Il 21 gennaio 2019, il comitato ristretto della CNIL (Commissione nazionale francese per la protezione dei dati) ha deciso di imporre a Google una sanzione di 50 milioni di euro per violazione degli obblighi di trasparenza, informazione e consenso imposti dal Regolamento generale sulla protezione dei dati (GDPR).
Le violazioni al GDPR
Il comitato ristretto della CNIL, incaricato di esaminare le violazioni della legge sulla protezione dei dati, ha osservato due tipi di violazioni del GDPR.
Una violazione degli obblighi di trasparenza e informazione. La CNIL ha affermato che informazioni importanti riguardanti, ad esempio, l’uso o l’archiviazione dei dati non sono state presentate in modo chiaro e trasparente da Google.
Le informazioni non sono facilmente accessibili.
In primo luogo, il comitato ristretto rileva che le informazioni fornite da GOOGLE non sono facilmente accessibili per gli utenti.
Infatti, la struttura generale delle informazioni scelte dalla società non consente il rispetto del Regolamento. Informazioni essenziali, come le finalità del trattamento dei dati, i periodi di conservazione dei dati o le categorie di dati personali utilizzate per la personalizzazione degli annunci, sono eccessivamente sparpagliate su più documenti, con pulsanti e link su cui è necessario cliccare per accedere ad informazioni complementari. Le informazioni rilevanti sono accessibili solo dopo diversi passaggi, che a volte implicano fino a 5 o 6 azioni.
Informazioni poco chiare.
Inoltre il comitato osserva che alcune informazioni non sono sempre chiare né complete.
Gli utenti non sono in grado di comprendere appieno l’entità delle operazioni di trattamento svolte da GOOGLE. Ma le operazioni di trattamento sono particolarmente massicce e invadenti per il numero di servizi offerti (una ventina circa), la quantità e la natura dei dati trattati e combinati.
In particolare le finalità del trattamento sono descritte in modo troppo generico e vago, così come le categorie di dati trattati per queste varie finalità. Allo stesso modo, le informazioni comunicate non sono sufficientemente chiare affinché l’utente possa comprendere che la base giuridica delle operazioni di trattamento per la personalizzazione degli annunci è il consenso, e non il legittimo interesse dell’azienda.
Infine, CNIL rileva che per alcuni dati non sono fornite le informazioni sul periodo di conservazione.
Violazione dell’obbligo di avere una base giuridica per la personalizzazione degli annunci e l’elaborazione del targeting degli annunci.
Il consenso non sia stato validamente ottenuto
GOOGLE dichiara di ottenere il consenso dell’utente al trattamento dei dati per finalità di personalizzazione degli annunci. Tuttavia, il comitato ritiene che il consenso non sia stato validamente ottenuto per due motivi .
In primo luogo il consenso degli utenti non è sufficientemente informato.
Le informazioni sulle operazioni di elaborazione per la personalizzazione degli annunci sono sparse in più documenti e non consentono all’utente di essere a conoscenza della loro portata. Ad esempio, nella sezione “Personalizzazione degli annunci”, non è possibile conoscere la pluralità di servizi, siti web e applicazioni coinvolti in queste operazioni di trattamento (ricerca Google, You tube, Google home, Google maps, Playstore, Google immagini … ) e quindi della quantità di dati trattati e combinati.
Inoltre il consenso raccolto non è né “specifico” né “inequivocabile”.
Quando viene creato un account, l’utente può certamente modificare alcune opzioni associate all’account facendo clic sul pulsante «Altre opzioni», accessibile sopra il pulsante «Crea account». In particolare è possibile configurare la visualizzazione di annunci personalizzati.
Ciò non significa che il GDPR sia rispettato. L’utente, infatti, non solo deve cliccare sul pulsante “Altre opzioni” per accedere alla configurazione, ma è inoltre preselezionata la visualizzazione della personalizzazione degli annunci. Tuttavia, come previsto dal GDPR, il consenso è “inequivocabile” solo con una chiara azione affermativa da parte dell’utente (spuntando una casella non preselezionata, ad esempio).
Infine, prima di creare un account, all’utente viene chiesto di spuntare le caselle “Accetto i Termini di servizio di Google ” e “Acconsento al trattamento delle mie informazioni come descritto sopra e ulteriormente spiegato nell’Informativa sulla privacy” Per creare l’account. Pertanto, l’utente presta il suo pieno consenso, per tutte le finalità delle operazioni di trattamento svolte da GOOGLE sulla base di tale consenso (personalizzazione degli annunci, riconoscimento vocale, ecc.). Tuttavia, il GDPR prevede che il consenso sia “specifico” solo se prestato distintamente per ciascuna finalità.
La multa 50 milioni di euro contro GOOGLE
Questa è la prima volta che la CNIL applica i nuovi limiti di sanzioni previsti dal GDPR. L’importo deliberato e la pubblicità della sanzione sono giustificati dalla gravità delle violazioni osservate rispetto ai principi essenziali del GDPR: trasparenza, informazione e consenso.
Nonostante le misure attuate da GOOGLE (documentazione e strumenti di configurazione), le violazioni osservate privano gli utenti di garanzie essenziali sulle operazioni di trattamento che possono rivelare parti importanti della loro vita privata poiché si basano su un’enorme quantità di dati, un’ampia varietà di servizi e combinazioni possibili quasi illimitate. Il comitato ristretto ricorda che la portata di questi trattamenti in questione impone agli utenti di controllare i propri dati e quindi di informarli sufficientemente e consentire loro di dare validamente il consenso.
Inoltre, le violazioni sono continue violazioni del GDPR tuttora osservate. Non è un’infrazione una tantum, limitata nel tempo.
Infine, tenendo conto dell’importante posto che il sistema operativo Android occupa sul mercato francese, migliaia di francesi creano, ogni giorno, un account GOOGLE quando utilizzano il proprio smartphone. Inoltre, il comitato ristretto sottolinea che il modello economico dell’azienda si basa in parte sulla personalizzazione degli annunci. Pertanto è sua massima responsabilità adempiere agli obblighi in materia.
In sintesi
La validità di un consenso viene verificata sulla base di 4 criteri fondamentali: deve essere libero , informato , univoco e specifico .
In questo caso non è né informato, inequivocabile né specifico.
Informato : le informazioni sul trattamento dei dati sono sparse in diversi documenti, il che ne rende difficile la lettura.
Univoco : gli utenti sono costretti a cercare nella pagina di configurazione prima della registrazione e deselezionare una casella (un opt-in passivo che è espressamente vietato dal GDPR).
Specifico : gli utenti devono dare il loro pieno consenso, una volta per tutte, ai termini di utilizzo e alla politica sulla privacy per poter utilizzare i servizi di Google.
In definitiva 50 milioni di euro sono una sciocchezza per un’azienda che genera un fatturato di circa 285 milioni di euro al GIORNO (nel 2017 Google aveva un fatturato di 96 miliardi di euro)!
Ma è comunque un grande passo quello compiuto da CNIL anche se è ancora un piccolo passo per l’Umanità del Web.
Scarica la deliberazione del CNIL