CNIL: Google è la prima azienda a violare il Regolamento generale sulla protezione dei dati personali (GDPR n. 2016/679).

Autore: Avv. Teresa Aloi

 

La Commissione nazionale francese dell’informatica e delle libertà (CNIL) il 21 gennaio 2019 ha ritenuto di sanzionare Google con una maxi multa da 50 milioni di euro.

Google è il primo gigante della Silicon Valley a subire una  sanzione perché ha violato le norme del Regolamento sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione degli stessi, entrato in vigore in tutta Europa il 25 maggio 2018. La sanzione è conseguenza di due denunce presentate dall’associazione di promozione dei diritti digitali francese “La Quadrature Du Net” (LQDN) e dall’organizzazione austriaca di attivisti “None Of Your Business” (NOYB).

Nel mese di maggio 2018 questi soggetti avevano segnalato all’Autorità Garante francese le probabili violazioni commesse da Google e dal sistema operativo Android proprio a poca distanza dal giorno in cui era entrato pienamente in servizio il Regolamento generale sulla protezione dei dati (GDPR). I due gruppi sostenevano che Google non avesse il diritto legale di elaborare alcuni dati personali dei propri utenti, in particolare riguardo alla pubblicità.

Il CNIL, con il provvedimento del gennaio scorso, ha ritenuto che Google non avrebbe rispettato le disposizioni del Regolamento in ordine alla procedura presentata agli utenti in fase di attivazione di un nuovo dispositivo Android, mancando di trasparenza, non richiedendo il prescritto consenso agli utenti. Se un utente, infatti, volesse approfondire le modalità con cui i suoi dati sono gestiti e le finalità del loro impiego dovrebbe seguire una serie di passaggi (5/6 azioni per avere accesso alle informazioni richieste) piuttosto intricati. L’Autorità francese sottolinea che tali informazioni sono disseminate in più documenti senza, quindi, un’unica informativa chiara per l’utente.

All’utente sono richieste, pertanto, troppe azioni per conoscere come vengono utilizzate le informazioni raccolte dalla multinazionale al fine di personalizzare alcuni servizi, tra cui anche il tracciamento Gps.

In secondo luogo, il CNIL ha rilevato che la società sprona gli utenti ad effettuare il login sul dispositivo Android con un account Google, spiegando che l’esperienza d’uso non sarebbe all’altezza delle aspettative evitando di usare tale account. La procedura di configurazione iniziale dello smartphone o del tablet dovrebbe, invece, essere del tutto separata da quella necessaria alla creazione dell’account.

L’Autorità Garante francese ha contestato anche la scarsità di informazioni rispetto alla configurazione delle preferenze che hanno a che fare con il tema della privacy e del trattamento dei dati; ad esempio, quando Google chiede se si desidera attivare messaggi pubblicitari personalizzati non spiega di riferirsi a molteplici servizi diversi (YouTube, Google Maps, Gmail, Google Play, ecc.) e non soltanto al singolo smatphone Android che si sta impostando, perseguendo un “legittimo interesse commerciale” ma non informando l’utente che alcune condizioni da accettare non sono necessarie al funzionamento del dispositivo stesso.

Per questi motivi, compreso l’utilizzo di una formula per il conferimento del consenso molto ampia, vietata secondo il GDPR, l’Autorità Garante francese ha deciso di irrogare a Google una sanzione amministrativa pari a 50 milioni di euro.

La multa ha un significato simbolico più che economico; risulta, infatti, irrisoria rispetto alla massima ammenda possibile prevista dal Regolamento, che corrisponde al 4% del fatturato annuale globale dell’azienda ritenuta colpevole. Le entrate di Google dichiarate nell’aprile 2018 ammontano a 31,15 miliardi di dollari.

Non si è fatta attendere la reazione di Google che ha annunciato l’intenzione di impugnare il provvedimento del CNIL e ha sottolineato come l’azienda è sempre impegnata a compiere scelte nell’ottica della massima trasparenza e chiarezza oltre che nel rispetto di quanto previsto dal GDPR, tenendo conto della necessità degli utenti di prestare il proprio consenso al trattamento dei dati personali nel modo più trasparente e semplice possibile.

