Google: il Garante Privacy impone più tutele

Il Garante Privacy fissa i paletti attraverso i quali imporrà a Google Italia un maggiore rispetto degli utenti nel trattamento dei loro dati personali. L’autorità stabilisce che il gruppo di Mountain View non potrà ricorrere alle informazioni a fini di profilazione senza prima ottenere l’esplicito consenso da parte del diretto interessato. Inoltre, il motore di ricerca dovrà dichiarare in modo chiaro l’intenzione di svolgere questo tipo di attività a fini commerciali.

È quanto stabilisce il provvedimento prescrittivo stilato al termine dell’istruttoria avviata lo scorso anno, in seguito ai cambiamenti introdotti dalla società californiana con la cosiddetta policy unificata. Per la prima volta in Europa un’autorità non si limita a richiamare al rispetto della privacy, ma va oltre indicando nel concreto quali misure attuare per assicurare la conformità alle normative vigenti. Ecco un estratto del documento diffuso dal Garante, che sintetizza le ragioni che hanno portato alla decisione odierna.

La società ha infatti unificato in un unico documento le diverse regole di gestione dei dati relative alle numerosissime funzionalità offerte: dalla posta elettronica (Gmail), al social network (Google Plus), alla gestione dei pagamenti online (Google Wallet), alla diffusione di filmati (YouTube), alle mappe online (Street View), all’analisi statistica (Google Analytics), procedendo pertanto all’integrazione e interoperabilità anche dei diversi prodotti e dunque all’incrocio dei dati degli utenti relativi all’utilizzo di più servizi.

Il Garante riconosce a Google di aver adottato, nel corso dell’istruttoria, una serie di misure finalizzate a rendere la propria privacy policy più conforme alle norme. Al tempo stesso, però, l’autorità ha rilevato anche il  permanere di diversi profili critici relativi all’inadeguata informativa messa a disposizione degli utenti, alla mancata richiesta di consenso per finalità legate alla profilazione e agli incerti tempi di conservazione dei dati.

Informativa

L’autorità prescrive a Google l’adozione di un sistema strutturato su più livelli. Il primo, generale, con le informazioni più rilevanti per gli utenti, come un’indicazione sul metodo di trattamento, sulla tipologia di dati coinvolti (localizzazione dei dispositivi, indirizzi IP ecc.), sulla pagina in lingua italiana alla quale rivolgersi per esercitare i propri diritti. Il secondo, più dettagliato, che tratta le specifiche informative relative ai singoli servizi offerti.

Il gruppo di Mountain View è soprattutto chiamato a spiegare in modo chiaro e trasparente, all’interno dell’informativa generale, che i dati personali sono monitorati e utilizzati (tra le altre cose) a fini di profilazione per pubblicità mirata e che essi vengono ottenuti con tecniche diverse dai tradizionali cookie, ad esempio tramite fingerprinting. Si tratta di un sistema che raccoglie informazioni sulle modalità di utilizzo dei terminali, per poi archiviarle direttamente presso i server dell’azienda.

Consenso

Per l’utilizzo delle informazioni a fini di profilazione e pubblicità comportamentale personalizzata, Google dovrà prima acquisire l’esplicito consenso da parte degli utenti e non più limitarsi a considerare il semplice utilizzo del servizio come l’accettazione incondizionata di regole che, fino ad oggi, non hanno lasciato potere decisionale sul trattamento dei dati da parte dei diretti interessati. A tale scopo il Garante ha indicato una modalità che definisce “innovativa e di facile impiego”, capace di non gravare in modo eccessivo sull’esperienza di navigazione, permettendo di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso, anche per i singoli servizi.

Conservazione

Il terzo punto del provvedimento è quello che impone a Google di stabilire tempi certi di conservazione dei dati basandosi sulle norme del vigente codice per la tutela della privacy. Questo riguarda sia le informazioni immagazzinate nei sistemi cosiddetti “attivi” che in quelli di backup. Inoltre, il gruppo di Mountain View dovrà rispondere alle richieste di cancellazione dei dati personali (provenienti dagli utenti facilmente identificabili) entro un massimo di due mesi se salvati su sistemi “attivi” e sei mesi quando archiviati all’interno di backup. Per le richieste riguardanti il diritto all’oblio si attendono invece gli sviluppi applicativi della sentenza emessa dalla Corte di Giustizia dell’Unione Europea.

A partire da oggi, Google ha a disposizione un periodo pari a 18 mesi per adeguarsi alle prescrizioni dell’autorità, che in questo lasso di tempo procederà a monitorare l’implementazione delle misure indicate. Inoltre, la società dovrà sottoporre entro il 30 settembre 2014 un protocollo di verifica, che una volta sottoscritto sarà ritenuto vincolante. Questo servirà a definire tempi e modalità per l’attività del controllo da parte del Garante.

La reazione di Google

Di seguito, la replica fornita da un portavoce di Google Italia.

Abbiamo collaborato costantemente con il Garante nel corso di questa vicenda per spiegare le nostre privacy policy e come ci consentono di creare servizi più semplici ed efficaci e continueremo a collaborare in futuro. Analizzeremo il provvedimento del Garante attentamente per definire i prossimi passi.