GOOGLE E PRIVACY
Con provvedimento prescrittivo nei confronti di Google Inc. sulla conformità al Codice dei trattamenti di dati personali effettuati ai sensi della nuova privacy policy, datato 10 luglio 2014, il Garante per la protezione dei dati personali ha posto tutta una serie di paletti al primo motore di ricerca mondiale, riguardo: a) modalità e contenuto dell’informativa resa agli interessati; b) omessa richiesta del consenso degli interessati per finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, nonché mancato rispetto del diritto di opposizione degli interessati (anche attraverso l’uso dei cookie e della pratica di fingerprinting); c) tempo di conservazione dei dati.
L’istruttoria ha rilevato tutta una serie di criticità della privacy policy adottato dalla multinazionale.
Adesso Google dovrà:
1) in adempimento dell’art. 13 del Codice, rendere un’informativa completa ed efficace agli utenti, secondo i criteri e le modalità indicate al paragrafo 2 del presente provvedimento;
2) ai sensi delle disposizioni di cui agli artt. 23 e 122 del Codice, acquisire il consenso preventivo degli utenti, sia autenticati che non autenticati, in relazione al trattamento delle informazioni che li riguardano, anche derivanti dal trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all’utilizzo del servizio per l’inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, tramite incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità tra quelle messe a disposizione, nonché per l’utilizzo di cookie e di altri identificativi per finalità di profilazione tesa anche alla fornitura di pubblicità comportamentale nonché all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, secondo i criteri e le modalità indicate al paragrafo 3 del presente provvedimento; e di garantire ai medesimi interessati la possibilità dell’esercizio del diritto di opposizione di cui all’art. 7 del Codice;
3) in osservanza del principio di cui all’art. 11 del Codice in materia di conservazione di dati e con esclusione delle richieste di cancellazione relative all’esercizio del diritto di oblio avanzate in ordine ai risultati delle ricerche rinvenibili nel web attraverso l’uso della specifica funzionalità del motore di ricerca (Google search):
– nel caso le informazioni si trovino sui sistemi cd. attivi, provvedere alla cancellazione dei dati personali su richiesta dell’interessato autenticato entro il termine massimo di due mesi, ritenuto congruo tale periodo in ragione, da un lato, della possibile indeterminatezza della richiesta e, dall’altro, dell’accertamento, da parte della società, dell’identità del richiedente nonché dell’agevole, specifica individuazione delle informazioni oggetto della richiesta, in quanto automaticamente riferibili all’account di questi e, di riflesso, non assoggettabili ad alcun processo di valutazione arbitraria. Il menzionato termine massimo di due mesi è quantificabile, per ragioni legate al calendario, in 62 giorni solari e dunque le richieste dovranno essere accolte entro il compimento del 63° giorno, a seguito comunque di un periodo preliminare pari a 30 giorni nel corso del quale i dati si troveranno in stato di disattivazione; ritenuto necessario, tale periodo preliminare, a tutela dell’utente medesimo, in quanto idoneo a prevenire cancellazioni accidentali o fraudolente dei suoi dati personali;
– qualora, invece, i dati siano stati archiviati nei sistemi di back- up, il tempo massimo per procedere alla relativa cancellazione sarà pari a sei mesi dalla richiesta dell’utente autenticato, quantificabili in 180 giorni solari e dunque entro il compimento del 181° giorno. Durante questo periodo è tuttavia necessario che la sola operazione consentita sui dati sia il recupero di informazioni perse e che esse siano protette da accessi non autorizzati mediante utilizzo di idonee tecniche di cifratura o, se del caso, di anonimizzazione dei dati stessi; ciò in accordo con i principi identificati dal WP 29 nell’Opinion n. 05/2014 sull’impiego delle tecniche di anonimizzazione del 10 aprile 2014;
– adottare una policy di data retention conforme al principio di finalità fissato dal Codice.
4) L’implementazione delle misure di cui ai punti da 1 a 3 dovrà avvenire entro e non oltre 18 mesi dalla data della notifica del provvedimento prescrittivo.
Qui di seguito il provvedimento prescrittivo con la indicazione delle varie parti del provvedimento per renderne più agevole la consultazione.
Avv. Filippo Pagano
managing partner at clouvell (www.clouvell.com) (f.pagano@clouvell.com)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PREMESSO
Gogle Inc. e Google Italia
La società Google Inc. (di seguito, Google), è stata fondata nel settembre 1998 ed ha sede legale in Mountain View, Stati Uniti.
Google, in Italia, è presente tramite la propria controllata, Google Italy S.r.l., con unico socio, società costituita nel 2002 che gode di personalità giuridica autonoma e che si occupa principalmente della promozione, commercializzazione e vendita di spazi pubblicitari generati sul sito web www.google.it e su tutte le altre pagine web in lingua italiana comunque riconducibili alla società.
Come è noto, l’art. 5 del codice privacy intitolato “
Oggetto ed ambito di applicazione” stabilisce che “1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali”.
Orbene, Google Inc. ha designato Google Italy quale proprio rappresentante in Italia ai sensi e per gli effetti del suddetto art. 5 del Codice “in relazione all’applicazione del Codice Privacy e alla normativa sulla tutela dei dati personali”.
I servizi offerti da Google
1. motore di ricerca sul web (Google search)
2. servizio di posta elettronica (Gmail),
3. mappe online (Street View su Google Maps)
4. spazi pubblicitari (DoubleClick),
5. browser (Google Chrome)
6. social network (Google +)
7. gestione di pagamenti online (Google Wallet)
8. negozio virtuale per l’acquisto di applicazioni, musica, film, libri e riviste (Google Play),
9. servizio di ricerca, visualizzazione e diffusione di filmati (YouTube)
10. servizi di immagazzinamento, condivisione e revisione di testi (Google Docs e Google Drive),
11. software per la visualizzazione di immagini satellitari (Google Earth)
12. software per la gestione di agende e calendari (Google calendar)
13. controllo e gestione dei profili dell’utente (Google Dashboard),
14. strumenti di analisi statistica e di monitoraggio dei visitatori di siti web (Google Analytics).
Vi sono servizi ai quali possono accedere solo gli utenti autenticati ( a seguito di procedura di autenticazione per lo più gratuita) e vi sono altri servizi ai quali possono accedere tutti gli autenti anche in assenza di previa autenticazione.
A tale categoria devono aggiungersi i cd. passive users. Si tratta di soggetti che non utilizzano direttamente i servizi di Google ma, ciononostante, sono soggetti all’acquisizione dei relativi dati.
La modifica della privacy policy da parte di Google.
Il 24 gennaio 2012 Google ha annunciato che dal successivo 1° marzo avrebbe modificato la propria privacy policy unificando in un solo documento le circa 70 diverse policy fino ad allora in vigore, ciascuna relativa alla fornitura di un diverso servizio. Le nuove regole si applicano, pertanto, all’insieme dei servizi offerti dalla società e alle diverse tipologie di utenti che ne usufruiscono.
L’analisi sulla conformità dei trattamenti di Google.
