Risale a pochi giorni fa la notizia che l’Agenzia per la protezione dei dati francese – Commission nationale de l’informatique et des libertés – CNIL i.e. l’omologo della nostra Autorità Garante per la protezione dei dati personali – ha condannato il colosso USA Google Inc. al pagamento di una multa di 50 milioni di Euro per violazione delle disposizioni del Regolamento UE 679/29016 – GDPR.
La condotta contestata a Google riguarda la mancata messa a disposizione all’utente di informazioni essenziali riguardanti la raccolta e l’uso dei loro dati personali.
In particolare, Google Inc. avrebbe omesso di informare l’utente in maniera chiara, trasparente e facilmente intellegibile, circa le finalità del trattamento dei dati, i periodi di conservazione degli stessi e le categorie di dati personali trattati per la personalizzazioni degli annunci pubblicitari pubblicati attraverso la piattaforma. Tali informazioni si troverebbero infatti disseminate in diverse pagine e l’accesso alle stesse richiederebbe un eccessivo sforzo da parte dell’utente, chiamato a compiere diverse azioni – aprire pagine, cliccare su pulsanti e link etc. – per poter accedere alle informative.
Oltre alla mancanza di informazioni chiare e facilmente accessibili sulle modalità e finalità del trattamento dei dati personali, l’autorità francese ha contestato a Google Inc. una inaccettabile nebulosità in relazione ai consensi richiesti dall’utente: l’utente non sa e non è messo nelle condizioni di sapere a che cosa stia prestando il proprio consenso poiché in alcuni casi non è chiarito efficacemente che l’accettazione delle condizioni proposte non è necessaria solamente al funzionamento del dispositivo ma, anzi, corrisponde ad un “legittimo interesse commerciale” legato al personalizzare quanto più possibile gli annunci, che richiederebbe invece un consenso esplicito e separato.
Non si tratta della sanzione massima comminabile ai sensi del GDPR – in quanto lo stesso prevede come importo massimo 20 milioni di Euro o una cifra fino al 4% del fatturato annuo mondiale dell’anno precedente – tuttavia la multa alla quale è stata condannata Google Inc. rappresenta la prima sanzione per Google post entrata in vigore del GDPR e la prima decisa utilizzando la categoria più alta di sanzioni previste dal Regolamento, il cui ammontare è stato stabilito dalla CNIL tenendo in considerazione la natura delle violazioni contestate, la durata e il numero di interessati.
A Google Inc. non rimane che eventualmente adire l’autorità giudiziaria per fare ricorso contro la decisione della CNIL. Nel frattempo dal 22 gennaio 2019 sono state introdotte delle modifiche alla privacy del motore di ricerca in quanto la titolarità dei dati ha “attraversato l’oceano” ed è passata dalla Google Inc. alla Google Irlanda, vale a dire gli headquarters europei della multinazionale.
