sola – dalla posta elettronica (Gmail), al social network (GooglePlus), alla gestione dei pagamenti on line (Google Wallet), alla diffusione di filmati (YouTube), alle mappe on line (Street View), all’analisi statistica (Google Analytics) – raggruppando le informazioni di numerosi servizi, che un tempo erano separati, anche con lo scopo di poter indirizzare messaggi pubblicitari sempre più mirati. La società conta oltre 425 milioni di utenti attivi su Gmail e più di 500 milioni di profili su Google+.
Regole che immediatamente hanno sollevato la protesta dei Garanti europei, che hanno aperto un’inchiesta approfondita, gestita dal CNIL francese, fornendo alla società indicazioni su come modificare la policy e allinearla alle disposizioni Ue sul data protection, ma l’azienda era sempre rimasta della propria posizione. Google aveva dichiarato a Key4biz: “La nostra normativa sulla privacy rispetta la legge europea e ci permette di creare servizi più semplici e più efficaci. Siamo stati costantemente in contatto con le diverse Autorità Garanti della Privacy coinvolte nel corso di questa vicenda e continueremo a esserlo in futuro”.
A settembre il CNIL aveva costatato che il gruppo americano non aveva “apportato le modifiche richieste” e a gennaio il presidente Isabelle Falque-Pierrotin aveva multato il motore di ricerca.
Lo scorso anno il Garante italiano Antonello Soro ha deciso di richiedere a Mountain View maggiori e più precisi dettagli su aspetti specifici delle modalità di trattamento dei dati degli utenti.
Nel corso dell’istruttoria, caratterizzata anche da diverse audizioni con i suoi rappresentanti, il Garante spiega oggi che Google ha adottato una serie di misure per rendere la propria privacy policy più conforme alle norme. L’Autorità ha tuttavia rilevato il permanere di diversi profili critici relativi alla inadeguata informativa agli utenti, alla mancata richiesta di consenso per finalità di profilazione, agli incerti tempi di conservazione dei dati e ha dettato una serie di regole, che si applicano all’insieme dei servizi offerti.
Informativa
L’Autorità ha prescritto a Google l’adozione di un sistema di informativa strutturato su più livelli, in modo da fornire in un primo livello generale le informazioni più rilevanti per l’utenza: l’indicazione dei trattamenti e dei dati oggetto di trattamento (es. localizzazione terminali, indirizzi IP etc.), dell’indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc.; in un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi offerti.
Ma soprattutto Google dovrà spiegare chiaramente, nell’informativa generale, che i dati personali degli utenti sono monitorati e utilizzati, tra l’altro, a fini di profilazione per pubblicità mirata e che essi vengono raccolti anche con tecniche più sofisticate che non i semplici cookie, come ad esempio il fingerprinting. Quest’ultimo è un sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell’utente e, a differenza dei cookie che vengono istallati sul pc o nello smartphone, le archivia direttamente presso i server della società.
Consenso
Per utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati – sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie e fingerprinting – Google dovrà acquisire il previo consenso degli utenti e non potrà più limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano, fino ad oggi, alcun potere decisionale agli interessati sul trattamento dei propri dati personali. In proposito, l’Autorità ha anche indicato una modalità innovativa e di facile impiego che, senza gravare eccessivamente sulla navigazione dell’utente, gli consenta di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati.
Conservazione
Google dovrà definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti “attivi”, sia successivamente archiviati su sistemi di “back up”. Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (e sono quindi facilmente identificabili) siano soddisfatte al massimo entro due mesi se i dati sono conservati sui sistemi “attivi” ed entro sei mesi se i dati sono archiviati sui sistemi di back up. Per quanto riguarda, invece, le richieste di cancellazione che interessano l’utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell’Unione europea sul diritto all’oblio.
Sulla questione anche gli altri Garanti Ue stanno agendo. In particolare lo scorso anno sei Paesi – oltre all’Italia anche Francia, Germania, Paesi Bassi, Regno Unito e Spagna – hanno deciso di passare all’azione, ognuno secondo le procedure in vigore in ciascun Paese.
Il 19 dicembre 2013 il Garante spagnolo ha sanzionato Google per 900 mila euro per ‘gravi violazioni’ della privacy degli utenti internet.