Il 2 febbraio 2012 il WP 29, per il tramite della CNIL (Commission Nationale de l’informatique et des libertés), all’uopo delegata, ha comunicato a Google l’intenzione di condurre un’analisi della nuova privacy policy alla luce della richiamata direttiva 95/46/CE; e ciò con specifico riferimento alla valutazione della conformità dei trattamenti di dati effettuati dalla società alla disciplina in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il 16 marzo 2012 la CNIL, nella richiamata qualità, ha inviato a Google un questionario, successivamente integrato da un’appendice, per il tramite del quale ha chiesto alla società di chiarire numerosi aspetti relativi ai trattamenti di dati effettuati; alle domande Google ha reso
riscontro con diverse, successive comunicazioni.
Le contestazioni mosse a Google
Il WP 29 ha pertanto inviato, il 16 ottobre 2012, una comunicazione a firma di tutti i Presidenti delle Autorità di Protezione dei dati personali dell’Unione con la quale, sulla base dei menzionati riscontri, si contestava alla società l’omessa conformità dei trattamenti di dati effettuati ai requisiti imposti dalla disciplina europea in materia e la si invitava all’adozione delle misure idonee ad assicurare il rispetto di alcuni, specifici principi. Il medesimo WP 29 ha poi deliberato la costituzione di un’apposita task force di cui sono state chiamate a far parte alcune delle autorità di protezione dei dati personali degli stati membri facenti parte del gruppo, tra cui l’Italia.
Google non ha, tuttavia, dato seguito alle raccomandazioni espresse dal WP 29 nei termini da questo indicati.
La comunicazione di avvio del procedimento amministrativo
Con comunicazione del 2 aprile 2013 il Garante, analogamente alle altre Autorità di protezione dei dati personali coinvolte, ha pertanto informato Google dell’avvio del procedimento amministrativo nei suoi confronti, teso ad un controllo, instaurato a seguito sia della ricezione
di specifiche segnalazioni, sia delle risultanze dell’istruttoria condotta dal WP 29 (e, per esso, dalla CNIL), sulla liceità e la correttezza dei trattamenti effettuati dalla società ai sensi della nuova privacy policy.
Nel corso del procedimento l’Autorità ha rivolto diverse richieste di informazioni a Google, ha tenuto più audizioni con i suoi rappresentanti ricevendo svariati, ancorché parziali, riscontri ai quesiti posti. Anche in ragione delle specifiche istanze avanzate dalla società, motivate innanzitutto nella complessità necessaria per rendere risposta alle domande e nella volontà di adottare alcune modifiche ed implementazioni nei processi che presiedono e determinano le modalità di trattamento dei dati personali degli utenti, i termini del procedimento sono stati più
volte prorogati a seguito di sospensione, per consentire l’acquisizione di tutti gli elementi necessari alla definizione del caso di specie.
Le misure adottate da Google
Google ha adottato, nel corso della procedura, una serie di misure e di modifiche della propria policy per rendere i trattamenti di dati personali più conformi alle disposizioni di legge applicabili. Sono state infatti ad esempio migliorate, rispetto alla fase di avvio dell’investigazione del WP 29, l’informativa presente sul sito relativa all’utilizzo di cookie e di altri identificativi, sull’impiego di dati di localizzazione o dei numeri di carta di credito, sono stati introdotti esempi esplicativi anche per il tramite di pop-up, semplificazioni nei meccanismi di gestione di account multipli, migliorata la comprensione dell’utente con riguardo alla terminologia di carattere tecnico utilizzata etc.
Le criticità riscontrate dal Garante nel trattamento dei dati personali da parte di Google.
All’esito dell’istruttoria il Garante, sulla base delle disposizioni del Codice, ha tuttavia identificato le seguenti criticità, tuttora riscontrabili nei trattamenti di dati personali effettuati dalla società:
A) modalità e contenuto dell’informativa resa agli interessati, anche in relazione all’esplicitazione delle diverse finalità e alle modalità del trattamento dei loro dati personali (cfr. Terms of service e privacy policy, vers. 31.3.14) (art. 13 del Codice);
B) omessa richiesta del consenso degli interessati per finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, nonché mancato rispetto del diritto di opposizione degli interessati (artt. 7, 23, 24 e 122 del Codice).
La profilazione in questione ed il relativo inoltro di comunicazioni commerciali mirate ovvero l’analisi ed il monitoraggio dei comportamenti degli utenti vengono effettuati essenzialmente mediante:
a) trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all’utilizzo del servizio per l’inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail;
b) incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell’utente;
c) utilizzo di cookie e altri identificatori (credenziali di autenticazione, fingerprinting etc.), necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern);
C) tempo di conservazione dei dati (art. 11 del Codice).
L’articolo 13 del codice privacy
Quanto al punto A) del paragrafo che precede, l’art. 13 del Codice stabilisce che “L’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi; e) i diritti di cui all’articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile…”.
L’istruttoria condotta ha accertato che l’attuale informativa resa agli utenti, sebbene migliorata rispetto all’avvio del presente procedimento, non è ancora conforme alla menzionata disposizione di legge.
È di tutta evidenza che la preventiva consapevolezza degli utenti circa i possibili impieghi delle informazioni che li riguardano costituisce l’ineludibile presupposto per consentire agli interessati medesimi di esprimere o meno il proprio consenso ai trattamenti di dati come illustrati dalla società, a seguito della necessaria e personale valutazione sull’impatto che tali trattamenti potranno avere sul proprio diritto alla protezione dei dati personali.
La privacy policy deve consentire che l’informativa sia resa ai propri utenti facilmente accessibile, ad esempio con un solo click dalla pagina del dominio cui l’utente accede, formulata in modo chiaro, completo ed esaustivo.
Al pari è necessario che, a fronte di eventuali aggiornamenti o modifiche di tale documento, gli interessati siano posti nella condizione di comprendere e valutare i cambiamenti apportati, anche eventualmente mediante raffronto tra le diverse versioni della privacy policy susseguitesi nel tempo.
Cosa dovrà fare Google
Nel rimodulare la propria privacy policy Google potrà conformarsi alle raccomandazioni espresse dal WP 29 nell’Opinion n. 10/2004 sulla maggiore armonizzazione della fornitura di informazioni, adottata il 25 novembre 2004, e strutturarla su più livelli, in quanto: “Le avvertenze
multistrato possono contribuire a migliorare la qualità delle informazioni sulla tutela dei dati; ciascuno strato privilegia le informazioni necessarie alla persona per capire la propria posizione e assumere decisioni. In caso di spazio/tempo di comunicazione limitato, i formati multistrato possono migliorare la leggibilità delle avvertenze”.
È bene tuttavia precisare che una tale architettura dovrebbe essere comunque configurata evitando un’eccessiva frammentazione in un numero troppo elevato di livelli, pena la dispersione delle informazioni rese che ovviamente ne comprometterebbe la fruibilità. Mantenendo, pertanto, la struttura dell’informativa su più livelli, il Garante ritiene opportuno che le informazioni siano distribuite in accordo con il seguente criterio:
– un primo livello all’interno del quale ospitare tutte le informazioni di carattere generale di maggiore importanza per gli utenti, relative tra l’altro ai trattamenti di dati personali effettuati, alle tipologie di dati personali oggetto di trattamento, anche per categorie (ad es. dati di localizzazione dei terminali degli utenti e dei punti di accesso wi-fi, indirizzi IP, MAC address, dati relativi a transazioni finanziarie e così via), alla qualifica di titolare che compete alla società ed ai suoi estremi identificativi, nonché l’indicazione del rappresentante designato nel territorio dello stato e di un indirizzo presso cui gli utenti possano esercitare in modo agevole ed in lingua italiana i propri diritti.
