CNIL e Google: l’informativa che vale 50 milioni

21/02/2019
di Marco Parretti

Partiamo dai fatti (già noti) la CNIL (Commission nationale de l’informatique et des libertés), la Commissione Nazionale francese per la protezione dai dati, ha comminato una sanzione di 50 milioni di euro a Google.

Si tratta, innanzitutto, di una prima volta, per la CNIL. Difatti la sanzione in questione applica per la prima volta i limiti e le modalità previste dal GDPR per la violazione di articoli relativi a adempimenti fondamentali come quelli del consenso e di una corretta e trasparente informazione nei confronti degli interessati.

I motivi della decisione

Nella sua decisione, la commissione incaricata dalla CNIL, affronta diversi temi, che danno interessati spunti di riflessione e, soprattutto, importanti indicazioni sulle azioni che le Data Protection Authorities (DPA) si aspettano dal Titolare del trattamento.

Partiamo dalla non applicazione del principio del “one-stop-shop” (meccanismo che prevede la promozione ad Autorità capofila di quella DPA nel cui paese si trovi lo stabilimento principale del Titolare, permettendo un unico interlocutore, e “giudice”, anche nel caso il trattamento avvenga in più nazioni), che ha essenzialmente permesso alla CNIL di ritenersi competente e decidere e sanzionare Google.

Semplificando, l’Autorità francese ha escluso, in accordo con la DPA irlandese, che lo stabilimento di Google in Irlanda fosse da considerarsi “principale”, data lo scarso potere decisionale della sede irlandese in relazione alle modalità di svolgimento dei trattamenti derivanti dall’utilizzo del sistema Android ed in generale dei servizi di Google stessa. Appare lampante come sotto l’aspetto della creazione/istituzione di sedi in UE (da parte di Titolari extra-UE) conti, dunque, la sostanza (i poteri decisionali e le attività affidate) e non la mera forma.

L’analisi dell’informativa agli interessati

Stabilita la propria competenza la CNIL si lancia nell’analisi di un adempimento fondamentale per il GDPR (e, si azzarda, per la Data Protection, da sempre), le informazioni all’interessato.

GDPR

Il legislatore europeo parla chiaro in merito, stabilendo che l’interessato debba essere informato dal Titolare in modo chiaro, trasparente (senza omissioni o modalità che non permettano di capire cosa si sta comunicando) e completo, ovviamente nel pieno rispetto dell’articolo 13 del Regolamento stesso. Ebbene rispetto a quanto sopra la commissione della CNIL offre dei rilievi interessanti (e preoccupanti).

L’accessibilità e la facilità di reperimento delle informazioni è una delle prime contestazioni che viene mossa nei confronti della società americana. La distribuzione delle informazioni relative ai servizi, e quindi al trattamento dei dati, su più documenti e la loro accessibilità solo attraverso più bottoni (click)  è considerata modalità troppo dispersiva che non permette all’utente/interessato di capire, appunto, con chiarezza che uso Google farà dei dati personali.

Inoltre, gioca un ruolo importante nella decisione del CNIL anche il fatto che le informazioni non siano riportate in linguaggio chiaro, mancando dunque la necessaria evidenziazione degli elementi fondamentali del trattamento (come le finalità, i destinatari, quali siano i dati trattati). Il linguaggio utilizzato nell’esposizione dei fatti all’interessato, soprattutto in realtà nelle quali vengano forniti più servizi anche combinati tra loro, assume un ruolo molto importante per dimostrare di esser in linea con le disposizioni di legge. Ed anche una versione “semplificata”, ulteriore rispetto a quella “completa” dell’informativa (come suggerito anche dell’ICO- DPA inglese) può giovare in tal senso se permette di conoscere gli elementi fondamentali con chiarezza.

La data retention

E proprio in tal senso è utile rilevare come la CNIL segnali anche, tra le infrazioni, la mancata comunicazione del periodo di retention, dei termini di conservazione di alcuni dati. Il Regolamento è chiaro anche sotto questo aspetto, indicando come tali termini debbano essere indicati all’interessato o come, ove non sia possibile stabilire termine preciso, quali siano i criteri utilizzati dal Titolare per determinare il momento nel quale il dato verrà cancellato/anonimizzato.

Insomma, anche sulla data retention non si sfugge ed è chiaro che le DPA (o almeno, al momento, quella francese) si aspettino dal Titolare quanto sopra indicato.

Il tema della profilazione

Viene poi effettuata una valutazione sulla base giuridica di una parte specifica del trattamento: la personalizzazione dell’advertising,ergo profilazione degli utenti.