Google, inoltre, si è detta preoccupata per l’impatto che il provvedimento potrebbe avere su editori, creatori di contenuti originali e aziende tecnologiche, in Europa e nel resto del mondo. Nella redazione delle informative e dei moduli per la manifestazione del consenso va posta la massima attenzione nella descrizione, in modo semplice e completo nello stesso tempo, dei tipi di trattamento cui i dati raccolti verranno sottoposti. Descrizioni eccessivamente generiche o tecniche non sono, infatti, conformi al Regolamento europeo sulla protezione dei dati personali.

Il provvedimento sanzionatorio dell’Autorità francese, in particolare, avrà ripercussioni in tutta Europa in quanto ribadisce la natura sovranazionale del GDPR e, inoltre, dimostra come il Regolamento sia uno strumento straordinariamente efficace per la governance del digitale.

Tutte le aziende italiane che trattano dati personali di utenti residenti nei diversi Stati membri (per esempio, fornitori di servizi, negozi on line, imprese che hanno scambi commerciali rilevanti con altri Paesi) devono prestare la massima attenzione alle disposizioni previste dal GDPR.

Il caso CNIL/Google insegna, infatti, che eventuali violazioni del Regolamento europeo in Italia non verranno valutate solo dal nostro Garante della privacy. I cittadini stranieri interessati da un trattamento dati effettuato da un’impresa italiana potrebbero richiedere l’intervento dell’Autorità garante del proprio Paese oppure dei giudici nazionali per una richiesta di risarcimento danni.

Google aveva sollevato la questione di incompetenza della CNIL nel procedimento sanzionatorio, ritenendo che la valutazione sulle violazioni del GDPR fosse, invece, di competenza dell’Autorità irlandese, Paese nel quale Google ha posto la sua sede europea. Il GDPR, però, prevede specifici strumenti che evitano che si creino i cosiddetti “forum shopping” attraverso i quali le grandi aziende possono stabilire solo da un punto di vista formale e utilitaristico il proprio “stabilimento principale”. L’Autorità francese ha potuto sanzionare Google sul presupposto che, all’epoca dei reclami proposti alla CNIL per violazione del GDPR, la sua sede a Dublino non era ancora qualificabile come “stabilimento principale” (di conseguenza l’Autorità irlandese non fosse autorità-capofila competente a decidere sulle violazioni indicate nei reclami) sia per mancanza di una formalizzazione della sede europea di Google quale “rappresentante del titolare”, sia perché priva dell’autonomia decisionale su finalità e mezzi del trattamento dei dati personali acquisiti in funzione dell’uso dei sistemi Android.

Il Garante italiano per la privacy ha commentato il provvedimento dell’Autorità francese nel senso che “da oggi sarà necessario potenziare l’attività di cooperazione tra le Autorità di protezione dei dati degli Stati membri, al fine di coordinarne l’azione. Solo così si potrà consentire che, sulla protezione dei dati, l’Europa possa davvero parlare ad una voce sola, anche e soprattutto a soggetti situati oltreoceano. La particolare gravità delle sanzioni previste dal GDPR ed applicate, proporzionale alla capacità economica delle aziende, svolgerà un’importante funzione deterrente anche rispetto ai giganti della rete, conformandone l’azione nel segno della responsabilità e del rispetto dei diritti degli utenti”.

Altri colossi come Apple, Facebook, Amazon e Microsoft, anch’essi citati nel ricorso dall’associazione LA QUADRATURE DU NET insieme a Google, dovrebbero preoccuparsi perché è facile presumere che anch’essi saranno sottoposti a controlli da parte dei diversi Garanti.

D’ora in poi, sia il coordinamento tra le diverse Autorità di controllo, sia l’attività del Comitato europeo per la protezione dei dati (European Data Protection Board, già noto come Article 29 WP) svolgerà un ruolo ancora più importante nel dare omogeneità all’applicazione del GDPR nell’Unione europea.

 

Avv. Teresa Aloi, Foro di Catanzaro.

 

 

 

 ISSN 2038-5161

Premio del Libro Europeo "Aldo Manuzio"