Con specifico riguardo alla sua qualifica di titolare, giova sottolineare che a seguito dell’acquisizione di Youtube da parte di Google avvenuta nell’ottobre 2006, anche tale specifica funzionalità che consente la condivisione e visualizzazione in rete di video (video sharing) è divenuta parte integrante del dominio Google. È emerso, tuttavia, che Google non informa con chiarezza gli utenti circa la propria identità di titolare dei dati personali raccolti anche attraverso l’uso di questo servizio e successivamente incrociati con quelli relativi ad altre funzionalità. Tale indicazione è pertanto necessario sia espressa in modo visibile sia nella privacy policy, sia nelle
pagine di fruizione di YouTube.
In questo primo livello di informativa è inoltre necessario riportare i link alle specifiche policy delle singole funzionalità, ove esistenti, nonché almeno l’indicazione della finalità di profilazione, tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, perseguita attraverso le diverse modalità di:
trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all’utilizzo del servizio per l’inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell’utente, utilizzo di cookie e altri identificatori (credenziali di autenticazione, fingerprinting etc.), necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern).
In linea con l’indicazione della menzionata finalità di profilazione e delle modalità attraverso cui la società la persegue, il primo livello dovrà inoltre indicare dettagliatamente le modalità di acquisizione del consenso al trattamento, ove necessario. Sul punto si tornerà nel prosieguo.
– Il secondo livello può essere invece destinato a contenere la policy relativa alle specifiche funzionalità ovvero diversi esempi per chiarire le modalità del trattamento delle informazioni personali. Tale livello è già esistente, al momento, per funzionalità selezionate (ad esempio Google Wallet, Chrome (OS), Books e Fiber), ma non per tutte. In questo secondo livello potrebbero anche essere archiviate le precedenti versioni della privacy policy, ancorché non più in vigore, l’indicazione dei rischi specifici che possono derivare per gli interessati dall’utilizzo dei servizi (ad esempio in caso di scelta di password non sufficientemente sicure poiché di agevole identificazione etc.) e tutte le altre indicazioni di dettaglio idonee a consentire il più efficace esercizio dei diritti riconosciuti agli utenti.
Le regole che determinano l’efficacia e la correttezza dell’informativa resa all’utente devono applicarsi in modo identico per ciascun tipo di terminale (mobile, tablet, desktop computer, dispositivi portatili e TV plug-in) e per ogni applicazione resa disponibile agliutenti.
Il consenso al trattamento dei dati personali da parte dell’interessato.
3. Quanto al punto B) del paragrafo 1, è necessario preliminarmente richiamare il principio di carattere generale di cui all’art. 23 del Codice, ai sensi del quale “Il trattamento di dati personali da parte di privati … è ammesso solo con il consenso espresso dell’interessato”; inoltre tale
consenso è valido solo “se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13”. Il successivo art. 24 disciplina, poi, una
serie di presupposti considerati equipollenti al consenso, al ricorrere dei quali il trattamento può essere pertanto effettuato anche in assenza di esso. Tra questi, a titolo esemplificativo, l’adempimento di obblighi di legge, l’esecuzione di obblighi contrattuali, il perseguimento di un
legittimo interesse del titolare o di un terzo destinatario dei dati etc.
La portata generale di questo principio trova poi specificazione nella disposizione dell’art. 122 contenuto nella parte speciale del Codice, e segnatamente nel suo titolo X relativo alle comunicazioni elettroniche, capo I (“Servizi di comunicazione elettronica”), ai sensi del quale
“L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”.
QUANDO NON E’ NECESSARIO ACQUISIRE IL CONSENSO IN RELAZIONE AI SERVIZI DI POSTA ELETTRONICA…
Se si esamina la specifica attività di fornitura del servizio di posta elettronica per l’inoltro e la ricezione di messaggi veicolati attraverso Gmail, di cui alla lett. a), punto B), del paragrafo 1) che precede, nonché le informazioni rese al riguardo da Google anche nel corso dell’istruttoria, se ne trae che la società, al pari di tutti i maggiori provider, effettua attività di trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati che utilizzano tale servizio; e ciò per il conseguimento di diverse finalità. Alcune di esse, anche di carattere strettamente tecnico, sono direttamente riconducibili alla fornitura del servizio in questione secondo specifiche modalità, quali ad esempio l’impiego di filtri antispam, la rilevazione di virus, la possibilità, garantita all’utente, di effettuare ricerche testuali, utilizzare il controllo ortografico, far ricorso all’inoltro selettivo di messaggi o di risposte automatiche in caso di assenza, gestire le preferenze e la creazione di regole per l’assegnazione del messaggio a cartelle determinate in base al suo contenuto, fare uso di flag per marcare messaggi segnati da carattere di urgenza, consentire la lettura vocale dei messaggi per soggetti non vedenti, la conversione delle e-mail in entrata in messaggi di testo per telefoni cellulari etc.
In questo caso, il trattamento dei dati degli interessati per le richiamate finalità – effettuato, come ha precisato la società, in modo del tutto automatizzato e dunque senza alcun intervento umano -, come pure per salvaguardare la sicurezza dei servizi offerti all’utente, è, ai sensi delle direttive 95/46/CE e 2002/58/CE prima, e del Codice poi, sottratto all’obbligo della preventiva acquisizione del loro consenso, dal momento che rientra nell’ipotesi di deroga che attiene l’esecuzione di obblighi derivanti dal contratto di fornitura del servizio di posta elettronica.
….E QUANDO LO E’.
Per il conseguimento, invece, di finalità ulteriori rispetto a quelle direttamente e strettamente inerenti la messa a disposizione della specifica funzionalità del servizio di posta elettronica, ed in particolare per la visualizzazione, da parte dell’utente autenticato, di messaggi di testo tesi
alla fornitura di pubblicità comportamentale personalizzata, è invece necessario che Google provveda ad acquisire il preventivo ed informato consenso dei propri utenti.
A tale riguardo, si richiamano anche le conclusioni del WP 29 nel parere n. 2/2006 sugli aspetti della vita privata inerenti ai servizi di screening dei messaggi di posta elettronica, del 21 febbraio 2006 che, nell’indagare proprio il delicato bilanciamento tra le esigenze di tutela della riservatezza delle comunicazioni e quelle della fornitura di servizi connessi all’utilizzo della posta elettronica, ed in linea con il dichiarato obiettivo di “promuovere tecnologie che integrino i requisiti di protezione dei dati e tutela della privacy nella realizzazione di infrastrutture e sistemi di informazione, ivi comprese le apparecchiatura terminali”, ha espressamente invitato gli operatori del settore a “progettare e mettere a punto sistemi rispettosi della vita privata, riducendo al minimo il trattamento di dati personali e limitandolo a quanto strettamente necessario e proporzionato alle finalità del trattamento”. Nella medesima Opinion il Gruppo si è, peraltro, espresso anche in ordine alla possibilità di ricercare una linea di demarcazione tra le attività di trattamento dei dati effettuate per finalità di gestione del servizio o di sicurezza delle reti, che non necessitano di essere preventivamente autorizzate dall’interessato, e quelle tese invece al conseguimento di finalità ulteriori, stabilendo peraltro che quando il trattamento non trova legittimazione nella necessità del provider di salvaguardare la sicurezza del servizio, in forza dell’art. 5, paragrafo 1 della direttiva e-privacy, deve intendersi fatto divieto ai provider procedere in altre operazioni del trattamento “senza il consenso degli utenti”.
