privacy

La condanna francese a Google per il Gdpr: le conseguenze su trasparenza e compliance

Il Consiglio di Stato francese conferma la multa da 50 milioni di euro che il CNIL ha deciso di emettere nei confronti di Google. A due anni dalla sua attuazione il GDPR si conferma sempre più un’arma di “protezione” di massa e non un mero adempimento normativo

10 Lug 2020
Luca Ciurli

Privacy & Data Protection Consultant, Si.Qu.Am Srl


La decisione del Consiglio di stato francese di confermare l’orientamento del Comitato ristretto del CNIL e, quindi, la multa da 50 milioni di euro a Google, ci fornisce una lezione puntuale sul reale senso del Regolamento UE 2016/679 in materia di protezione dei dati personali (GDPR): ciò che conta, per avere un accettabile sistema di compliance alla normativa, non è l’aspetto formale delle azioni compiute dai Titolare del trattamento dei dati, ma la sostanza delle loro scelte e quello che effettivamente viene percepito dall’interessato, vero protagonista della normativa.

Dal concetto di stabilimento principale alla “giurisdizione” dell’Autority competente a procedere sul caso, passando dal rispetto degli obblighi di trasparenza e informazione e dalla scelta e definizione della corretta base giuridica, analizziamo, punto per punto, le ragioni che hanno portato a tale conclusione.

Il caso

Il Consiglio di stato francese ha confermato l’orientamento del Comitato ristretto del CNIL, l’organo dell’Autorità di controllo francese per la tutela dei dati personali preposto all’attività sanzionatoria, il quale il 21 gennaio 2019 condannava Google LCC ad una sanzione di 50 milioni di euro per aver elaborato un sistema di politiche e gestione privacy non del tutto trasparente per il proprio sistema operativo Android.

Ricevuti due reclami, uno dall’associazione None Of Your Business e uno dall’associazione La Quadrature du Net, contenenti in totale le segnalazioni di circa diecimila persone, con i quali si denunciava sia il fatto che gli utenti di Android fossero obbligati ad accettare le condizioni prospettate nell’informativa sulla privacy assieme alle condizioni generali d’uso (in mancanza di tale accettazione, non sarebbero stati in grado di utilizzare i loro terminali), sia che Google non aveva utilizzato basi giuridiche idonee al trattamento di dati personali per finalità di analisi comportamentale e pubblicità mirata; il Comitato Ristretto, dopo indagini approfondite, denuncia un vulnus negli “obblighi di trasparenza e d’informazione, principi essenziali poiché condizionano l’esercizio dei diritti degli utenti[1]”.

In altre parole, il CNIL insiste sul fatto che, se non c’è chiarezza, trasparenza e facilità d’accesso alle

informazioni, anche il consenso, sebbene formalmente prestato, non si sostanzia (…”se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro[2]”.

Cosa si intende per stabilimento principale

Una delle obiezioni che Google ha sollevato nel ricevere la sanzione dal Garante francese è quella relativa alla competenza territoriale. La statunitense Google LCC, infatti, considera la controllata irlandese Google Ireland Limited quale il proprio stabilimento principale al quale fare riferimento per i trattamenti di dati personali transfrontalieri che avvengono all’interno dell’Unione Europea. La società irlandese occupa circa quattromila dipendenti ed è la principale firmataria di tutti i contratti di vendita di prodotti e servizi offerti ai cittadini europei, assumendo in questo modo, sempre secondo il colosso americano, il ruolo di Titolare del trattamento dei dati personali raccolti.

Muovendosi tra la definizione dell’art. 4 e del considerando 36 del GDPR, il Comitato Ristretto, pur osservando che Google Ireland Limited possiede molte risorse finanziarie e umane che le consentono di fornire efficacemente servizi in Europa, sottolinea tuttavia che tali elementi non sembrano dimostrare alcun potere decisionale di Google Irlanda in merito alle finalità e ai mezzi del trattamento, così come descritti dall’informativa privacy presentata all’utente durante la creazione di un account o la configurazione del proprio telefono cellulare.

