Il Garante della protezione dei dati personali, lo scorso 20 febbraio, ha approvato il protocollo di verifica a tutela della privacy già previsto nel provvedimento adottato il 10 luglio 2014 nei confronti di Mountain View. Si passa, pertanto, dalla fase delle prescrizioni impartite dall’Autorità a Google a quella della loro realizzazione pratica, che dovrà essere ultimata entro il 15 gennaio 2016.
Il documento prevede aggiornamenti trimestrali sullo stato di avanzamento dei lavori e la possibilità per il Garante di compiere presso la sede americana di Google verifiche di conformità, rispetto alla disciplina italiana, delle misure in via d’implementazione.
In base al protocollo, si potranno monitorare costantemente le modifiche che il colosso statunitense deve apportare ai trattamenti dei dati personali di chi usufruisce dei suoi servizi, tra cui il motore di ricerca, la posta elettronica, la diffusione di filmati, tramite YouTube, e il proprio social network.
Google, quindi, adotterà tutte le concrete misure a tutela della privacy già previste dalla normativa italiana per gli utenti che operano sul territorio dello Stato e specificate dal Garante per la protezione dei dati personali e, per la prima volta in Europa, dovrà soggiacere a verifiche periodiche finalizzate all’accertamento del costante e progressivo adeguamento della propria piattaforma ad una normativa nazionale.
Quanto alle modalità e, soprattutto, alle esigenze sottostanti al predetto intervento da parte dell’Authority sono necessarie alcune osservazioni.
Google offre ai propri utenti numerosissime funzionalità e servizi che si estrinsecano a titolo esemplificativo nel motore di ricerca sul web (Google search), nella posta elettronica (Gmail), nelle mappe online (Street View su Google Maps) nella commercializzazione di spazi pubblicitari (Double Click), nel browser (Google Chrome) o nel social network (Google +), investendo anche la gestione dei pagamenti online (Google Wallet) fino al negozio virtuale per l'acquisto di applicazioni, musica, film, libri e riviste (Google Play), oltre alla ricerca, visualizzazione e diffusione di filmati (YouTube) a servizi di immagazzinamento, condivisione e revisione di testi (Google Docs e Google Drive), ricomprendendo anche software per la visualizzazione di immagini satellitari (Google Earth) o per la gestione di agende e calendari (Google calendar), nonché funzionalità per il controllo e la gestione dei profili dell'utente (Google Dashboard), a strumenti di analisi statistica e di monitoraggio dei visitatori di siti web (Google Analytics).
Si tratta, nella quasi totalità dei casi, di servizi offerti a titolo gratuito agli utenti finali, poiché il modello imprenditoriale della società si fonda innanzitutto sugli introiti ad essa derivanti dalla pubblicità.
Gli utilizzatori di tali funzionalità possono essere distinti a seconda che abbiano un account creato a seguito di una procedura di registrazione per l'accesso "autenticato" ai servizi di Google (cd. utenti autenticati), ovvero che utilizzino le medesime in assenza di previa autenticazione (cd. utenti non autenticati).
Esiste poi un'ulteriore categoria di soggetti (cd. passive users) i cui dati possono, comunque, essere acquisiti dalla società, nonostante i servizi offerti dalla stessa non vengano utilizzati direttamente dagli utenti, attraverso l’installazione di cookies all'interno di siti di soggetti terzi.
Riguardo alla privacy policy il 24 gennaio 2012 il colosso statunitense Google annunciava che dal successivo 1° marzo avrebbe unificato in un solo documento le circa 70 diverse regolamentazioni fino ad allora in vigore, ciascuna relativa alla fornitura di un diverso servizio.
Nel successivo mese di febbraio 2012 il WP 29 (The UNECE World Forum for Harmonization of Vehicle Regulations), organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata, per il tramite della CNIL (Commission Nationale de l'informatique et des libertés), all'uopo delegata, comunicava a Google l'intenzione di condurre un'analisi della nuova politica adottata alla luce della richiamata Direttiva 95/46/CE; e ciò con specifico riferimento alla valutazione della conformità dei trattamenti di dati effettuati dalla società alla disciplina in materia di tutela delle persone fisiche rispetto alla disciplina sui dati personali, nonché sulla libera circolazione degli stessi.
Il WP 29 inviava, pertanto, il 16 ottobre 2012 una comunicazione a firma di tutti i Presidenti delle Autorità di Protezione dei dati personali dell'Unione Europea con la quale, sulla base dei menzionati riscontri, si contestava alla società la non conformità del trattamento dei dati effettuati rispetto alla disciplina europea in materia invitandola all'adozione delle misure idonee ad assicurare il rispetto di alcuni specifici principi.
Il medesimo WP 29 deliberava, infine, la costituzione di un'apposita task force, cui sono state chiamate a far parte alcune delle Autorità di protezione dei dati personali degli Stati membri tra cui per l'Italia l’Autorità Garante dei dati personali.
Google non ha, tuttavia, dato seguito alle raccomandazioni espresse dal WP 29 nei termini da questo indicati.
Il Garante, analogamente alle altre Autorità di protezione dei dati personali coinvolte, informava Google, con comunicazione dell’aprile 2013, dell'avvio del procedimento amministrativo nei suoi confronti, teso ad un controllo, instaurato a seguito sia della ricezione di specifiche segnalazioni, sia delle risultanze dell'istruttoria condotta dal WP 29 (e, per esso, dalla CNIL), sulla liceità e la correttezza dei trattamenti effettuati dalla società ai sensi della nuova privacy policy.
Nel corso del procedimento l'Autorità rivolgeva a Google diverse richieste d’informazioni, procedeva a molteplici audizioni con i suoi rappresentanti ricevendo numerosi, ancorché parziali, riscontri alle indicazioni poste.
In ragione delle specifiche istanze avanzate dalla società, motivate anche dalla complessità del procedimento necessario per adeguarsi alle regole che presiedono e determinano le modalità di trattamento dei dati personali degli utenti, i termini del procedimento sono stati più volte prorogati a seguito di sospensione per consentire l'acquisizione di tutti gli elementi necessari alla definizione del caso di specie.
All'esito dell'istruttoria il Garante, sulla base delle disposizioni del Codice, identificava le seguenti criticità, tuttora persistenti nei trattamenti di dati personali effettuati dalla società. In particolare, si evidenziava: 1) modalità e contenuto dell'informativa resa agli interessati, anche in relazione all'esplicitazione delle diverse finalità e alle modalità di lavorazione dei dati stessi (cfr. Terms of service e privacy policy, vers. 31.3.14) (art. 13 del Codice); 2) omessa richiesta del consenso degli interessati per finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all'analisi e monitoraggio dei comportamenti dei visitatori di siti web, nonché mancato rispetto del diritto di opposizione degli interessati (artt. 7, 23, 24 e 122 del Codice). La profilazione in questione ed il conseguente inoltro di comunicazioni commerciali mirate vengono effettuati essenzialmente mediante: a) trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail; b) incrocio dei dati personali raccolti in rapporto alla fornitura ed al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell'utente; c) utilizzo di cookies e altri identificatori (credenziali di autenticazione, fingerprinting etc.), necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell'uso delle funzionalità offerte (pattern); 3) tempo di conservazione dei dati (art. 11 del Codice).
Per quanto più specificatamente attiene al primo punto evidenziato, l'istruttoria condotta accertava che l'attuale informativa resa agli utenti, sebbene migliorata rispetto al momento dell'avvio del procedimento, non era ancora conforme alla disposizione di legge prevista dall’art.13 del Codice. È di tutta evidenza, infatti, che la preventiva consapevolezza degli utenti circa i possibili impieghi delle informazioni che li riguardano costituisce l'ineludibile presupposto per consentire agli interessati medesimi di esprimere positivamente o meno il proprio consenso al trattamento di dati, così come illustrati e attuati dalla società, essendo necessaria a tal fine una personale valutazione sull'impatto che tali trattamenti potranno avere sul proprio diritto alla protezione dei dati personali.
La disciplina di legge richiede allora che la privacy policy predisposta da Google, allo scopo di assicurare il pieno diritto d’informativa ai propri utenti, sia facilmente consultabile, ad esempio, con un solo click dalla pagina del dominio cui l'utente accede, formulata in modo chiaro, completo ed esaustivo. E’ essenziale, inoltre, che, a fronte di eventuali aggiornamenti o modifiche di tale documento, gli interessati siano posti nella condizione di comprendere e valutare i cambiamenti apportati, anche eventualmente mediante raffronto tra le diverse versioni della privacy policy susseguitesi nel tempo.
Per quanto attiene al secondo punto concernente la profilazione, le modalità di trattamento adottate dalla Società per tale finalità, tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all'analisi e monitoraggio dei comportamenti dei visitatori di siti web, anche realizzata con diverse modalità, non soddisfano i requisiti degli artt. 23, 24 e 122 del Codice e, pertanto, se ne impone, anche in questo caso, una modifica.
In altri termini, il trattamento in esame, come emerso all'esito dell'istruttoria, può essere effettuato solo previo consenso dell'interessato; questo deve, inoltre, rispondere, ai fini della sua validità, ai requisiti di legge e, pertanto, deve essere libero, acquisito in via preventiva rispetto al trattamento medesimo, riferibile a trattamenti che perseguono finalità esplicite e determinate, informato e documentato per iscritto. È, dunque, necessario, in tal senso, che la sua espressione costituisca un’inequivoca manifestazione di volontà da parte dell'interessato.