Così delineato il quadro giuridico di riferimento se ne induce allora, con specifico riguardo alla presente istruttoria, che, per le attività di profilazione tese alla fornitura di pubblicità comportamentale mirata mediante trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all’utilizzo del servizio per l’inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, è necessario, lo si ribadisce, che Google ne acquisisca il preventivo ed informato consenso.
Con riferimento all’utilizzo della specifica funzionalità di posta elettronica, l’Autorità si riserva comunque l’adozione di ogni iniziativa ritenuta opportuna a tutela degli interessati.
L’INCROCIO DEI DATI PERSONALI DELL’INTERESSATO
Con riguardo a quanto indicato alla lettera b) del punto B) che precede, l’istruttoria in questione ha evidenziato che Google procede all’incrocio dei dati personali degli interessati anche relativi all’utilizzo di più funzionalità diverse tra quelle messe a disposizione (come dichiarato dalla società sia nella lettera del 20 aprile 2012 alla CNIL in replica al richiamato questionario inviatole, cfr. risposta alla domanda n. 30, sia nella privacy policy, da ultimo vers. 31.3.14, “Modalità di utilizzo dei dati raccolti”) ed ha motivato questa specifica modalità di trattamento affermando: “Utilizziamo le informazioni raccolte da tutti i nostri servizi per offrirli, gestirli, proteggerli e migliorarli, per svilupparne di nuovi e per proteggere Google e i suoi utenti. Utilizziamo queste informazioni anche per offrire contenuti personalizzati, ad esempio per mostrare risultati di ricerca e annunci più pertinenti.
Potremmo unire le informazioni personali derivanti da un servizio a quelle (comprese le informazioni personali) di altri servizi Google”
Tale condotta, seppure in linea con la filosofia imprenditoriale della società la quale ha a più riprese affermato di voler offrire ai propri utenti un servizio unificato mediante l’integrazione e l’interoperabilità di diversi prodotti e funzionalità, anche al fine di fornire agli interessati una
migliore esperienza di utilizzo, appunto, di tali funzionalità (cfr. comunicazione da Google al Garante del 6 dicembre 2013), non appare tuttavia conforme al richiamato dettato normativo, dal momento che le operazioni di trattamento tese alla profilazione dell’utente anche per
scopi di analisi e di monitoraggio dei visitatori di siti web nonché all’invio di pubblicità personalizzata realizzate anche attraverso l’incrocio di dati raccolti in relazione a funzionalità diverse, non rientrando in alcuno dei casi di esonero dall’obbligo di acquisizione del consenso di cui all’art. 24 del Codice, possono essere effettuate soltanto previa espressa manifestazione di volontà dell’utente stesso.
Né è sufficiente, a tal fine, la sola menzione di questa finalità tra quelle oggetto dell’informativa resa agli interessati per esimere Google dall’obbligo di acquisirne un valido consenso. Al riguardo, si consideri che la privacy policy disponibile sul sito reca l’indicazione per la quale “Richiediamo il consenso dell’utente per utilizzare le informazioni per scopi diversi da quelli stabiliti nelle presenti Norme sulla privacy”; con ciò lasciando, proprio, intendere che tutti i trattamenti relativi a finalità che sono, invece, esplicitate all’interno della privacy policy non necessitino di essere preventivamente ed espressamente approvati dall’utente con un esplicito atto di manifestazione della sua volontà.
Tale conclusione non è, naturalmente, in alcun modo condivisibile e, pertanto, l’Autorità ritiene che il trattamento in questione richieda una diversa disciplina e debba essere condotto secondo altre, diverse modalità.
L’UTILIZZO DEI COOKIE E L’ATTIVITA’ DI FINGERPRINTING
3.3 Con riferimento, poi, alle attività poste in essere da Google e richiamate sub lett. c), punto B), del paragrafo 1) che precede (utilizzo di cookie e altri identificatori quali credenziali di autenticazione, fingerprinting etc.), si osserva che, analogamente a quanto già emerso in relazione alla profilazione effettuata mediante l’incrocio dei dati di cui si è detto in precedenza, la privacy policy di Google si limita ad affermare: “Utilizziamo i dati raccolti tramite i cookie e altre tecnologie, come i tag di pixel, per migliorare l’esperienza degli utenti e la qualità generale dei nostri servizi”.
L’istruttoria ha consentito di accertare che nel mese di aprile 2013 Google ha reso disponibile una specifica sezione che informa gli utenti sull’installazione di cookie all’interno dei propri terminali. Vi si legge: “I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi,
accetti l’utilizzo dei cookie da parte nostra”. Tale sezione è corredata di un’area “attiva” (cd. “OK button”) che consente all’utente esclusivamente di segnalare a Google la presa visione della frase ora menzionata. L’eventuale selezione del pulsante è tuttavia priva di alcuna concreta funzione in relazione alla scelta consapevole che la legge richiede venga rimessa all’interessato, dal momento che i cookie vengono comunque installati nel suo terminale, a prescindere dalla circostanza che questi abbia cliccato l’OK button o no.
Non è inoltre in alcun modo prevista l’acquisizione del consenso dell’interessato alla memorizzazione di tali identificatori all’interno del proprio terminale, se non – come appunto indicato nella breve informativa fornita – per fatti concludenti, i quali consistono nella passiva
accettazione delle condizioni d’uso e nel cd. further browsing, cioè nella prosecuzione della navigazione all’interno del sito. In aggiunta a ciò, è anche emerso che nessuno strumento è reso disponibile al fine di consentire l’eventuale esercizio del diritto di opposizione al trattamento.
Quanto, invece, all’utilizzo di altri identificatori diversi dai cookie – menzionati, lo si è visto, nella privacy policy – non risulta che sia stato implementato alcun meccanismo per consentire una pur minima interazione dell’utente riguardo il loro utilizzo, se è vero che l’OK button, oggetto di descrizione, fa esplicito ed esclusivo riferimento ai cookie.
Giova pertanto precisare, al riguardo, che il ricorso a tecniche di identificazione diverse dai cookie si basa sul trattamento, da parte della società, di dati personali ovvero anche di informazioni o parti di informazioni (che non sono o non sono ancora dati personali ma che, poste in associazione tra loro ovvero con altre informazioni, possono diventarlo), con l’obiettivo di pervenire all’identificazione inequivoca (cd. single out) del terminale e, per il suo tramite, anche del profilo di uno o più utilizzatori di quel dispositivo. Tale tecnica, denominata fingerprinting, utilizzata da Google per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, risulta anch’essa disciplinata, al pari dell’impiego dei cookie, dall’art. 122 del Codice; con ogni riflesso in ordine all’obbligo di acquisizione del consenso preventivo dell’interessato, tranne i casi di esenzione previsti (nella specie, trasmissione di una comunicazione su una rete di comunicazione elettronica o erogazione del servizio su richiesta dell’utente).
