11 aprile 2019
"Effetto GDPR": Google sanzionata per 50 milioni di euro dal CNIL
di Anna Maria Lorito
A circa nove mesi dall’entrata in vigore del Regolamento UE 679/2016 (GDPR), al di là dei nuovi risultati in termini di adeguamento e sicurezza, si iniziano a comminare anche le prime sanzioni: a farne le spese c’è stato anche Google, che ha ricevuto, il 21 gennaio 2019, una sanzione di 50 milioni di euro da parte dell’autorità garante francese (Commission Nationale de l'Informatique et des Libertés - CNIL)[1].
L’indagine del CNIL è stata avviata a seguito di due reclami, depositati nei giorni immediatamente successivi al 25 maggio 2018 da note associazioni dei consumatori, tra cui anche NOYB (None Of Your Business), fondata dall’attivista Max Schrems - passato alle cronache per il reclamo contro Facebook, che ha portato, nel 2015, all’annullamento dell’accordo tra USA ed Europa per il trasferimento dei dati - con riferimento al trattamento dei dati personali nell’ambito dell’apertura degli account Google al momento della configurazione del sistema mobile Android.
Il provvedimento originato da tali reclami si snoda su tre questioni principali: la prima relativa alla legittimità dell’intervento stesso dell’autorità francese, considerando che Google LLC è una società americana e che i suoi headquarters amministrativi europei sono situati in Irlanda; la seconda relativa alla carenza di informazioni - relativamente al trattamento dei dati da parte di Google - nella disponibilità degli utenti al momento della creazione di un account, ed, infine, l’ultima questione riguarda la validità del consenso richiesto agli utenti in merito al trattamento dei loro dati, soprattutto per quanto riguarda le finalità pubblicitarie e di profilazione.
Si tratta di tre punti cruciali per qualsiasi società che, nel mondo dell’advertising, si trovi a lavorare con i dati personali: l’autorità garante "interlocutrice", l’informativa ed il tema, sempre più "caldo" e discusso, del consenso.
Relativamente alla legittimità dell’intervento dell’autorità francese in luogo di quella irlandese - ritenuta da Google l’unica che avesse diritto ad intervenire sulla questione - il CNIL ha fatto presente di aver attivato il meccanismo di cooperazione tra le autorità, previsto dal GDPR, coinvolgendo tutte i garanti europei ritenuti "interessati", compreso quello dell’Irlanda. Il confronto che ne è seguito, tuttavia, ha soltanto confermato la non applicabilità a Google del cosiddetto one-stop-shop, ossia l’identificazione dell’autorità garante interlocutrice in caso di trattamenti transfrontalieri in quella del paese dello "stabilimento principale" del titolare o del responsabile del trattamento.
Infatti, anche in seguito al confronto tra le varie autorità, il CNIL è giunto alla conclusione che non esista un vero "stabilimento principale" di Google LLC in Europa, dato che la sede irlandese riveste mere funzioni amministrative e che tutte le decisioni principali, dal punto di vista del trattamento dei dati personali, sono prese presso la sede centrale americana.
Pertanto, l’autorità ha ritenuto che tutte le autorità garanti europee, e nello specifico quella francese in quanto soggetto che aveva raccolto i reclami, fossero autorizzate ad intervenire nei confronti di Google. Questo accadeva, ironia della sorte, pochi giorni prima che la società americana completasse il processo di trasferimento di alcune funzioni di controller (titolare del trattamento) verso la Ltd irlandese.
Per quanto riguarda, invece, il tema dell’informativa, il CNIL ha sottolineato l’assenza di trasparenza relativamente alle informazioni fornite da Google ai propri utenti al momento della creazione di un account: Ha ritenuto, infatti, che l’eccessiva "attività" richiesta all’utente per poter reperire tutte le informazioni (fino a cinque click su pulsanti differenti per poter ricostruire le modalità di trattamento), la dispersione delle spiegazioni in fonti molteplici e tra loro eterogenee e la mancanza di precisione nella descrizione dei trattamenti, fossero in palese violazione con il disposto degli articoli 12 e 13 del GDPR, in materia di informativa.
Informazioni essenziali, come le finalità di trattamento dei dati, i periodi di conservazione o le categorie di dati personali utilizzati, in particolare per la personalizzazione degli annunci, risultano, a detta dell’autorità, incomplete o eccessivamente vaghe, non permettendo così all’utente di comprendere chiaramente gli effetti del trattamento sulla sua attività di navigazione. Ciò è stato ritenuto particolarmente grave dal CNIL, in quanto la creazione di un account Google costituisce il primo passo per l’accesso ad una moltitudine di servizi (circa venti), capaci di raccogliere quantità massicce di dati in maniera altamente intrusiva, senza che sia chiarito specificamente all’utente come e con quali conseguenze tali servizi interagiranno con il suo account, soprattutto per quanto riguarda la personalizzazione degli annunci pubblicitari.
