Misure prescrittive del Garante della Privacy a Google: 18 mesi per l’adeguamento

Provvedimento del Garante della Privacy n. 353 del 10 luglio 2014 (leggi provvedimento)

L’istruttoria avviata lo scorso anno dal Garante italiano a seguito dei cambiamenti apportati da Google alla propria politica della privacy si è finalmente conclusa con un provvedimento prescrittivo (n. 353 del 10 luglio 2014). Il Garante della privacy ha stabilito, infatti, che il colosso di Mountain View non potrà utilizzare i dati degli utenti a fini di profilazione se non ne avrà prima ottenuto il consenso. Ma non solo: dovrà anche comunicare in modo chiaro ed esplicito che tale attività è svolta a fini commerciali.

Il provvedimento del Garante fa seguito alla pronuncia della Corte di Giustizia europea sul diritto all’oblio ed alla decisione della Corte Ue nella causa C-131/12. Il provvedimento è unico in Europa dal momento che non si limita a richiamare il rispetto dei principi della disciplina privacy, ma indica nel concreto le possibili misure che Google deve adottare per assicurare la conformità alla legge.

La problematica si manifestò quando Google raccolse in un unico documento le diverse regole di gestione dei dati relativi alle numerosissime funzionalità offerte: posta elettronica (Gmail), social network (Google+), pagamenti online (Google Wallet), diffusione di filmati (YouTube), mappe online (Street View), analisi statistica (Google Analytics). Tale accorpamento delle diverse policy, fu fatto senza il pieno rispetto del diritto all’informativa agli utenti prevista dalla legislazione europea.

Accertata quindi la violazione di legge, l’Autorità ha prescritto a Google l’adozione di un sistema di informativa strutturato su più livelli: un primo livello, di carattere generale e riguardante tutti i servizi offerti, in cui indicare la tipologia dei dati oggetto di trattamento (es. geolocalizzazione utente, indirizzo IP, ecc.), e un secondo livello, di carattere particolare, in cui indicare le specifiche informative relative ai singoli servizi offerti.

Nella parte generale, oltre ad indicare un indirizzo italiano presso cui rivolgersi per l’esercizio dei propri diritti, dovrà essere precisato agli utenti che i loro dati personali sono monitorati e utilizzati anche a fini di profilazione per il marketing mirato e che essi vengono raccolti anche con tecniche più sofisticate dei semplici cookie.

Google dovrà definire ed indicare i tempi di conservazione dei dati personali. Difatti, per la cancellazione di dati personali il Garante ha imposto che le richieste provenienti dagli utenti che dispongono di un account (e sono quindi facilmente identificabili) siano accolte entro due mesi se i dati sono conservati sui sistemi “attivi” ed entro sei mesi se i dati sono archiviati sui sistemi di back up.

La società di Mountain View avrà 18 mesi di tempo per adeguarsi al provvedimento del Garante.

1 agosto 2014

(Franco Pizzabiocca – f.pizzabiocca@lascalaw.com)

Print Friendly

Condividi su

Potrebbe interessarti anche

La Corte di Appello di Milano conferma la condanna a Facebook per aver contraffatto una banca dati d...

Information Technology

Il Consiglio Nazionale del Notariato prende posizione in tema di pagamenti in bitcoin rispondendo al...

Information Technology

Può essere molto compromettente salvare sul PC di lavoro file “poco professionali”. Il caso....

Information Technology