Il Conseil d’Etat il più alto tribunale amministrativo francese ha confermato la decisione dell’Autorità francese per la protezione dei dati (CNIL) di imporre una multa di € 50 milioni a Google ai sensi del Regolamento generale sulla protezione dei dati dell’UE (GDPR).
La storia
Nel gennaio 2019, la Commissione nazionale francese per la protezione dei dati (CNIL) ha sanzionato Google con una multa di 50 milioni di euro per violazione degli obblighi di trasparenza, informazione e consenso imposti dal Regolamento generale sulla protezione dei dati (GDPR).
La trasparenza
La prima violazione è relativa agli obblighi di trasparenza e informazione imposti dal GDPR. La CNIL ha affermato che informazioni importanti riguardanti, ad esempio, l’uso o l’archiviazione dei dati non sono state presentate in modo chiaro e trasparente da Google e non sono facilmente accessibili.
Informazioni essenziali, come le finalità del trattamento dei dati, i periodi di conservazione dei dati o le categorie di dati personali utilizzate per la personalizzazione degli annunci, sono eccessivamente sparpagliate su più documenti, con pulsanti e link su cui è necessario cliccare per accedere ad informazioni complementari. Le informazioni rilevanti sono accessibili solo dopo diversi passaggi, che a volte implicano fino a 5 o 6 azioni.
Il consenso
La seconda violazione contestata è relativa al consenso che non è stato validamente ottenuto.
Il CNIL accusa Google che il consenso degli utenti non è sufficientemente informato.
Le informazioni sulle operazioni di elaborazione per la personalizzazione degli annunci sono sparse in più documenti e non consentono all’utente di essere a conoscenza della loro portata. Ad esempio, nella sezione “Personalizzazione degli annunci”, non è possibile conoscere la pluralità di servizi, siti web e applicazioni coinvolti in queste operazioni di trattamento (ricerca Google, You tube, Google home, Google maps, Playstore, Google immagini … ) e quindi della quantità di dati trattati e combinati.
Inoltre il consenso raccolto non è né “specifico” né “inequivocabile”.
In sintesi la validità di un consenso viene verificata sulla base di 4 criteri fondamentali: deve essere libero, informato, univoco e specifico.
Informato: le informazioni sul trattamento dei dati sono sparse in diversi documenti, il che ne rende difficile la lettura.
Univoco: gli utenti sono costretti a cercare nella pagina di configurazione prima della registrazione e deselezionare una casella (un opt-in passivo che è espressamente vietato dal GDPR).
Specifico: gli utenti devono dare il loro pieno consenso, una volta per tutte, ai termini di utilizzo e alla politica sulla privacy per poter utilizzare i servizi di Google.
In questo caso non è né informato, né inequivocabile e né specifico.
La battaglia di Google
La decisione della CNIL è stata impugnata da Google dinanzi al Conseil d’Etat francese (il più alto tribunale amministrativo) con la motivazione che l’Autorità Francese per la protezione dei dati non ha giurisdizione sulla sede europea di Google. Google ha sostenuto, tra l’altro, che la competenza è dell’Autorità Irlandese. Il Conseil d’Etat conferma la decisione della CNIL in tutti i suoi punti.
Google non può scegliere l’autorità di regolamentazione irlandese
Il Conseil d’Etat ha confermato la giurisdizione dell’Autorità Francese su Google. Google ha cercato di “fuggire” in Irlanda perché l’Autorità Irlandese è molto clemente o forse, è meglio dire inerme, in quanto non ha finora emesso una sola multa ai sensi del GDPR contro un attore privato. A differenza dell’autorità di regolamentazione irlandese, che ha impiegato più di 18 mesi per completare una rapporto su reclami contro Facebook, Instagram e Whatsapp, la CNIL ha emesso il suo rapporto in molto meno tempo.
Lotta per le competenze nazionali
All’interno dell’UE, lo “stabilimento principale” definisce quali Stati membri sono responsabili dell’applicazione del GDPR. Se non esiste una “istituzione principale”, qualsiasi autorità può decidere da sola. Il Conseil d’Etat ha confermato che, anche se la sede europea di Google si trovava in Irlanda, lo stabilimento irlandese non aveva potere decisionale sulle operazioni di trattamento in questione al momento della decisione. Poiché il meccanismo dello “sportello unico” non era quindi applicabile, la CNIL aveva la competenza a prendere qualsiasi decisione in merito alle operazioni di trattamento effettuate da Google, come qualsiasi altra autorità di protezione dei dati nell’UE.
Questa multa così salata a Google è stata la prima inflitta dalla CNIL ai sensi del GDPR ed è la più alta sanzione imposta da un’autorità di vigilanza dell’UE fino ad oggi.