di Giulio Coraggio – socio dello Studio legale DLA Piper
La sanzione da 50 milioni di euro emessa dal Garante per la privacy francese, il Cnil, nei confronti di Google per violazione degli obblighi Gdpr potrebbe comportare un cambiamento sostanziale nell’approccio alla privacy. Il Cnil aveva iniziato un’indagine su Google a seguito di due reclami depositati nei giorni immediatamente successivi al 25 maggio 2018 da due associazioni dei consumatori con riferimento al trattamento dei dati nell’ambito degli annunci personalizzati offerti da Google. A seguito dei reclami, il Cnil ha esaminato sia i documenti in materia di privacy pubblicati da Google che la procedura di navigazione che gli utenti devono fare per configurare un dispositivo mobile Android e ha contestato a Google la mancanza di trasparenza nelle informazioni fornite agli utenti e l’invalidità del consenso prestato dagli utenti stessi.
Secondo il Cnil, Google fornisce gran parte delle informazioni richieste dal Gdpr ma il modo in cui venivano presentante agli utenti impediva agli stessi di comprendere come i loro dati personali venissero trattati. In alcuni casi, gli utenti dovevano eseguire 5/6 azioni per avere accesso alle informazioni richieste dal Gdpr sulle attività di trattamento dei dati personali e le informazioni non erano sempre chiare e complete. E tutto era reso ancora più complesso dal fatto che Google offre una serie di servizi (per esempio il motore di ricerca, YouTube, Google Home, Google Maps, Google Play, Google Foto) che raccolgono dati che sono combinati ai fini della personalizzazione degli annunci.
Allo stesso modo, il consenso non era ritenuto valido perché non era separato per ciascuna finalità e perché Google dava la possibilità di fornire consensi separati solo cliccando sul bottone «More Options» nel quale i consensi risultavano già «ticcati». La sanzione emessa nei confronti di Google tiene conto della continuazione dell’attività contestata e del numero di utenti che sono stati oggetto della condotta contestata. Tuttavia, nonostante la sanzione sembri elevata, è comunque ridotta se consideriamo che poteva raggiungere un importo superiore ai 4,4 miliardi di dollari, qualora avessero tenuto conto del 4% del fatturato del gruppo Alphabet nel 2017. È in ogni caso significativa, poiché rappresenta la più elevata sanzione mai emessa in Europa per la violazione della normativa, di gran lunga superiore della sanzione di 1 milione di euro emessa dal Garante italiano nei confronti sempre di Google nel 2014.
Tale aumento delle sanzioni privacy è supportato dal Gdpr che fornisce ai Garanti privacy locali una forbice molto ampia per definire la sanzione applicabile. E la decisione del Cnil potrebbe spingere anche i Garanti di altre giurisdizioni, compresa l’Italia, ad adottare un approccio più rigido, dove invece le sanzioni dei primi mesi successivi al 25 maggio 2018 era state di importi non elevati. Aldilà del valore della sanzione, la decisione del Garante francese è interessante perché fornisce indicazioni dettagliate su cosa i Garanti si aspettano nella messa in conformità al Gdpr. Un approccio meramente formale che non consente ai clienti di comprendere quali dati siano trattati, come sono trattati, da chi sono trattati e per quanto tempo sono conservati ed un consenso ampio che comprende finalità del trattamento diverse tra loro è probabile che sarà contestato. Allo stesso modo, secondo uno studio condotto da DLA Piper, risulta che il numero di data breach notificati al Garante in Italia è di gran lunga inferiore al numero di notifiche avvenuto per esempio in Gran Bretagna e Olanda.
È improbabile che le società italiane siano in modo così marcato più ligie agli obblighi in materia delle altre società europee. Il rischio è quindi che le società italiane non stiano in alcuni casi ottemperando agli obblighi in materia di privacy, abbiano unicamente aggiornato le proprie informative al Gdpr nei giorni precedenti al 25 maggio 2018, ma le stesse non riflettono le attività che effettivamente svolgono con i dati e in caso di violazione o data breach, sperano di non essere oggetto delle ispezioni del Garante. Purtroppo questa speranza potrebbe avere vita corta con le ispezioni del Garante che saranno sempre più invasive, anche grazie al supporto della Guardia di Finanza, il cui nucleo comprenderà tecnici informatici in grado di verificare se il trattamento dei dati rispecchia quanto dichiarato nella documentazione. Le società quindi devono prepararsi adottando un approccio sostanziale alla privacy e cambiando la cultura aziendale. (riproduzione riservata)
Fonte: