Il 22 gennaio 2019 è il giorno in cui Google attiva una serie di importanti cambiamenti annunciati a dicembre per meglio adeguarsi al novellato quadro normativo europeo sulla protezione dei dati personali.
La principale novità è che Google Ireland Limited – da tempo base europea del colosso californiano – assumerà in luogo di Google LLC la veste di titolare del trattamento per quanto concerne le attività sui dati personali degli interessati in ambito UE (più precisamente, Spazio Economico Europeo e Svizzera) con tutto ciò che ne consegue a livello di obblighi imposti dal GDPR. Sarà, dunque, la società con sede a Dublino l’entità che risponderà in termini di responsabilità sul rispetto della normativa e l’interlocutore che dovrà rispondere alle richieste degli utenti e delle autorità del vecchio continente.
Conseguentemente, da oggi cambiano formalmente le condizioni e i termini dei servizi di piattaforme come il motore di ricerca, Youtube, Gmail, Google Drive, Maps e Google Play. L’utente – al di là dei relativi avvisi sulle modifiche intervenute – non percepirà particolari stravolgimenti, specie con per quanto riguarda le impostazioni sulla privacy a disposizione dell’utente, la modalità di trattamento dei dati e le finalità del trattamento.
Le modifiche intervengono – del tutto casualmente – all’indomani della decisione (qui il provvedimento integrale in francese, qui un comunicato riassuntivo in inglese dell’autorità) con cui la Commission Nationale de l’Informatique et des Libertés (CNIL) ha condannato Google LLC ad una sanzione da 50 milioni di euro per violazioni del GDPR con riferimento al sistema Android per dispositivi mobili.
A seguito di due denunce – praticamente contestuali a ridosso dell’entrata in forza del GDPR – presentate il 25 e il 28 maggio 2018 dall’organizzazione None of Your Business (NOYB, fondata dal nemico giurato dei giganti del web, il giovane attivista austriaco Max Schrems) e dall’associazione di promozione dei diritti digitali La Quadrature du Net (LQDN), l’autorità francese ha appurato due importanti violazioni in relazione ai trattamenti di dati personali richiesti agli utenti per la configurazione del proprio account Google su dispositivi Android.
Il CNIL – pur mantenendo informati le data protection authority degli altri stati membri – ha ritenuto di poter intervenire autonomamente e direttamente sulla questione. In vero, GDPR prevede – secondo meccanismo “one-stop-shop” di cui all’art. 56 – che vi sia un unico interlocutore europeo di privacy (autorità capofila) per le società operanti in più nazioni o che trattano dati di interessati residenti in più nazioni. L’autorità capofila dovrebbe essere quella del paese europeo ove risiede lo stabilimento europeo principale della società (in questo caso, solo apparentemente l’Irlanda). Ma al momento in cui i reclami furono sottoposti al CNIL, l’assetto prescelto da Google LLC non permetteva – anche ad avviso dell’Authority irlandese – di considerare il quartier generale di Dublino come “stabilimento principale” europeo e non c’erano indicatori che permettessero di identificarlo quale soggetto dotato di potere decisionale sulle operazioni di trattamento riconnesse all’utilizzo del sistema operativo Android e alla sottoscrizione dei servizi proposti da Google LLC. Per questi motivi, il CNIL ha esaminato la questione autonomamente rilevando quanto segue.
Il CNIL ha, in primo luogo, contestato la violazione dell’obblighi di trasparenza e informazione rilevando come Google non presenti all’utenza le notizie sulle modalità del trattamento in maniera organica, chiara e facilmente accessibile. Alcune informazioni (quali le finalità del trattamento, la data retention, o le tipologie di dati raccolti per la pubblicità mirata) sono disseminate in diversi documenti costringendo l’utente che desideri ottenere un quadro completo ad una navigazione complessa che richiede anche 5-6 azioni (tra link e bottoni) per raggiungere le informazioni utili.
La prima contestazione non si limita a giudicare frammentaria l’attività informativa. A giudizio della Commissione, infatti, le informazioni rese non sempre sono chiare ed esaustive. Gli utenti non sono messi in condizione di comprendere a fondo la portata dei trattamenti posti in essere da Google; trattamenti che possono essere massivi ed intrusivi a fronte del novero di servizi offerti (oltre 20) e del quantitativo e della natura dei dati trattati e incrociati. In un contesto così vasto, le finalità dei diversi trattamenti appaiono descritte in maniera eccessivamente generica e vaga; e in riferimento ad alcuni dati non è fornita alcuna indicazione su quale sia il periodo di conservazione.
La seconda contestazione concerne le basi giuridiche che dovrebbero render leciti i trattamenti finalizzati alla personalizzazione dei messaggi pubblicitari. In virtù delle policy di Big G, questi trattamenti si fondano sul consenso dell’interessato. Un consenso che a parere del CNIL non è validamente ottenuto per problemi non dissimili a quelli citati a fondamento della prima contestazione.
Innanzitutto, il consenso non appare sufficientemente informato. Ancora una volta, si rileva la frammentarietà dell’informazione e la difficoltà per l’interessato di comprendere in maniera agevole e completa la portata del trattamento. Ad esempio, nella sezione “Ads personalization” non è possibile conoscere la pluralità di servizi, siti e applicazioni (Google Search, Youtube, Google Home, Google Maps, Playstore, Google Pictures, etc.) coinvolti nelle operazioni di trattamento e il novero di dati trattati e combinati.
Oltre a ciò, il CNIL rileva che il consenso raccolto per queste finalità non ha i caratteri di specificità e non ambiguità richiesti dal GDPR. Quando un account viene creato, l’utente può modificare alcune impostazioni tramite il pulsante “More Options”, ma questo non significa che il dettato del Regolamento sia rispettato. Al di là del fatto che le opzioni siano azionabili in un menu secondario (pratica poco corretta, secondo la Commissione francese), appare una palese violazione la circostanza che i check-box di questo menu siano pre-flaggati disponendo anticipatamente una serie di opt-in per conto dell’utente (che, a questo punto, laddove contrario alla profilazione pubblicitaria dovrà procedere a deselezione delle caselle). Un’evenienza contraria al GDPR che impone che il consenso sia reso dall’interessato e tramite un’azione positiva e non ambigua.
Infine il CNIL contesta che al termine delle procedure per la configurazione e creazione di un account Google su dispositivi Android, l’utente debba rilasciare – previa accettazione dei Termini del Servizio – un unico consenso per il trattamento dei propri dati, per come descritti nella Privacy Policy e nella varia documentazione sottoposta in fase di configurazione dei diversi servizi e relativi settaggi. Una soluzione che non soddisfa il GDPR che impone la raccolta di consensi specifici e distinti per ciascuna attività di trattamento.
Alla luce delle summenzionate contestazioni, il CNIL ha ritenuto di comminare a Google LLC una sanzione da 50 milioni di euro per violazione del GDPR e della correlata normativa francese, la LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Una sanzione pecuniaria elevata benché lontana dai massimali previsti dal GDPR che prevedono multe fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente (un 4% che nel caso del gigante di Mountain View sarebbe risultato ben superiore a quanto comminato).