Per essere considerato tale, lo stabilimento principale deve avere potere decisionale in relazione al trattamento dei dati personali, realizzando “attività di gestione che determinano le principali decisioni in merito agli scopi e ai mezzi di elaborazione[3]”. Tale è l’impostazione non solo dell’Autorità Garante Francese, ma è quanto emerge anche dalle Linee guida dell’EDPB del 5 aprile 2017 in materia di “’individuazione dell’autorità di controllo capofila in rapporto a uno specifico Titolare o Responsabile del trattamento” (WP244). Quest’ultime ci indicano come per stabilimento principale di un Titolare si debba far riferimento “al luogo dell’amministrazione centrale del Titolare del trattamento in cui le decisioni circa le finalità e le modalità del trattamento dei dati personali vengono adottate”.

Alla luce di questi elementi il CNIL conclude che l’affiliata irlandese non possa essere considerato davvero lo Stabilimento principale ai sensi dell’articolo 4, paragrafo 16, del GDPR.

La competenza a procedere del CNIL

Il GDPR non consente il meccanismo del “forum shopping” (la possibilità accordata alle parti di una controversia giudiziaria di affidarla alla cognizione del giudice di uno Stato piuttosto che a quello di un altro) e le conclusioni su chi sia l’autorità competente a procedere “non possono essere basate esclusivamente su dichiarazioni di merito della società in esame[4].

In assenza di uno stabilimento principale, che consenta l’identificazione di un’autorità capofila, il CNIL risulta competente ad esercitare i poteri di cui agli art. 56 e 58 del GDPR.

L’assenza di uno stabilimento principale, infatti, non crea di per sé incertezza in merito all’identificazione di un’autorità di controllo competente a procedere, ma ne consegue solamente la deroga dell’identificazione di un’autorità capofila e la non applicazione del meccanismo unico (one-stop-shop).

A riprova di tale impostazione è intervenuta proprio la Data Protection Commission irlandese che, attraverso dichiarazione pubblica rilasciata all’Irish Times da parte di Graham Doyle (Head of Communications), conferma di non essere il “principale controllore” di Google, né la sua “Autorità di controllo Principale”) […] “Google LLC. è il Titolare del trattamento dei dati e Google non può assolutamente invocare il meccanismo unico. […]. La posizione attuale di questa Commissione è che Google sia soggetta a supervisione di tutte le autorità di vigilanza europee […]”[5].

Il rispetto degli obblighi di trasparenza e informazione

Chi cerca, trova? Non proprio, o perlomeno non secondo i principi di trasparenza e informazione imposti dal GDPR.

Infatti, pur avendo compiuto notevoli passi in avanti nella sua politica di informazione agli utenti, rivolta a una maggiore trasparenza e controllo sui dati da loro forniti, a Google il Comitato Ristretto contesta una diffusa e generale opacità e confusione nella architettura delle informazioni raccolte dai siti e dagli applicativi web, in cui proprio le informazioni sui dati personali sono difficilmente accessibili, talvolta addirittura ingannevoli, e comunque non in grado di offrire una corretta percezione della natura, della finalità e del volume dei dati raccolti (come previsto dall’art.13 del Regolamento) e di non raggiungere gli obiettivi di accessibilità, chiarezza e intelligibilità (stabiliti dall’art.12 del Regolamento).

L’interessato, per poter accedere alle informazioni riguardanti i suoi dati personali, deve aprire una serie infinita di pagine e di collegamenti, e a poco sembrano funzionare i tools (“Privacy check up” e “dashboard”) messi a disposizione per il controllo dei propri dati.

Ma portiamo alcuni esempi, tratti direttamente dall’indagine svolta dal Comitato Ristretto, per capire meglio la portata della sanzione comminata.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Ammettiamo che l’utente voglia conoscere la durata di conservazione dei dati, si troverebbe di fronte all’opzione “Come Google conserva i dati che raccogliamo” con quattro categorie da selezionare:

1- Informazioni conservate fino a quando non vengono rimosse;

2- Dati che scadono dopo un determinato periodo di tempo;

3- Informazioni conservate fino alla cancellazione del tuo account Google;

4- Informazioni conservate per periodi di tempo prolungati e per scopi limitati.

Cinque sono le azioni necessarie per accedere alle informazioni riguardanti la personalizzazione degli annunci e sei quelle indispensabili per saperne di più sulla geolocalizzazione.

Sembra del tutto chiaro e evidente come una simile modalità di accesso generi inevitabilmente confusione e come, nonostante le informazioni siano presenti, queste risultino frammentate e del tutto inefficaci.