In questa prospettiva, si ritiene che debba necessariamente sussistere uno stadio, ovvero un momento, nel corso dell'esperienza di navigazione dell'utente - e ovviamente preliminare rispetto alla fruizione delle funzionalità - nel quale gli sia appunto consentito di scegliere tra più e diverse alternative.
Considerata, d'altro canto, la distinzione tra utenti autenticati e non autenticati, le forme di acquisizione di tale consenso potranno, di riflesso, essere diversificate proprio in relazione alla tipologia di fruitore considerata. In tal senso, con specifico riguardo ai soggetti non autenticati, è stato possibile rilevare che, allo stato attuale, in nessun momento dell’utilizzo di una o più diverse funzionalità esiste uno spazio, fisico ovvero virtuale, idoneo a consentire loro, da un lato, di esprimere un eventuale consenso al trattamento come più sopra identificato; dall'altro, non è possibile neanche per Google prendere atto e tenere traccia delle scelte manifestate.
Infine, per quanto riguarda il punto terzo, relativo al tempo di conservazione dei dati, è opportuno rilevare che il rispetto dei principi in tale materia può essere assicurato mediante ricorso a due modalità: l'una che si fonda sull’osservanza del principio di finalità in base al quale i dati non possono essere conservati per un tempo ulteriore rispetto a quello necessario, per il conseguimento dello scopo per il quale sono stati oggetto di trattamento (cd. retention policy) (art. 11 Codice); l'altra che prende, invece, in considerazione la scelta dell'interessato di ottenere, a determinate condizioni, la cancellazione dei dati personali che lo riguardano nella titolarità di Google (cd. deletion policy).
L'archiviazione delle informazioni in questione è organizzata, nel modello adottato da Google, in funzione del tempo trascorso dal momento della loro acquisizione. È possibile distinguere, infatti, tra dati mantenuti su sistemi c.d. attivi (live-serving) e dati che, invece, siano in seguito archiviati sui sistemi di back-up. Occorre osservare, inoltre, che l'istruttoria non ha consentito di accertare con precisione quale sia la durata del periodo di conservazione dei dati sui sistemi del primo tipo e, di conseguenza, da quando decorra l'archiviazione dei dati sui sistemi di back-up. Né è stato chiarito dalla società il periodo massimo di conservazione delle informazioni personali degli interessati.
Inoltre, il tema della cancellazione dei dati personali nella titolarità di Google è stato, di recente, oggetto della nota decisione della Corte di Giustizia dell'Unione Europea del 13 maggio 2014 che, nella causa C-131/12, si è pronunciata, tra l'altro, proprio sulla cancellazione, al ricorrere dei presupposti per l'esercizio del diritto all'oblio, di dati personali nella titolarità della società statunitense relativi ai risultati delle ricerche effettuate attraverso la funzionalità del motore di ricerca; stabilendo tra l'altro, per la prima volta, che tali richieste possono essere avanzate anche direttamente al gestore del motore di ricerca, ancorché le relative informazioni siano state originariamente pubblicate su altri siti e successivamente indicizzate da Google.
Mountain View, in adempimento delle prescrizioni della Corte, ha comunque sin dal 30 maggio u.s. reso disponibile un tool per consentire agli utenti di avanzare le relative istanze di cancellazione. Lo strumento predisposto è stato accolto con favore dal WP 29, che ha dichiarato al riguardo di considerare tale misura "un primo passo nella direzione dell'adeguamento della società alle disposizioni della normativa europea nel solco delle prescrizioni della Corte, sebbene sia prematuro, a questo stadio, valutare se esso sia da considerarsi interamente soddisfacente".
All'esito dell'istruttoria, il Garante ha ritenuto, pertanto, che Google, per assicurare la conformità alla legge italiana dei trattamenti di dati effettuati, come meglio specificati in precedenza, sia tenuta a dotarsi di una policy di data deletion, inerente, quindi, alla cancellazione dei dati su richiesta degli utenti autenticati, che rispetti le prescrizioni indicate nella parte dispositiva del provvedimento in commento; nonché di una policy di data retention che tenga rigorosamente conto del rispetto del principio di finalità previsto dall'art. 11, comma 1, lett. e) del Codice.
Queste sono, dunque, le misure che Google dovrà apportare alla propria Policy entro il 15 gennaio 2016, compito non di semplice portata poiché si tratta di modifiche relative ad una molteplicità di funzionalità rese disponibili su una pluralità di piattaforme tecnologiche e sistemi operativi, peraltro, di non trascurabile complessità tecnica, ma a cui il colosso statunitense intende mantenere fede con l'impegno vincolante ed irrevocabile di sottoscrivere un apposito protocollo di verifica volto a disciplinare le procedure ed i tempi relativi allo scambio di documentazione tra Google e l'Autorità, nonché le modalità di enforcement comprensivo dei riscontri che il Garante effettuerà nel corso di questi 12 mesi anche presso Google medesima.