Il blog di E-Lex

Google: nuovi obblighi dal Garante Privacy

Con un provvedimento prescrittivo dello scorso 10 luglio si è conclusa l’istruttoria – avviata il 2 aprile 2013 dal Garante per la protezione dei dati personali italiano – volta al controllo della liceità e della correttezza dei trattamenti dei dati personali operati da Google Inc. a seguito della nuova privacy policy adottata dalla società.

Nel gennaio 2012 Google aveva, infatti, annunciato che dal successivo 1° marzo avrebbe unificato in un unico documento le regole di gestione dei dati relative alla fornitura dei diversi servizi – dalla posta elettronica (Gmail) alle mappe on line (Google Street View), dalla gestione dei pagamenti (Google Wallet) al negozio virtuale per l’acquisto di applicazioni, libri, musica, riviste, giochi (Google Play), dal social network (Google Plus) alla diffusione e visualizzazione di filmati (You Tube), ecc… – procedendo, in questo modo, all’integrazione e interoperabilità dei diversi prodotti e all’incrocio dei dati degli utenti relativi all’utilizzo di una pluralità di servizi.

Benché Google abbia adottato nel corso della predetta procedura una serie di misure e di modifiche della propria privacy policy, al fine di renderla quanto più possibile conforme alle disposizioni di legge in materia, all’esito dell’istruttoria il Garante Privacy italiano ha comunque riscontrato una serie di criticità riguardanti, in particolare: a) l’inadeguatezza dell’informativa fornita agli utenti: b) la mancata richiesta di consenso per finalità di profilazione; c) l’incertezza sui tempi di conservazione dei dati.

a) L’Autorità ha prescritto a Google di adottare – in conformità alle disposizioni di cui all’art. 13 del Codice Privacy – un sistema di informativa strutturato a più livelli che in ogni caso chiarisca all’utente che i suoi dati personali sono monitorati e utilizzati anche a fini di profilazione per pubblicità mirata e che tali dati vengono raccolti anche con tecniche più sofisticate dei semplici cookie, come il fingerprinting;

b) quanto al consenso, il Garante ha stabilito che l’utilizzazione da parte di Google dei dati personali degli utenti a fini di profilazione e pubblicità comportamentale personalizzata non potrà che avvenire previa acquisizione del consenso degli utenti stessi – secondo le modalità previste dagli artt. 23 e 24 del Codice Privacy -, non potendosi intendere il semplice utilizzo del servizio da parte dell’utente come accettazione incondizionata al trattamento dei propri dati.

A tal fine l’autorità ha indicato un meccanismo semplice e innovativo che consenta all’utente di scegliere in modo consapevole se fornire o meno il proprio consenso alla profilazione;

c) in relazione alla conservazione dei dati, Google dovrà definire tempi certi di conservazione, sulla base dell’art. 11, lettera e) del Codice Privacy, sia per quanto riguarda quelli mantenuti sui sistemi “attivi” che per quanto riguarda quelli archiviati sui sistemi di back up.

Per quanto riguarda le richieste di cancellazione di dati personali provenienti dagli utenti in possesso di un account Google, il Garante ha stabilito che tali richieste siano soddisfatte entro un termine massimo di due mesi (da intendersi come 62 giorni solari), se i dati sono conservati su sistemi “attivi”, e entro sei mesi (da intendersi come 180 giorni solari), laddove si tratti di dati archiviati su sistemi di back up.

Quanto alle richieste di cancellazione relative all’esercizio del diritto all’oblio avanzate in ordine ai risultati ottenuti attraverso l’utilizzo del motore di ricerca (Google search), l’Autorità ha ritenuto opportuno attendere gli sviluppi applicativi della recente pronuncia della Corte di Giustizia dell’Unione Europea del 13 maggio scorso (Causa C-131/12).

Si tratta, dunque, di un provvedimento – il primo in Europa – che non si limita a richiamare il rispetto delle disposizioni dettate in materia di protezione dei dati personali, ma che indica in concreto le misure da adottarsi affinché sia assicurata la conformità alla legge.

Per farlo Google avrà 18 mesi di tempo dalla notifica del provvedimento, a cui si rinvia per la lettura integrale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Novità normative e giurisprudenziali dal mondo del diritto delle tecnologie e dal nostro Studio