CNIL e Google: l’informativa che vale 50 milioni
Partiamo dai fatti (già noti) la CNIL (Commission nationale de l’informatique et des libertés), la Commissione Nazionale francese per la protezione dai dati, ha comminato una sanzione di 50 milioni di euro a Google.
Si tratta, innanzitutto, di una prima volta, per la CNIL. Difatti la sanzione in questione applica per la prima volta i limiti e le modalità previste dal GDPR per la violazione di articoli relativi a adempimenti fondamentali come quelli del consenso e di una corretta e trasparente informazione nei confronti degli interessati.
I motivi della decisione
Nella sua decisione, la commissione incaricata dalla CNIL, affronta diversi temi, che danno interessati spunti di riflessione e, soprattutto, importanti indicazioni sulle azioni che le Data Protection Authorities (DPA) si aspettano dal Titolare del trattamento.
Partiamo dalla non applicazione del principio del “one-stop-shop” (meccanismo che prevede la promozione ad Autorità capofila di quella DPA nel cui paese si trovi lo stabilimento principale del Titolare, permettendo un unico interlocutore, e “giudice”, anche nel caso il trattamento avvenga in più nazioni), che ha essenzialmente permesso alla CNIL di ritenersi competente e decidere e sanzionare Google.
Semplificando, l’Autorità francese ha escluso, in accordo con la DPA irlandese, che lo stabilimento di Google in Irlanda fosse da considerarsi “principale”, data lo scarso potere decisionale della sede irlandese in relazione alle modalità di svolgimento dei trattamenti derivanti dall’utilizzo del sistema Android ed in generale dei servizi di Google stessa. Appare lampante come sotto l’aspetto della creazione/istituzione di sedi in UE (da parte di Titolari extra-UE) conti, dunque, la sostanza (i poteri decisionali e le attività affidate) e non la mera forma.
L’analisi dell’informativa agli interessati
Stabilita la propria competenza la CNIL si lancia nell’analisi di un adempimento fondamentale per il GDPR (e, si azzarda, per la Data Protection, da sempre), le informazioni all’interessato.
Il legislatore europeo parla chiaro in merito, stabilendo che l’interessato debba essere informato dal Titolare in modo chiaro, trasparente (senza omissioni o modalità che non permettano di capire cosa si sta comunicando) e completo, ovviamente nel pieno rispetto dell’articolo 13 del Regolamento stesso. Ebbene rispetto a quanto sopra la commissione della CNIL offre dei rilievi interessanti (e preoccupanti).
L’accessibilità e la facilità di reperimento delle informazioni è una delle prime contestazioni che viene mossa nei confronti della società americana. La distribuzione delle informazioni relative ai servizi, e quindi al trattamento dei dati, su più documenti e la loro accessibilità solo attraverso più bottoni (click) è considerata modalità troppo dispersiva che non permette all’utente/interessato di capire, appunto, con chiarezza che uso Google farà dei dati personali.
Inoltre, gioca un ruolo importante nella decisione del CNIL anche il fatto che le informazioni non siano riportate in linguaggio chiaro, mancando dunque la necessaria evidenziazione degli elementi fondamentali del trattamento (come le finalità, i destinatari, quali siano i dati trattati). Il linguaggio utilizzato nell’esposizione dei fatti all’interessato, soprattutto in realtà nelle quali vengano forniti più servizi anche combinati tra loro, assume un ruolo molto importante per dimostrare di esser in linea con le disposizioni di legge. Ed anche una versione “semplificata”, ulteriore rispetto a quella “completa” dell’informativa (come suggerito anche dell’ICO- DPA inglese) può giovare in tal senso se permette di conoscere gli elementi fondamentali con chiarezza.
La data retention
E proprio in tal senso è utile rilevare come la CNIL segnali anche, tra le infrazioni, la mancata comunicazione del periodo di retention, dei termini di conservazione di alcuni dati. Il Regolamento è chiaro anche sotto questo aspetto, indicando come tali termini debbano essere indicati all’interessato o come, ove non sia possibile stabilire termine preciso, quali siano i criteri utilizzati dal Titolare per determinare il momento nel quale il dato verrà cancellato/anonimizzato.