Condizioni di liceità del consenso

Nella relazione che il Comitato Ristretto invia a Google LLC. emergono, inoltre, carenze relative all’art. 6, paragrafo 1, del GDPR.

Infatti, sebbene Google abbia sostenuto di raccogliere, di fatto, il consenso dell’utente al trattamento dei suoi dati personali per finalità di personalizzazione dei messaggi pubblicitari e di rispettare i requisiti posti dall’art. 7, paragrafo2, del GDPR (“la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”), il CNIL ha valutato come non conforme agli obblighi di determinazione di idonea base giuridica il meccanismo di raccolta del dato da parte del Titolare del trattamento.

Ne deriva che Google non raccoglierebbe un consenso informato, specifico e inequivocabile, mancando, quindi, di fornire informazioni in maniera chiara ed in un linguaggio comprensibile.

A conferma di quest’ultima considerazione ci viene in soccorso, ancora una volta, il Comitato Europeo che, emanando le Linee guida del 10 aprile 2018 sul consenso, specifica che per raccogliere un consenso informato “sia necessario fornire informazioni più precise in merito all’identità del Titolare del trattamento, allo scopo di ciascuna delle operazioni di trattamento per le quali viene richiesto il consenso, a quali dati saranno raccolti e utilizzati, all’esistenza del diritto di revoca del consenso, alle informazioni sull’uso dei dati per il processo decisionale automatizzato […] e sui possibili rischi di trasferimento dei dati a causa dell’assenza di un decisione di adeguatezza e garanzie adeguate […[6]]”

Il requisito della specificità e della inequivocabilità, altresì, risulta non rispettato sia in quanto le informazioni circa le modalità di personalizzazione degli annunci sono poste in più di una sezione dell’account personale dell’utente (non permettendogli di essere pienamente consapevole delle scelte che è possibile operare), sia in quanto, nella configurazione delle preferenze di personalizzazione degli annunci, selezionando “Accetto i Termini di servizio di Google”, “Accetto che le mie informazioni vengono utilizzate come descritto sopra e dettagliate nelle caselle sulla Privacy” e, quindi, cliccando su “Crea un account”, l’utente accetta in blocco il trattamento dei dati personali implementato, compresa la pubblicità personalizzata.

Come ribadito dalle linee guida sul consenso, infatti, per rispettare la caratteristica della specificità “il Titolare del trattamento, che richiede il consenso per vari scopi diversi, dovrebbe fornire un opt-in separato per ogni scopo, per consentire agli utenti di fornire un consenso specifico per scopi specifici”[7]).

Pratiche da evitare, consigli in pillole

La vicenda ci fa capire quindi come applicare davvero il GDPR e quali pratiche mettere in atto per rendere davvero trasparenti le informazioni che forniamo agli interessati.

Come fornire l’informativa in un linguaggio semplice e chiaro

Evitando frasi e strutture linguistiche complesse, l’uso di qualificatori linguistici come “può”, “potrebbe”, “alcuni”, “spesso” e “possibile”.

Le informazioni dovrebbero essere concrete e certe, non essere formulate in termini astratti o ambigui, né lasciare spazio a interpretazioni multiple.

Esempi di buone prassi possono essere:

a) “Conserveremo lo storico dei tuoi acquisti e utilizzeremo i dati sui prodotti da te precedentemente acquistati per suggerirti altri prodotti che riteniamo siano di tuo interesse”;

b) “Conserveremo e valuteremo informazioni sulle tue recenti visite del nostro sito Internet e sul modo in cui navighi nelle sue diverse sezioni per finalità di analisi volte a comprendere come è usato il nostro sito, così da renderlo più intuitivo[8]

Come raggiungere un buon livello di trasparenza delle informazioni

Seguendo un approccio stratificato, optando, quindi, per una combinazione di metodi al fine di assicurare la trasparenza dell’informazione.

L’approccio stratificato può aiutare a superare l’eterno discrimen tra completezza e comprensione, consentendo agli utenti di muoversi direttamente verso la sezione dell’informativa che vogliono leggere.

Alcune possibili soluzioni sono l’utilizzo di notifiche “push”, che implicano la fornitura di messaggi “just in time”, e quelle “pull”, che facilitano l’accesso alle informazioni con metodi quali la gestione dei permessi e dashboard privacy.