La sola differenza apprezzabile, sulla quale l’Autorità intende comunque porre l’accento, tra l’impiego dei cookie e del fingerprinting, consiste nel fatto che mentre nel primo caso l’utente che non intenda essere profilato, oltre alle tutele di carattere giuridico connesse all’esercizio del diritto di opposizione, ha anche la possibilità pragmatica di rimuovere direttamente i cookie, in quanto archiviati all’interno del proprio dispositivo, con riguardo al fingerprinting il solo strumento nella sua disponibilità consiste nella possibilità di rivolgere una specifica richiesta al titolare, confidando che essa venga accolta. Ciò in quanto il fingerprinting non risiede nel terminale dell’utente, bensì presso i sistemi del provider, ai quali l’interessato non ha, ovviamente, alcun accesso libero e diretto.
In definitiva, appare allora evidente che le descritte modalità di trattamento adottate dalla società per finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, anche
realizzata con diverse modalità, non soddisfano i requisiti degli artt. 23, 24 e 122 del Codice e pertanto se ne impone, anche in questo caso, una modifica.
In altri termini, il trattamento in esame, come emerso all’esito dell’istruttoria, può essere effettuato solo previo consenso dell’interessato; tale consenso deve inoltre rispondere, ai fini della sua validità, ai requisiti di legge e pertanto esso deve essere libero, acquisito in via preventiva rispetto al trattamento medesimo, riferibile a trattamenti che perseguono finalità esplicite e determinate, informato e documentato per iscritto.
È dunque necessario, in tal senso, che la sua espressione costituisca una inequivoca manifestazione di volontà da parte dell’interessato.
COSA DOVRA’ FARE GOOGLE PER ADEGUARSI
4. Google, nella sua autonomia imprenditoriale e nella qualifica di titolare del trattamento cui competono, tra l’altro, proprio “le decisioni in ordine alle … modalità del trattamento di dati personali” (art. 4, comma 1, lett. f) del Codice), può scegliere in ordine ai criteri ed alle misure
da adottare per assicurare la necessaria conformità alla legge dei trattamenti di dati degli utenti volti alla loro profilazione, comunque effettuata.
Considerata la specificità dei servizi on-line offerti dalla società, il Garante propone comunque una soluzione idonea a soddisfare i menzionati requisiti previsti dalle disposizioni vigenti, segnatamente dagli artt. 7, 23 e 122 del Codice.
In questa prospettiva, si ritiene che debba necessariamente sussistere uno stadio ovvero un momento, nel corso dell’esperienza di navigazione dell’utente e ovviamente preliminare rispetto alla fruizione delle funzionalità, nel quale gli sia appunto consentito scegliere tra più, diverse
alternative.
Considerata d’altro canto la distinzione, richiamata in premessa, tra utenti autenticati e non autenticati, le forme di acquisizione di tale consenso potranno, di riflesso, essere diversificate proprio in relazione alla tipologia di utente considerata.
4.1 In tal senso, con specifico riguardo agli utenti non autenticati, è stato possibile rilevare che, allo stato attuale, in nessun momento della fruizione di una o più diverse funzionalità esiste uno spazio, fisico ovvero virtuale, idoneo a consentire loro, da un lato, di esprimere un eventuale consenso al trattamento come più sopra identificato; dall’altro e allo stesso tempo a Google di prendere atto e tenere traccia delle scelte manifestate.
Nella delineata situazione, è dunque necessario che Google implementi un tale meccanismo, ad esempio facendo sì che l’utente non autenticato, accedendo alla home page (o ad altra pagina) del sito web, visualizzi immediatamente in primo piano un’area di idonee dimensioni, ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, contenente almeno le seguenti indicazioni:
i) che il sito effettua attività di trattamento dei dati per finalità di profilazione sia mediante trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all’utilizzo del servizio per l’inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, sia tramite incrocio dei dati tra funzionalità diverse, sia utilizzando cookie o altri identificatori anche al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete nonché allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti
web;
ii) il link alla privacy policy, ove vengono fornite tutte le indicazioni di cui al paragrafo 2);
iii) il link ad una ulteriore area dedicata nella quale sia possibile negare il consenso alla profilazione ovvero selezionare, in modo esaustivamente analitico, soltanto la oppure le funzionalità e le modalità in relazione all’utilizzo delle quali l’utente sceglie di essere
profilato;
iv) l’indicazione che la prosecuzione della navigazione mediante accesso o selezione di un elemento sottostante o comunque esterno all’area in primo piano (ad esempio, di un form di ricerca, di una mappa, di un’immagine o di un link) comporta la prestazione del consenso alla profilazione.
La menzionata area deve essere parte integrante di un meccanismo idoneo a consentire l’espressione di una azione positiva nella quale si sostanzia la manifestazione del consenso dell’interessato. In altre parole, essa deve determinare una discontinuità, seppur minima,
dell’esperienza di navigazione: il superamento della presenza dell’area visualizzata deve cioè essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante l’area stessa).
Ed è di tutta evidenza che, sia da un punto di vista giuridico, sia da un punto di vista tecnico, non sarà possibile attribuire il medesimo significato né all’azione, alternativa, che si sostanzia nell’accesso all’ulteriore area nella quale modulare le scelte né alla selezione, per il
tramite dell’apposito link, della pagina che contiene la privacy policy.
È opportuno sottolineare che ciascuna delle possibili azioni nella disponibilità dell’utente genera uno specifico evento informatico il quale, per le descritte caratteristiche, è dunque inequivocamente riconoscibile dal fornitore del servizio che può pertanto agevolmente tenerne
traccia.
Nel caso l’utente abbia acconsentito all’utilizzo dei propri dati per la finalità esplicitata, tale operazione soddisferà allora pienamente il requisito dell’art. 23 del Codice il quale esige che l’avvenuto consenso sia “documentato per iscritto”.
La presenza di tale “documentazione” dell’avvenuta acquisizione del consenso dell’interessato consentirà poi a Google di non riproporre alcuna forma di discontinuità nella navigazione alle ulteriori visite dell’utente, che utilizzi il medesimo terminale, sui domini oggetto di
questo provvedimento, ferma restando naturalmente la possibilità per quest’ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni (cfr. art. 7, comma 4 del Codice). Per consentire, proprio, l’effettività di tale diritto di autodeterminazione, è allora altresì necessario che tutte le pagine web oggetto del presente provvedimento rechino un collegamento all’area dedicata all’interno della quale l’utente potrà esercitare compiutamente i propri diritti.
Nel caso in cui, invece, l’utente si sia limitato a selezionare il collegamento alla privacy policy, proprio per ricevere maggiori informazioni al fine di compiere scelte ancor più consapevoli, il meccanismo in discussione gli dovrà essere riproposto alla prima azione successiva alla presa visione dell’informativa, per consentirgli di esprimere il proprio consenso o diniego al trattamento.
Qualora, infine, abbia scelto di accedere all’area dedicata alla modulazione delle scelte, poiché anche questa azione, al pari della selezione del link alla privacy policy – lo si è anticipato – non equivale ancora consenso, Google dovrà registrarla, integrando poi questa informazione con
quelle, ulteriori, relative alle specifiche scelte poste in essere dall’utente, anche in modo dettagliatamente analitico.
Per realizzare il tracciamento delle azioni e delle scelte, anche di dettaglio (espressione ovvero negazione, in tutto o in parte, del consenso, come pure esercizio del diritto di opposizione alla profilazione) rimesse all’interessato, la società potrebbe avvalersi o di appositi cookie tecnici (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE), oppure di altri identificatori diversi dai cookie.