Nell’ultimo punto, infine, il garante francese ha ripreso in sostanza quanto espresso nell’argomentazione precedente, relativamente alla mancanza di trasparenza, per decretare l’assenza di una base giuridica valida per il trattamento dei dati personali da parte di Google: il consenso prestato dall’utente con i vari click, non essendo sufficientemente "libero, specifico, informato e inequivocabile" non sarebbe, pertanto, valido. Il CNIL ha riportato, tra i vari esempi, la richiesta di consenso che recita "Google può pubblicare annunci pubblicitari in base alle tua attività quando utilizzi i servizi Google (ricerca online o su YouTube, ad esempio, nonché su siti web Google e applicazioni di partner) [traduzione degli autori]", sottolineando che l'utente non ha modo di conoscere i servizi specifici coperti da questo consenso, o la portata e l’ampiezza del trattamento dei dati e che, di conseguenza, il consenso (finalizzato ad attività di marketing profilato) così ottenuto non possa essere considerato "informato".
Infine, l’autorità francese ha sottolineato che, benché all’utente sia data la possibilità di modificare alcune opzioni associate all'account mediante il pulsante "Altre opzioni", accessibile sopra il pulsante "Crea account" e che permetterebbe di configurare la visualizzazione di annunci personalizzati, il GDPR non risulta comunque rispettato.
Infatti, l'utente non solo deve cliccare sul pulsante "Altre opzioni" per accedere alla configurazione, ma la visualizzazione della personalizzazione degli annunci è pre-selezionata e, da ultimo, prima di creare un account, l’interessato è invitato a spuntare le caselle "Accetto i Termini di servizio di Google" e "Accetto il trattamento dei miei dati come descritto sopra e ulteriormente spiegato nell'Informativa sulla privacy" dando il proprio consenso "per intero" per tutte le operazioni di trattamento effettuate da Google sulla base di questa manifestazione di volontà (personalizzazione degli annunci, riconoscimento vocale, ecc.): una modalità decisamente non in linea con il requisito di "specificità" richiesto dal Regolamento.
Il CNIL si è da ultimo espresso, nei paragrafi finali del provvedimento, relativamente alla scelta di procedere direttamente con una sanzione (si ricorda infatti che il GDPR permette alle autorità anche di procedere con ammonimenti e provvedimenti non sanzionatori), sulla valutazione di rendere quest’ultima pubblica e sulla quantificazione della stessa.
Si tratta, infatti, della prima volta in cui il CNIL ha applicato i nuovi limiti previsti dal GDPR e ha giustificato l’importo elevato e la pubblicità della sanzione con la gravità delle violazioni osservate riguardo ai principi essenziali del GDPR di trasparenza, informazione e consenso. Si tratta di garanzie essenziali, soprattutto relativamente a trattamenti, come quelli realizzati da Google, che possono rivelare aspetti importanti della vita privata degli utenti, in quanto si basano su un'enorme quantità di dati, un'ampia varietà di servizi e combinazioni quasi illimitate.
Il CNIL ha infine sottolineato che, tenendo conto della posizione rilevante che il sistema operativo Android ha sul mercato francese (migliaia di francesi creano, ogni giorno, un account Google quando usano il loro smartphone) e considerando che il modello economico dell'azienda di Mountain View è in gran parte basato sulla personalizzazione degli annunci, il rispetto degli obblighi relativi alle tre garanzie essenziali di cui sopra dovrebbe costituire il principale impegno di quest’ultima: inoltre, ha enfatizzato, non si è trattato di un'infrazione una tantum, limitata nel tempo, ma di una violazione continua e che continuava ad avere luogo anche nelle more della decisione dell’Autorità.
La partita, tuttavia, non è ancora finita: pochi giorni dopo la pubblicazione del provvedimento, numerosi giornali internazionali hanno riportato la notizia relativa alla decisione di Google di appellare la decisione davanti al Conseil d’Etat, la più alta istanza della giurisdizione amministrativa francese, ossia il giudice di ultimo grado per i ricorsi mossi contro le decisioni prese da un'autorità pubblica.
La querelle, dunque, potrebbe addirittura arrivare fino alla Corte di Giustizia dell’Unione Europea: tante sono ancora le questioni aperte e su cui non c’è una posizione univoca degli interpreti e sarà quindi molto interessante, sia per gli operatori del settore che per gli esperti di privacy, seguire i prossimi sviluppi della vicenda.
Dott.ssa Anna Maria Lorito - Studio Legale DGRS