Google. Provvedimento prescrittivo dal Garante Privacy italiano

Google dovrà sottoporre al Garante Privacy italiano, entro il 30 settembre 2014, un protocollo di verifica dei propri adempimenti privacy, che una volta sottoscritto diverrà vincolante.

Per chi vuole approfondire tematiche Privacy il mio prossimo Seminario a Milano http://monicagobbato.blogspot.com/2014/07/seminario-privacy-8-settembre-milano.html

In premessa del Provvedimento il Garante chiarisce (direi a coloro che ritengono ANCORA che Google non sia Titolare dei trattamenti) che Google offre ai propri utenti numerosissime funzionalità (e quindi trattamenti ai sensi di legge) che variano dal motore di ricerca sul web (Google search) alla posta elettronica (Gmail), dalle mappe online (Street View su Google Maps) alla commercializzazione di spazi pubblicitari (DoubleClick), dal browser (Google Chrome) al social network (Google +), dalla gestione di pagamenti online (Google Wallet) al negozio virtuale per l’acquisto di applicazioni, musica, film, libri e riviste (Google Play), dalla ricerca, visualizzazione e diffusione di filmati (YouTube) a servizi di immagazzinamento, condivisione e revisione di testi (Google Docs e Google Drive), da software per la visualizzazione di immagini satellitari (Google Earth) o per la gestione di agende e calendari (Google calendar) a funzionalità per il controllo e la gestione dei profili dell’utente (Google Dashboard), a strumenti di analisi statistica e di monitoraggio dei visitatori di siti web (Google Analytics) e così via.

Si tratta (continua l’Autorità), nella quasi totalità dei casi, di funzionalità offerte a titolo gratuito agli utenti finali, dal momento che il modello imprenditoriale della società si fonda innanzitutto sugli introiti ad essa derivanti dalla pubblicità.

Gli utenti di tali funzionalità possono essere distinti a seconda che dispongano di un account creato a seguito di una procedura di registrazione per l’accesso “autenticato” ai servizi di Google (cd. utenti autenticati), ovvero che utilizzino le medesime funzionalità in assenza di previa autenticazione (cd. utenti non autenticati).

Esiste poi un’ulteriore categoria di soggetti (cd. passive users) i cui dati, pur non utilizzando tali soggetti direttamente le funzionalità di Google, possono comunque essere acquisiti dalla società, come nel caso in cui navighino all’interno di siti di terze parti ove vengono installati, tra gli altri, anche i cookie di Google.
Si è conclusa con detto provvedimento prescrittivo l’istruttoria avviata lo scorso anno dal Garante italiano a seguito dei cambiamenti apportati dalla società alla propria privacy policy. Si tratta del primo provvedimento in Europa che – nell’ambito di un’azione coordinata con le altre Autorità di protezione dei dati europee ed a seguito della pronuncia della Corte di Giustizia europea sul diritto all’oblio – non si limita a richiamare al rispetto dei principi della disciplina privacy, ma indica nel concreto le possibili misure che Google deve adottare per assicurare la conformità alla legge.

La società ha infatti unificato in un unico documento le diverse regole di gestione dei dati relative alle numerosissime funzionalità offerte – dalla posta elettronica (Gmail), al social network (GooglePlus), alla gestione dei pagamenti on line (Google Wallet), alla diffusione di filmati (YouTube), alle mappe on line (Street View), all’analisi statistica (Google Analytics) – procedendo pertanto all’integrazione e interoperabilità anche dei diversi prodotti e dunque all’incrocio dei dati degli utenti relativi all’utilizzo di più servizi.

Nel corso dell’istruttoria, caratterizzata anche da diverse audizioni con i suoi rappresentanti, Google ha adottato una serie di misure per rendere la propria privacy policy più conforme alle norme.

Il Garante ha tuttavia rilevato il permanere di diversi profili critici relativi alla inadeguata informativa agli utenti, alla mancata richiesta di consenso per finalità di profilazione, agli incerti tempi di conservazione dei dati e ha dettato una serie di regole, che si applicano all’insieme dei servizi offerti.

Informativa
L’Autorità ha prescritto a Google l’adozione di un sistema di informativa strutturato su più livelli, in modo da fornire in un primo livello generale le informazioni più rilevanti per l’utenza: l’indicazione dei trattamenti e dei dati oggetto di trattamento (es. localizzazione terminali, indirizzi IP etc.), dell’indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc.; in un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi offerti.
Ma soprattutto Google dovrà spiegare chiaramente, nell’informativa generale, che i dati personali degli utenti sono monitorati e utilizzati, tra l’altro, a fini di profilazione per pubblicità mirata e che essi vengono raccolti anche con tecniche più sofisticate che non i semplici cookie, come ad esempio il fingerprinting. Quest’ultimo è un sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell’utente e, a differenza dei cookie che vengono istallati sul pc o nello smartphone, le archivia direttamente presso i server della società.

Consenso
Per utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati – sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie e fingerprinting – Google dovrà acquisire il previo consenso degli utenti e non potrà più limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano, fino ad oggi, alcun potere decisionale agli interessati sul trattamento dei propri dati personali. In proposito, l’Autorità ha anche indicato una modalità innovativa e di facile impiego che, senza gravare eccessivamente sulla navigazione dell’utente, gli consenta di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati.

Conservazione
Google dovrà definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti “attivi”, sia successivamente archiviati su sistemi di “back up”. Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (e sono quindi facilmente identificabili) siano soddisfatte al massimo entro due mesi se i dati sono conservati sui sistemi “attivi” ed entro sei mesi se i dati sono archiviati sui sistemi di back up. Per quanto riguarda, invece, le richieste di cancellazione che interessano l’utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell’Unione europea sul diritto all’oblio.