Con l’ovvia, ulteriore avvertenza tuttavia che, qualora la menzionata “documentazione” sia stata effettuata da Google mediante utilizzo di cookie, se l’utente scegliesse, come è nella sua disponibilità, di rimuovere tutti quelli installati sul proprio dispositivo, incluso il menzionato marcatore “tecnico”, poiché questa operazione, non coinvolgendo il titolare, non equivale esercizio del diritto di opposizione, Google dovrebbe nuovamente, anche in questo caso, far ricorso al meccanismo di acquisizione del consenso sopra rappresentato.
Qualora, invece, la società si sia avvalsa di altri identificatori diversi dai cookie, e dunque non archiviati all’interno del dispositivo nella disponibilità dell’utente, bensì presso i server nella disponibilità del fornitore, al mutare delle preferenze espresse dall’interessato, essenzialmente sempre revocabili, la società non dovrà fare ulteriormente ricorso al meccanismo di riproposizione della discontinuità, bensì procedere all’aggiornamento, proprio, delle indicazioni già registrate.
4.2 Il meccanismo descritto intende realizzare uno spazio fisico ovvero virtuale deputato alla raccolta ed alla gestione del consenso degli utenti non autenticati.
Anche agli utenti autenticati dovranno, naturalmente, essere garantite le stesse tutele; ed è opportuno che, con l’obiettivo di assicurare la medesima fruibilità dell’esperienza di navigazione (user experience), coloro che dispongono di un account Google siano posti nella condizione di utilizzare i meccanismi di espressione, negazione e revoca del consenso già descritti a proposito degli utenti non autenticati. La principale differenza tra le menzionate tipologie di interessati consiste nella diretta ovvero indiretta riconducibilità delle scelte effettuate a soggetti appartenenti all’una ovvero all’altra categoria, essendo l’utente autenticato, per così dire, già pienamente identificato in re ipsa.
Occorre considerare inoltre che anche gli utenti autenticati – sia chi si accinga a creare un nuovo account sia chi già ne disponga e si appresti, nella prima sessione utile, a fruire delle funzionalità mediante autenticazione e relativa digitazione delle proprie credenziali – devono necessariamente attraversare una fase della navigazione nella quale, appunto preliminarmente rispetto alla creazione dell’account oppure all’accesso autenticato alle funzionalità, non sono ancora riconoscibili dal sistema. Pare allora opportuno che, appunto in tale fase preliminare, ad essi, al pari dei non autenticati, venga proposto il medesimo meccanismo di acquisizione del consenso come sopra ipotizzato; con la differenza, tuttavia, che se tali utenti accettano di proseguire nella navigazione e dunque esprimono il proprio consenso superando la discontinuità artificialmente indotta per approdare, alternativamente, o alla pagina di creazione dell’account (per i nuovi autenticati) ovvero a quella nella quale viene visualizzata la schermata in cui digitare le credenziali di autenticazione (per quelli che già dispongono di un account), questa fase della navigazione, che è il momento tipico nel quale il sistema è in grado, in modo diretto ed inequivoco, di attribuire comportamenti e scelte a soggetti determinati, non venga gravata di ulteriori complessità.
Anche in linea con il principio di finalità disciplinato dal Codice, si ritiene pertanto che nella delineata situazione l’ulteriore passaggio oggetto di descrizione, configurandosi come specificazione del precedente, possa essere gestito annettendo prioritaria rilevanza alle scelte già consapevolmente manifestate dall’utente non autenticato e dunque estendendo la validità di quelle stesse volontà anche al momento, logicamente e cronologicamente successivo, nel quale questi subisca un mutamento di status, da non autenticato ad autenticato; alla duplice, rigorosa condizione, tuttavia, che da un lato l’utente sia reso pienamente edotto della modalità, come indicata, di conferma delle manifestazioni di volontà già espresse in qualità di utente non autenticato e del fatto che, essendo talune funzionalità riferibili esclusivamente ad un utente autenticato, le relative scelte sono dunque nell’esclusiva disponibilità di quest’ultimo. Dall’altro lato, che gli siano sempre pienamente garantiti sia il diritto di revoca (del consenso o del diniego espressi in precedenza) sia quello di integrare le proprie preferenze anche con riguardo alle funzionalità fruibili solo da un utente autenticato (ad esempio, Gmail); e ciò mediante la predisposizione di apposito e ben visibile link all’area dedicata in cui esercitare tali diritti, anche in maniera esaustivamente analitica; includendo, pertanto, in tale area anche l’elencazione delle funzionalità che, essendo appunto utilizzabili solo previa sottoscrizione dell’account, possono costituire oggetto della scelta del solo utente autenticato.
Resta inteso che le scelte in ordine al trattamento dei propri dati per finalità di profilazione espresse da un utente non autenticato, proprio perché non legate ad un account, avranno validità esclusivamente con riferimento allo specifico dispositivo utilizzato, tanto nella prima
quanto nelle successive sessioni, fino ad una eventuale revoca; non altrettanto può dirsi, invece, per la manifestazione di volontà espressa dall’utente autenticato, la quale, per l’essenziale, menzionata caratteristica di diretta riconducibilità delle scelte ad un soggetto individuato in re ipsa, è destinata ad estendere la propria validità anche nell’ipotesi nella quale l’utente autenticato fruisca delle funzionalità e dei servizi mediante utilizzo di più, diversi dispositivi.
In altri termini, mentre la documentazione delle scelte espresse dall’utente non autenticato è efficace soltanto con riferimento al dispositivo utilizzato, quella relativa alle scelte di chi dispone di un account Google permane, anche se tale utente faccia uso di più di un dispositivo.
I PASSIVE USERS
Da ultimo, con specifico riguardo ai cd. passive users (e cioè, lo si ripete, quei soggetti che non utilizzano direttamente le funzionalità di Google, ma i cui dati possono tuttavia comunque essere acquisiti dalla società, ad esempio perché navigano su siti di terze parti diverse dalla società ove sono installati anche cookie di Google), l’Autorità richiama espressamente le prescrizioni già emanate nel provvedimento n. 229, dell’8 maggio 2014, relativo alla “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (in Gazzetta Ufficiale n. 126 del 3 Giugno 2014) il quale ha stabilito che, in tale situazione, sarà il publisher, e cioè il gestore del sito ove avviene la navigazione, a raccogliere il consenso anche per l’installazione dei cookie da parte di Google ed a farsi carico di acquisire, già in fase contrattuale, il collegamento (link) alla o alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie di Google.
Pur ribadendo la facoltà per Google di adottare la procedura tecnica che ritiene preferibile per assicurare la conformità dei trattamenti di dati personali effettuati alla disciplina applicabile, l’Autorità ritiene che la soluzione illustrata sia qualificabile come quella che presenta, a tecnologia vigente su internet, il minor livello di discontinuità nell’esperienza di navigazione dell’utente.
LA PERMANENZA DEI DATI
Quanto al punto C) del paragrafo 1, relativo al tempo di conservazione dei dati, l’art. 11, comma 1, lett. e) del Codice stabilisce che i dati debbano essere “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”.
Con le comunicazioni del 16 e del 22 maggio 2012 il WP 29 ha richiesto alla società di chiarire per quanto tempo vengano conservati i dati degli utenti e, in particolare, la durata massima del tempo di conservazione di quelle informazioni in relazione alle finalità dei diversi trattamenti di dati personali effettuati. Questo aspetto è stato successivamente indagato anche nel corso della procedura nazionale. Il Garante ha specificamente chiesto a Google di integrare il riscontro reso al WP 29, ricevendone risposte non esaustive.
In effetti, nella comunicazione del 28 giugno 2013, Google ha richiamato quanto già affermato a proposito del solo tempo di archiviazione della cd. search history (indefinitamente o fin quando l’utente stesso non rimuova i dati della cronologia in caso di utenti non registrati e fino
a 180 giorni per quelli registrati; 9 mesi per la conservazione degli indirizzi IP prima dell’anonimizzazione e 18 mesi per quella dei cookie).
Per il resto, e sempre in via puramente esemplificativa, ha fatto riferimento alle ricerche parziali in Google Search, digitate nel Google instant service, che sarebbero cancellate “generalmente dopo due settimane” (cfr. le risposte alle domande 19 e 20 del questionario). Né è stata di grande ausilio l’affermazione, contenuta nel servizio di assistenza on-line per gli account di Google all’atto delle verifiche di carattere istruttorio che sono state condotte dall’ufficio, secondo cui è consentito all’utente eliminare dati dalla cronologia web utilizzando la funzione di rimozione. In tal modo, vi si leggeva, i dati verranno rimossi dal servizio: “Tuttavia, Google mantiene un sistema di log separato per motivi di controllo e per migliorare la qualità dei servizi offerti agli utenti” (cfr. https://support.google.com/accounts/answer/54052?hl=it); tale dicitura è stata peraltro oggetto di lievi modifiche nel corso dell’istruttoria, sì che risulta, al momento, del seguente, letterale tenore: “Gli elementi eliminati dalla cronologia web non sono più associati al tuo account Google. Tuttavia Google potrebbe memorizzare le ricerche in un sistema di log separato per impedire spam e utilizzi illeciti, oltre che per migliorare i suoi servizi”.
S’impone, al riguardo, un duplice ordine di considerazioni: da un lato quella per la quale non pare sufficiente l’affermazione che, pur assicurando la dissociazione della cronologia web di un utente dal suo account, non chiarisce tuttavia in alcun modo se il risultato di tale operazione garantisca una effettiva ed efficace anonimizzazione del dato stesso, secondo i criteri ed i principi fissati dal WP 29 (cfr. l’opinion n. 05/2014 sull’impiego delle tecniche di anonimizzazione adottata il 10 aprile 2014).
Dall’altro lato, permane comunque l’indicazione generica per la quale le informazioni personali in questione, pur a seguito della rimozione, restano nella disponibilità di Google per non meglio identificate ragioni di miglioramento dei servizi e per un tempo potenzialmente illimitato.
Pur considerata la modifica testuale alla privacy policy, allora, l’Autorità ritiene che anche tale aspetto non possa considerarsi conforme ai requisiti di liceità del trattamento fissati dal Codice; con l’effetto che appare necessario che, sullo specifico tema, Google implementi nuove misure di maggior tutela per gli interessati.
Al riguardo, è opportuno sottolineare che il rispetto dei principi in materia di conservazione dei dati può essere assicurato mediante ricorso a due modalità, l’una che si fonda sul rispetto del principio di finalità in base al quale i dati non possono essere conservati per un tempo ulteriore rispetto a quello necessario per il conseguimento dello scopo per il quale sono stati oggetto di trattamento (cd. retention policy);
l’altra che prende invece in considerazione la scelta (e la conseguente azione positiva, ovvero la richiesta) dell’interessato di ottenere, a determinate condizioni, la cancellazione dei dati personali che lo riguardano nella titolarità di Google (cd. deletion policy).
L’archiviazione delle informazioni in questione è organizzata, nel modello adottato da Google, in funzione del tempo trascorso dal momento della loro acquisizione. È possibile distinguere, infatti, tra dati mantenuti su sistemi c.d. attivi (live-serving) e dati che invece siano successivamente archiviati sui sistemi di back-up. Occorre osservare, inoltre, che l’istruttoria non ha consentito di accertare con precisione quale sia la durata del periodo di conservazione dei dati sui sistemi del primo tipo e, di conseguenza, da quando decorra l’archiviazione dei dati sui sistemi di back-up. Né è stato chiarito dalla società il periodo massimo di conservazione delle informazioni personali degli interessati.
Il tema della cancellazione dei dati personali nella titolarità di Google è stato, di recente, interessato dalla nota decisione della Corte di
Giustizia dell’Unione Europea del 13 maggio 2014 che, nella causa C-131/12, si è pronunciata, tra l’altro, proprio sulla cancellazione, al ricorrere dei presupposti per l’esercizio del diritto all’oblio, di dati personali nella titolarità di Google relativi ai risultati delle ricerche effettuate attraverso la funzionalità del motore di ricerca; stabilendo tra l’altro, per la prima volta, che tali richieste possono essere avanzate anche direttamente al gestore del motore di ricerca, ancorché le relative informazioni siano state originariamente pubblicate su altri siti e successivamente indicizzate da Google.
La pronuncia della Corte in materie di particolare complessità e delicatezza e le sue molteplici e significative implicazioni, comprese quelle sulle misure da adottare per la gestione delle menzionate richieste, hanno costituito oggetto di una prima riflessione anche nell’ambito del
WP 29 il quale, nel corso della riunione plenaria del 2 e 3 giugno scorsi, ha deciso di analizzare, appunto, le conseguenze della sentenza e di “identificare delle linee guida al fine di sviluppare un approccio comune delle Autorità di protezione dei dati europee riguardo l’implementazione della decisione. Tali linee guida saranno di ausilio per le Autorità a stabilire una modalità di risposta alle richieste degli interessati nel caso in cui il motore di ricerca non proceda alla cancellazione dei contenuti la cui rimozione era stata oggetto di richiesta” (cfr.press release del WP 29 del 6 giugno 2014, disponibile al link .
Google, in adempimento delle prescrizioni della Corte, ha comunque sin dal 30 maggio u.s. reso disponibile un tool per consentire agli utenti di avanzare le relative istanze di cancellazione. Lo strumento predisposto è stato accolto con favore dal WP 29, che ha dichiarato al riguardo di considerare tale misura “un primo passo nella direzione dell’adeguamento della società alle disposizioni della normativa europea nel solco delle prescrizioni della Corte, sebbene sia prematuro, a questo stadio, valutare se esso sia da considerarsi interamente soddisfacente” (cfr. press release, cit.).
La particolare innovatività della materia e la complessità delle implicazioni connesse all’adempimento delle prescrizioni della Corte di giustizia in materia di richieste di cancellazione di dati personali relativi ai risultati delle ricerche effettuate attraverso la funzionalità del motore di ricerca al ricorrere dei presupposti per l’esercizio del diritto all’oblio rendono allora opportuno, a giudizio dell’Autorità, anche in linea con le dichiarazioni espresse dal WP 29 ora richiamate, astenersi in questa fase dall’imporre a Google prescrizioni non ancora vagliate né da una prima esperienza, né dal conseguimento di un assetto comune condiviso da tutte le Autorità di protezione dati interessate dalle nuove regole.
Per questa ragione, e riservandosi comunque sin d’ora qualsiasi tipo di intervento che sarà ritenuto opportuno al fine di garantire agli utenti la più ampia tutela dei propri diritti nel solco della recentissima pronuncia di carattere interpretativo resa dalla Corte di giustizia, più volte menzionata, l’Autorità intende limitare in questa fase l’esplicazione dei propri poteri prescrittivi a tutti i casi nei quali le richieste di cancellazione dei dati personali nella titolarità di Google siano formulate da un utente registrato, cioè che dispone di un account. Ciò in quanto l’accoglimento, appunto, di una tale richiesta di cancellazione consente fin d’ora non soltanto l’identificazione certa, da parte della società, dell’identità del richiedente, ma anche l’individuazione specifica delle informazioni che possono costituirne oggetto, in quanto automaticamente riferibili all’account del richiedente e, di riflesso, non assoggettabili ad alcun processo di valutazione arbitraria.
Tenuto conto, inoltre, di quanto affermato in precedenza in ordine alla recente pronuncia della Corte di Giustizia, l’ambito di applicazione del presente provvedimento sarà, altresì, limitato alle richieste di cancellazione che interessino l’utilizzo di funzionalità diverse da quella relativa al motore di ricerca (Google search) la quale legittima, al ricorrere di determinati presupposti, l’esercizio del diritto all’oblio.
All’esito dell’istruttoria, il Garante ritiene pertanto che Google, per assicurare la conformità alla legge dei trattamenti di dati effettuati, come meglio specificati in precedenza, sia tenuta a dotarsi di una policy di data deletion, cioè di cancellazione dei dati su richiesta degli utenti autenticati, che rispetti le prescrizioni indicate nella parte dispositiva del presente provvedimento; nonché di una policy di data retention che tenga rigorosamente conto del rispetto del principio di finalità previsto dall’art. 11, comma 1, lett. e) del Codice.
6. Il Garante è consapevole delle difficoltà tecnico-operative connesse all’implementazione delle misure cui Google è tenuta ai fini dell’adempimento delle prescrizioni di cui al presente provvedimento, in quanto si tratta di modifiche relative ad una molteplicità di funzionalità rese disponibili su una pluralità di piattaforme tecnologiche e sistemi operativi, peraltro di non trascurabile complessità tecnica.
In considerazione di quanto sopra, è dunque ipotizzabile un arco temporale di adeguamento sufficientemente ampio, quantificabile nell’ordine dei 18 mesi, nel corso del quale l’Autorità si riserva di valutare lo stato di avanzamento delle misure e la loro corrispondenza al piano operativo di sviluppo ed implementazione delle prescrizioni impartite che sarà predisposto da Google. In questa prospettiva, e considerata la specifica proposta avanzata in tal senso dalla società nel corso dell’istruttoria, il Garante intende accettare l’impegno vincolante ed irrevocabile assunto da Google di sottoscrivere un apposito protocollo di verifica volto a disciplinare le modalità ed i tempi relativi allo scambio di documentazione tra Google e l’Autorità, nonché le modalità di enforcement e, appunto, dei riscontri che l’Autorità effettuerà nel corso del summenzionato arco temporale anche presso Google medesima.
LE PRESCRIZIONI DEL GARANTE
TUTTO CIÒ PREMESSO, IL GARANTE
considerata la complessità degli aspetti indotti dall’analisi della nuova privacy policy di Google tesa alla valutazione della conformità dei trattamenti di dati effettuati dalla società alla disciplina in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali e, pertanto, con espressa riserva di eventuali ulteriori approfondimenti e/o determinazioni che potranno rendersi necessari, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive a Google Inc., con sede in Mountain View, USA, con specifico riguardo ai trattamenti di dati personali relativi all’utilizzo delle funzionalità offerte per il tramite del sito web www.google.it e di tutte le altre pagine web in lingua italiana comunque riconducibili alla società:
1) in adempimento dell’art. 13 del Codice, di rendere un’informativa completa ed efficace agli utenti, secondo i criteri e le modalità indicate al paragrafo 2 del presente provvedimento;
2) ai sensi delle disposizioni di cui agli artt. 23 e 122 del Codice, di acquisire il consenso preventivo degli utenti, sia autenticati che non autenticati, in relazione al trattamento delle informazioni che li riguardano, anche derivanti dal trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all’utilizzo del servizio per l’inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, tramite incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità tra quelle messe a disposizione, nonché per l’utilizzo di cookie e di altri identificativi per finalità di profilazione tesa anche alla fornitura di pubblicità comportamentale nonché all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, secondo i criteri e le modalità indicate al paragrafo 3 del presente provvedimento; e di garantire ai medesimi interessati la possibilità dell’esercizio del diritto di opposizione di cui all’art. 7 del Codice;
3) in osservanza del principio di cui all’art. 11 del Codice in materia di conservazione di dati e con esclusione delle richieste di cancellazione relative all’esercizio del diritto di oblio avanzate in ordine ai risultati delle ricerche rinvenibili nel web attraverso l’uso della specifica funzionalità del motore di ricerca (Google search):
– nel caso le informazioni si trovino sui sistemi cd. attivi, di provvedere alla cancellazione dei dati personali su richiesta dell’interessato autenticato entro il termine massimo di due mesi, ritenuto congruo tale periodo in ragione, da un lato, della possibile indeterminatezza della richiesta e, dall’altro, dell’accertamento, da parte della società, dell’identità del richiedente nonché dell’agevole, specifica individuazione delle informazioni oggetto della richiesta, in quanto automaticamente riferibili all’account di questi e, di riflesso, non assoggettabili ad alcun processo di valutazione arbitraria. Il menzionato termine massimo di due mesi è quantificabile, per ragioni legate al calendario, in 62 giorni solari e dunque le richieste dovranno essere accolte entro il compimento del 63° giorno, a seguito comunque di un periodo preliminare pari a 30 giorni nel corso del quale i dati si troveranno in stato di disattivazione; ritenuto necessario, tale periodo preliminare, a tutela dell’utente medesimo, in quanto idoneo a prevenire cancellazioni accidentali o fraudolente dei suoi dati personali;
– qualora, invece, i dati siano stati archiviati nei sistemi di back- up, il tempo massimo per procedere alla relativa cancellazione sarà pari a sei mesi dalla richiesta dell’utente autenticato, quantificabili in 180 giorni solari e dunque entro il compimento del 181° giorno. Durante questo periodo è tuttavia necessario che la sola operazione consentita sui dati sia il recupero di informazioni perse e che esse siano protette da accessi non autorizzati mediante utilizzo di idonee tecniche di cifratura o, se del caso, di anonimizzazione dei dati stessi; ciò in accordo con i principi identificati dal WP 29 nell’Opinion n. 05/2014 sull’impiego delle tecniche di anonimizzazione del 10 aprile 2014;
– di adottare una policy di data retention conforme al principio di finalità fissato dal Codice.
4) L’implementazione delle misure di cui ai punti da 1 a 3 dovrà avvenire entro e non oltre 18 mesi dalla data della notifica del presente provvedimento.
5) Google dovrà proporre all’Autorità, entro il 30 settembre 2014, il testo del protocollo di verifica indicato nella parte motiva del presente provvedimento al fine di sottoporlo alla valutazione ed alla successiva approvazione del Garante medesimo. Tale protocollo disciplinerà l’espletamento delle attività di controllo e verifica ivi previste, secondo le modalità ed i tempi che saranno indicati nel protocollo medesimo. Dal momento dell’approvazione da parte dell’Autorità decorrerà un ulteriore periodo pari ad almeno 12 mesi per l’espletamento di tali attività.
Per il testo integrale del provvedimento clicca qui