La notifica just-in-time, per esempio, è utilizzata per fornire “informazioni sulla privacy” specifiche in maniera ad hoc. Questo metodo è utile per fornire informazioni in vari momenti del processo di raccolta dei dati, favorendo una fornitura delle informazioni a blocchi facilmente accessibili e riducendo l’affidamento su un’unica informativa privacy piena d’informazioni difficilmente comprensibili e fuori contesto.

Come rendere facilmente accessibili le informazioni

Adottando misure appropriate. Ciò significa che il Titolare del trattamento dovrebbe prendere una decisione sulla modalità e sulla forma appropriate per fornire le informazioni all’interessato, tenendo conto di tutte le circostanze della raccolta e del trattamento dei dati.

In particolare, le misure appropriate dovranno essere valutate alla luce dell’esperienza di navigazione dell’utente, vale a dire tenendo conto del dispositivo utilizzato, della natura delle interfacce utente/interazioni con il Titolare del trattamento. Sarebbe utile che il Titolare del trattamento sperimentasse diversi metodi mediante test sugli utenti (ad es. test di Hall o altri test standardizzati della leggibilità o accessibilità) per sondare l’accessibilità, comprensibilità e facilità d’uso della misura.

Documentare questo approccio dovrebbe peraltro aiutare il Titolare del trattamento negli obblighi di accountability, dimostrando come lo strumento e l’approccio scelto per trasmettere le informazioni sia quello più appropriato.

Conclusioni

“La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.

Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.” (Considerando 6 e 7 del GDPR)

Il Regolamento UE 2016/679 sta vivendo la fase della sua piena applicabilità. Se nei primi mesi dalla sua emanazione lo slogan era “non importa come, l’importante è fare”, adesso non è più sufficiente avere un sistema di compliance fantoccio, ma occorre che il sistema sia funzionante e coerente nella sostanza con il principio di accountability.

Il monito che lancia il CNIL a tutti gli operatori digitali è di rivedere le proprie politiche di trattamento dati personali in chiave più trasparente. Trasparenza che, da quanto emerge dall’analisi sopra riportata, permea soprattutto i maggiori istituti giuridici della normativa: informativa privacy, consenso al trattamento dei dati personali e il principio di stabilimento.

Avere una privacy policy, raccogliere il consenso degli utenti del servizio e avere una mera sede legale in un paese dell’Unione Europea, svuotata di potere decisionali, non basta per produrre l’indispensabile sensazione di affidabilità negli occhi degli utenti e generare quel clima di fiducia funzionale allo sviluppo dell’economia digitale europea.

A parere di scrive, infine, la delibera di condanna del Comitato ristretto, confermata successivamente dal Consiglio di Stato, pone un altro fondamentale tassello all’applicabilità del GDPR, il quale pare aver prodotto, a prescindere dal principio di cooperazione tra le autorità di controllo (così come delineato dal Capo VII, sezione I del Regolamento), un’attività di mutuo soccorso tra le autority europee.

Significativa in tal senso, rimane la posizione assunta dalla Commissione irlandese, che pur rischiando di inimicarsi un datore di lavoro utilissimo all’economia nazionale (la sede di Google Irlanda conta migliaia di dipendenti) ha confermato l’impostazione del CNIL, schierandosi fortemente dalla sua parte.

  1. Deliberation of the Restricted Committee SAN-2019-001 of 21 January 2019 pronouncing a financial sanction against GOOGLE LLC
  2. Art. 7, comma 2 del REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
  3. Deliberation of the Restricted Committee SAN-2019-001 of 21 January 2019 pronouncing a financial sanction against GOOGLE LLC
  4. Linee guida dell’EDPB del 5 aprile 2017 per l’individuazione dell’autorità di controllo capofila in rapporto a uno specifico titolare o responsabile del trattamento (WP244)
  5. “Who regulates Google?”, in The Irish Times, 27 Agosto 2018
  6. Linee guida dell’EDPB del 10 aprile 2018 sul consenso (WP259)
  7. Ibidem
  8. Linee guida dell’EDPB dell’11 aprile 2018 sulla trasparenza (WP260)
WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

@RIPRODUZIONE RISERVATA

Articolo 1 di 4