Insomma, anche sulla data retention non si sfugge ed è chiaro che le DPA (o almeno, al momento, quella francese) si aspettino dal Titolare quanto sopra indicato.
Il tema della profilazione
Viene poi effettuata una valutazione sulla base giuridica di una parte specifica del trattamento: la personalizzazione dell’advertising,ergo profilazione degli utenti.
Partendo dalla su menzionata mancanza di chiarezza in merito alle informazioni esposte, si sottolinea come la base giuridica di questa operazione di trattamento non sia il legittimo interesse del Titolare, quanto piuttosto il consenso dell’interessato.
A margine di ciò è utile osservare come la base giuridica del legittimo interesse costituisca strumento certamente interessate, ma la sua effettiva configurabilità richieda un’attenta valutazione da parte del Titolare di tutti gli aspetti coinvolti (gli interessi del Titolare e, soprattutto, i diritti e le libertà dell’interessato).
Ebbene, in merito al consenso la CNIL rileva che per potersi definire correttamente acquisito (e quindi valido), lo stesso debba avere le caratteristiche previste dal Regolamento: libero, specifico, informato e inequivocabile.
Concentrandosi su questi tre ultimi requisiti, la CNIL evidenzia la non validità del consenso “acquisito” da Google.
Sul requisito dell’informazione si è sopra anticipato come tale requisito non sia rispettato. In merito invece alla specificità e inequivocabilità del consenso è opportuno considerare quanto segue; affinché il consenso sia specifico è fondamentale che sia chiaramente indicato come lo stesso viene richiesto per una finalità (attività) di trattamento, la profilazione nel caso specifico, senza che, invece, si vada a chiedere un generico consenso per il trattamento, magari anche congiunto all’accettazione delle condizioni di utilizzo di un servizio. Ne consegue che un consenso “generalizzato” per più finalità del trattamento, non può essere considerato valido e che la richiesta non può essere nascosta all’interessato, piuttosto il contrario.
Si potrebbe obiettare in merito, che anche il WP art 29 (ora EDPB), ha significativamente sottolineato come si debba cercare di semplificare l’interazione con l’interessato anche nella fase di acquisizione del consenso, non complicando, di fatto, troppo la modalità di acquisizione stessa. Pur essendo ciò indubbiamente vero, la semplificazione non può portare ad una omissione od elusione della norma con consensi “raggruppati”, i quali, semplicemente contravvengono ad un principio fondamentale della Data Protection, la consapevolezza sull’utilizzo che il titolare fa dei dati personali.
Ma non finiscono qui i rilievi della CNIL, dato che viene osservato come l’inquivocabilità non possa desumersi da una mancata azione dell’interessato (principio, già più volte ribadito, anche dal nostro Garante), quanto piuttosto debba provenire da un’azione positiva dell’interessato che si attiva per fornire il consenso. Quindi più operazioni di click per accedere all’area del consenso, oltre alla presenza di box “pre-flaggati” non possono in alcun modo essere considerati comportamento dell’interessato inequivocabilmente volto a fornire un consenso.
I criteri della sanzione
Analizzati, seppur brevemente, i rilievi mossi dalla CNIL, appare interessante concludere citando alcuni criteri utilizzati per determinare (e comminare) la sanzione.
La commissione, applica il Regolamento, considerando rilevanti il numero di interessati coinvolti, la tipologia di dati personali trattati (del più vario tipo , considerati i servizi di Google), l’impatto che i servizi hanno rispetto all’ambiente di riferimento (ergo il ruolo rilevante di Google nel mercato francese) ed anche il fatto che la combinazione di servizi offerti possa, nell’insieme arricchire le informazioni in possesso del Titolare ed avere un impatto ancor maggiore sugli interessati coinvolti.
Tutti requisiti per una sanzione decisamente significativa, almeno dal punto di vista del messaggio inviato.
