Google: nuovi obblighi dal Garante Privacy

Con un provvedimento prescrittivo dello scorso 10 luglio si è conclusa l’istruttoria – avviata il 2 aprile 2013 dal Garante per la protezione dei dati personali italiano – volta al controllo della liceità e della correttezza dei trattamenti dei dati personali operati da Google Inc. a seguito della nuova privacy policy adottata dalla società.

Nel gennaio 2012 Google aveva, infatti, annunciato che dal successivo 1° marzo avrebbe unificato in un unico documento le regole di gestione dei dati relative alla fornitura dei diversi servizi – dalla posta elettronica (Gmail) alle mappe on line (Google Street View), dalla gestione dei pagamenti (Google Wallet) al negozio virtuale per l’acquisto di applicazioni, libri, musica, riviste, giochi (Google Play), dal social network (Google Plus) alla diffusione e visualizzazione di filmati (You Tube), ecc… – procedendo, in questo modo, all’integrazione e interoperabilità dei diversi prodotti e all’incrocio dei dati degli utenti relativi all’utilizzo di una pluralità di servizi.

Benché Google abbia adottato nel corso della predetta procedura una serie di misure e di modifiche della propria privacy policy, al fine di renderla quanto più possibile conforme alle disposizioni di legge in materia, all’esito dell’istruttoria il Garante Privacy italiano ha comunque riscontrato una serie di criticità riguardanti, in particolare: a) l’inadeguatezza dell’informativa fornita agli utenti: b) la mancata richiesta di consenso per finalità di profilazione; c) l’incertezza sui tempi di conservazione dei dati.

a) L’Autorità ha prescritto a Google di adottare – in conformità alle disposizioni di cui all’art. 13 del Codice Privacy – un sistema di informativa strutturato a più livelli che in ogni caso chiarisca all’utente che i suoi dati personali sono monitorati e utilizzati anche a fini di profilazione per pubblicità mirata e che tali dati vengono raccolti anche con tecniche più sofisticate dei semplici cookie, come il fingerprinting;

b) quanto al consenso, il Garante ha stabilito che l’utilizzazione da parte di Google dei dati personali degli utenti a fini di profilazione e pubblicità comportamentale personalizzata non potrà che avvenire previa acquisizione del consenso degli utenti stessi – secondo le modalità previste dagli artt. 23 e 24 del Codice Privacy -, non potendosi intendere il semplice utilizzo del servizio da parte dell’utente come accettazione incondizionata al trattamento dei propri dati.

A tal fine l’autorità ha indicato un meccanismo semplice e innovativo che consenta all’utente di scegliere in modo consapevole se fornire o meno il proprio consenso alla profilazione;

c) in relazione alla conservazione dei dati, Google dovrà definire tempi certi di conservazione, sulla base dell’art. 11, lettera e) del Codice Privacy, sia per quanto riguarda quelli mantenuti sui sistemi “attivi” che per quanto riguarda quelli archiviati sui sistemi di back up.

Per quanto riguarda le richieste di cancellazione di dati personali provenienti dagli utenti in possesso di un account Google, il Garante ha stabilito che tali richieste siano soddisfatte entro un termine massimo di due mesi (da intendersi come 62 giorni solari), se i dati sono conservati su sistemi “attivi”, e entro sei mesi (da intendersi come 180 giorni solari), laddove si tratti di dati archiviati su sistemi di back up.

Quanto alle richieste di cancellazione relative all’esercizio del diritto all’oblio avanzate in ordine ai risultati ottenuti attraverso l’utilizzo del motore di ricerca (Google search), l’Autorità ha ritenuto opportuno attendere gli sviluppi applicativi della recente pronuncia della Corte di Giustizia dell’Unione Europea del 13 maggio scorso (Causa C-131/12).

Si tratta, dunque, di un provvedimento – il primo in Europa – che non si limita a richiamare il rispetto delle disposizioni dettate in materia di protezione dei dati personali, ma che indica in concreto le misure da adottarsi affinché sia assicurata la conformità alla legge.

Per farlo Google avrà 18 mesi di tempo dalla notifica del provvedimento, a cui si rinvia per la lettura integrale.

La Corte di Giustizia annulla la Direttiva 2006/24/CE sulla conservazione dei dati di traffico

La Corte di Giustizia ha dichiarato invalida la Direttiva 2006/24/CE che aveva come obiettivo quello di armonizzare le legislazioni degli Stati membri sulla conservazione dei dati di traffico telematico e telefonico con lo scopo di renderli disponibili a fini di indagine e accertamento di gravi reati. Per questo motivo la Direttiva imponeva agli Stati membri di introdurre nei rispettivi ordinamenti l’obbligo, per i fornitori di servizi di comunicazione elettronica, di conservare i dati relativi al traffico per un periodo minimo di 6 mesi sino a un massimo di 24 mesi affinché fossero a disposizione delle Autorità nazionali per il perseguimento di gravi reati.

Per la Corte, tuttavia, tale Direttiva incide in modo rilevante sui diritti fondamentali, stabiliti dalla Carta europea, al rispetto della vita privata ed alla protezione dei dati personali, eccedendo i limiti imposti dal principio di proporzionalità.

Se infatti una limitazione dei diritti fondamentali può essere giustificata dal perseguimento di interessi generali, come la lotta e il contrasto al terrorismo o ad altri gravi reati, ciò deve avvenire limitando l’intervento a quanto strettamente necessario per il raggiungimento di tali finalità.

Secondo la Corte, tuttavia, il legislatore comunitario non ha tenuto conto di tale principio disciplinando l’obbligo di conservazione dei dati di traffico.

In particolare, la Direttiva estende l’obbligo di conservazione in modo indiscriminato a tutti i dati di traffico, senza fare alcuna distinzione in funzione delle categorie di dati conservati e/o delle persone interessate, avuto riguardo all’obiettivo perseguito.

La Direttiva non indica nemmeno i criteri in base ai quali gli Stati membri devono modulare la durata del periodo di conservazione da un minimo di 6 mesi a un massimo di 24 mesi, per garantire che tale durata non vada oltre lo stretto necessario.

Ulteriori profili di illegittimità sono stati rinvenuti nel fatto che all’interno della Direttiva mancano previsioni specifiche tanto sulle garanzie da adottare per evitare il rischio di accessi abusivi o utilizzo illecito dei dati di traffico conservati quanto sull’obbligo di conservare i dati all’interno dell’Unione europea.

Peraltro, nel dichiarare invalida la Direttiva 2006/24/CE, la Corte non ha limitato nel tempo gli effetti della propria decisione, come invece era stato richiesto dall’Avvocato Generale.

Resta quindi da capire quale sarà l’impatto della sentenza sulla normativa italiana che ha recepito la Direttiva 2006/24/CE.

Il testo della sentenza è disponibile qui.