Partendo dalla su menzionata mancanza di chiarezza in merito alle informazioni esposte, si sottolinea come la base giuridica di questa operazione di trattamento non sia il legittimo interesse del Titolare, quanto piuttosto il consenso dell’interessato.

A margine di ciò è utile osservare come la base giuridica del legittimo interesse costituisca strumento certamente interessate, ma la sua effettiva configurabilità richieda un’attenta valutazione da parte del Titolare di tutti gli aspetti coinvolti (gli interessi del Titolare e, soprattutto, i diritti e le libertà dell’interessato).

Ebbene, in merito al consenso la CNIL rileva che per potersi definire correttamente acquisito (e quindi valido), lo stesso debba avere le caratteristiche previste dal Regolamento: libero, specifico, informato e inequivocabile.

Concentrandosi su questi tre ultimi requisiti, la CNIL evidenzia la non validità del consenso “acquisito” da Google.

Adempimenti privacy

Sul requisito dell’informazione si è sopra anticipato come tale requisito non sia rispettato. In merito invece alla specificità e inequivocabilità del consenso è opportuno considerare quanto segue; affinché il consenso sia specifico è fondamentale che sia chiaramente indicato come lo stesso viene richiesto per una finalità (attività) di trattamento, la profilazione nel caso specifico, senza che, invece, si vada a chiedere un generico consenso per il trattamento, magari anche congiunto all’accettazione delle condizioni di utilizzo di un servizio. Ne consegue che un consenso “generalizzato” per più finalità del trattamento, non può essere considerato valido e che la richiesta non può essere nascosta all’interessato, piuttosto il contrario.

Si potrebbe obiettare in merito, che anche il WP art 29 (ora EDPB), ha significativamente sottolineato come si debba cercare di semplificare l’interazione con l’interessato anche nella fase di acquisizione del consenso, non complicando, di fatto, troppo la modalità di acquisizione stessa. Pur essendo ciò indubbiamente vero, la semplificazione non  può portare ad una omissione od elusione della norma con consensi “raggruppati”, i quali, semplicemente contravvengono ad un principio fondamentale della Data Protection, la consapevolezza sull’utilizzo che il titolare fa dei dati personali.

Ma non finiscono qui i rilievi della CNIL, dato che viene osservato come l’inquivocabilità non possa desumersi da una mancata azione dell’interessato (principio, già più volte ribadito, anche dal nostro Garante), quanto piuttosto debba provenire da un’azione positiva dell’interessato che si attiva per fornire il consenso. Quindi più operazioni di click per accedere all’area del consenso, oltre alla presenza di box “pre-flaggati” non possono in alcun modo essere considerati comportamento dell’interessato inequivocabilmente volto a fornire un consenso.

I criteri della sanzione

Analizzati, seppur brevemente, i rilievi mossi dalla CNIL, appare interessante concludere citando alcuni criteri utilizzati per determinare (e comminare) la sanzione.

La commissione, applica il Regolamento, considerando rilevanti il numero di interessati coinvolti, la tipologia di dati personali trattati (del più vario tipo , considerati i servizi di Google), l’impatto che i servizi hanno rispetto all’ambiente di riferimento (ergo il ruolo rilevante di Google nel mercato francese) ed anche il fatto che la combinazione di servizi offerti possa, nell’insieme arricchire le informazioni in possesso del Titolare ed avere un impatto ancor maggiore sugli interessati coinvolti.

Tutti requisiti per una sanzione decisamente significativa, almeno dal punto di vista del messaggio inviato.

Riproduzione riservata ©

ALTRE NEWS

Relazione annuale ADS in scadenza: termine ultimo del 15 dicembre 2017

Come ogni anno, si ricorda che entro e non oltre il termine del 15 dicembre 2017, in osservanza degli obblighi derivanti dal Provvedimento del 27… Leggi Tutto

Consenso dei lavoratori all’installazione dell’impianto di videosorveglianza evoluzione o involuzione della Cassazione?

L’annosa questione datore di lavoro e ripresa diretta dei dipendenti sul luogo di lavoro, torna a far discutere. Questa volta ad accedere il dibattito è… Leggi Tutto

Fatturazione elettronica negli appalti pubblici: Direttiva in vigore dal prossimo 26 Maggio

La fatturazione elettronica negli appalti pubblici. La direttiva europea 2014/55/EU  vuole risolvere l’incertezza generata dalle norme nazionali. Il 16 aprile 2014 il Parlamento Europeo e… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.