Garante per la protezione
    dei dati personali


PIU' TUTELE PER GLI UTENTIDI GOOGLE IN ITALIA. ARRIVANO I PALETTI DEL GARANTE PRIVACY


Mountain View dovrà assicurare maggiore trasparenzanel trattamento dei dati e garanzie per chi utilizza i suoi servizi



Gli utenti che useranno i servizi o il motore di ricerca di Googlein Italia saranno più tutelati. Il Garante privacy ha stabilito che il colossodi Mountain View non potrà utilizzare i loro dati a fini di profilazione se nonne avrà prima ottenuto il consenso e dovrà dichiarare esplicitamente disvolgere questa attività a fini commerciali.


Si è conclusa con un provvedimento prescrittivo l'istruttoriaavviata lo scorso anno dal Garante italiano a seguito dei cambiamenti apportatidalla società alla propria privacy policy. Si tratta del primo provvedimento inEuropa che - nell'ambito di un'azione coordinata con le altre Autorità diprotezione dei dati europee ed a seguito della pronuncia della Corte diGiustizia europea sul diritto all'oblio - non si limita a richiamare alrispetto dei principi della disciplina privacy, ma indica nel concreto lepossibili misure che Google deve adottare per assicurare la conformità allalegge. La società ha infatti unificato in un unico documento le diverse regoledi gestione dei dati relative alle numerosissime funzionalità offerte - dallaposta elettronica (Gmail), al social network (GooglePlus), alla gestione deipagamenti on line (Google Wallet), alla diffusione di filmati (YouTube), allemappe on line (Street View), all'analisi statistica (Google Analytics) -procedendo pertanto all'integrazione e interoperabilità anche dei diversiprodotti e dunque all'incrocio dei dati degli utenti relativi all'utilizzo dipiù servizi.
Nel corso dell'istruttoria, caratterizzata anche da diverseaudizioni con i suoi rappresentanti, Google ha adottato una serie di misure perrendere la propria privacy policy più conforme alle norme. Il Garante hatuttavia rilevato il permanere di diversi profili critici relativi allainadeguata informativa agli utenti, alla mancata richiesta di consenso perfinalità di profilazione, agli incerti tempi di conservazione dei dati e hadettato una serie di regole, che si applicano all'insieme dei servizi offerti.

Informativa


L'Autorità ha prescritto a Google l'adozione di un sistema diinformativa strutturato su più livelli, in modo da fornire in un primo livellogenerale le informazioni più rilevanti per l'utenza: l'indicazione deitrattamenti e dei dati oggetto di trattamento (es. localizzazione terminali,indirizzi IP etc.), dell'indirizzo presso il quale rivolgersi in linguaitaliana per esercitare i propri diritti etc.; in un secondo livello, più didettaglio, le specifiche informative relative ai singoli servizi offerti.
Masoprattutto Google dovrà spiegare chiaramente, nell'informativa generale, che idati personali degli utenti sono monitorati e utilizzati, tra l'altro, a finidi profilazione per pubblicità mirata e che essi vengono raccolti anche contecniche più sofisticate che non i semplici cookie, come ad esempio ilfingerprinting. Quest'ultimo è un sistema che raccoglie informazioni sullemodalità di utilizzo del terminale da parte dell'utente e, a differenza deicookie che vengono istallati sul pc o nello smartphone, le archiviadirettamente presso i server della società.



Consenso

Per utilizzare a fini di profilazione e pubblicità comportamentalepersonalizzata i dati degli interessati - sia quelli relativi alle mail siaquelli raccolti incrociando le informazioni tra servizi diversi o utilizzandocookie e fingerprinting - Google dovrà acquisire il previo consenso degliutenti e non potrà più limitarsi a considerare il semplice utilizzo delservizio come accettazione incondizionata di regole che non lasciavano, fino adoggi, alcun potere decisionale agli interessati sul trattamento dei propri datipersonali. In proposito, l'Autorità ha anche indicato una modalità innovativa edi facile impiego che, senza gravare eccessivamente sulla navigazionedell'utente, gli consenta di scegliere in modo attivo e consapevole se fornireo meno il proprio consenso alla profilazione, anche con riguardo ai singoliservizi utilizzati.

Conservazione

Google dovrà definiretempi certi di conservazione dei dati sulla base delle norme del Codice privacy,sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti"attivi", sia successivamente archiviati su sistemi di "backup". Per quanto riguarda la cancellazione di dati personali, il Garante haimposto a Google che richieste provenienti dagli utenti che dispongono di unaccount (e sono quindi facilmente identificabili) siano soddisfatte al massimoentro due mesi se i dati sono conservati sui sistemi "attivi" edentro sei mesi se i dati sono archiviati sui sistemi di back up. Per quantoriguarda, invece, le richieste di cancellazione che interessano l'utilizzo delmotore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicatividella sentenza della Corte di giustizia dell'Unione europea sul dirittoall'oblio.



Google avrà 18 mesiper adeguarsi alle prescrizioni del Garante. In quest'arco temporale, l'Autoritàmonitorerà l'implementazione delle misure prescritte. La società dovrà infattisottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica,che una volta sottoscritto diverrà vincolante, sulla base del quale verrannodisciplinati tempi e modalità per l'attività di controllo che l'Autoritàsvolgerà nei confronti di Mountain View.




 

Roma, 21 luglio 2014