I problemi in materia di privacy per Google non sono finiti. Il Garante per il trattamento dei dati personali ha infatti ora contestato la loro informativa privacy richiedendo, tra gli altri, un consenso espresso da parte degli utenti al fine della profilazione da parte di Google dei loro dati per finalità di marketing; cosa che potrebbe avere conseguenze anche per società che operano nel settore dei Big Data, dell’Internet of Things e in generale per ogni società che opera nell’area del c.d. behavioural advertising, ovvero una forma di pubblicità che usa le informazioni raccolte sul comportamento dell’utente (pagine visitate, ricerche fatte.. ) per individuarne gli interessi e, su quella base, erogare pubblicità mirata.
Pochi mesi fa avevo commentato in questo articolo la sanzione di 1 milione di euro comminata dal Garante Privacy nei confronti di Google per il trattamento dei dati effettuato tramite il loro servizio Google Street View. Tuttavia, eccoci di fronte ad un nuovo episodio del “confronto” tra Google e il Garante Privacy.
Nel 2012 Google aveva annunciato l’adozione di una singola informativa privacy per tutti i propri servizi. Questa circostanza aveva portato alla reazione da parte dei vari regolatori europei in materia di privacy, ivi compreso il Garante italiano che aveva iniziato un’indagine ora culminata in un provvedimento prescrittivo.
I principali contenuti del provvedimento adottato dal Garante Privacy sono riassunti di seguito.
Modalità e contenuti dell’informativa privacy
Google dovrà adottare due livelli di informativa privacy:
- un’informativa di primo livello applicabile a tutti i servizi offerti da Google e contenenti delle informazioni generali quali:
- la tipologia di dati trattati,
- l’identità del titolare del trattamento e del rappresentante situato in Italia,
- un indirizzo per l’esercizio del diritto di accesso da parte degli utenti,
- il fatto che i dati degli utenti saranno utilizzati per finalità di marketing con riferimento in particolare a forme di behavioural advertising tramite il monitoraggio e la profilazione dell’attività degli utenti
- diverse informative privacy relative a ciascun servizio offerto che in modo specifico analizzino tra gli altri i rischi connessi a detto servizio e siano linkabili dall’informativa privacy di primo livello.
Consenso degli utenti alla profilazione dei loro dati per finalità di marketing
Il cambiamento più rilevante per Google derivante dal provvedimento del Garante consiste nell’esigenza di ottenere il previo consenso degli utenti al fine dell’utilizzo dei loro dati per finalità promozionali.
Tale trattamento comprende:
- il trattamento dei dati personali contenuti nelle email di GMail;
- l’incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell’utente;
- l’utilizzo di cookie e altri identificatori (credenziali di autenticazione, fingerprinting ecc.), necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte.
Come già avvenuto con riferimento al recente provvedimento in materia di cookies, il Garante ha adottato un approccio “innovativo” in relazione alle modalità in cui detto consento può essere ottenuto prevedendo che Google debba posizionare in modo visibile sulla propria homepage un banner che:
- si riferisca al trattamento dei dati degli utenti per finalità di profilazione,
- contenga un link all’informativa privacy comprendente le informazioni sopra indicate,
- contenga un ulteriore link ad un’area dove è possibile o negare il consenso alla profilazione o selezionare le modalità e funzionalità per la quali l’utente accetta di essere profilato e
- comunichi all’utente che selezionando qualsiasi contenuto al di fuori del banner fornisce il suo consenso all’utilizzo dei propri dati personali per finalità di profilazione.
Tempi di conservazione dei dati personali
Alla luce della recente sentenza della Corte di Giustizia europea sul c.d. diritto all’oblio di cui ho discusso in questo articolo, il Garante non ha preso una chiara posizione in merito ai tempi di conservazione dei dati raccolti da Google attendendo gli sviluppi successivi alla sentenza. Tuttavia, ha espressamente indicato che Google dovrà adottare una deletion policy e non conservare i dati per un periodo eccedente quanto richiesto dalle finalità per le quali i dati sono stati raccolti.
Quali conseguenze per il business dei Big Data e per le società straniere?
A causa delle complesse modifiche tecniche richieste al fine di adottare i cambiamenti sopra indicate, il Garante ha attribuito un termine di 18 mesi a Google per la loro implementazione. Tuttavia, il problema principale riguarda gli effetti di questa decisione su altri business che fanno affidamento sui Big Data e su modalità di behavioural advertising.
Saranno gli stessi principi estesi, per esempio, a società che monitorano l’utilizzo di social media? E quali saranno le conseguenze per i dispositivi dell’Internet of Things, le wearable technologies e le tecnologie del settore dell’eHealth?
Inoltre, mentre è stato assegnato a Google un termine di 18 mesi per conformarsi con gli obblighi sopra indicati, cosa accadrà ad altre società che non hanno approcciato il Garante in modo proattivo al fine di “negoziare” un periodo di transizione? Queste società potrebbero considerare l’ipotesi di iniziare delle discussioni con il Garante prima di essere eventualmente sanzionate il che potrebbe avere notevoli effetti negativi anche sul valore del proprio business.
Infine, queste problematiche non sono rilevanti solo per le società europee in quanto il Garante ha considerato Google come una società completamente soggetta alla normativa privacy italiana seguendo un approccio del c.d. targeting, già adottato nella recente sentenza della Corte di Giustizia europea. Di conseguenza qualsiasi società non europea che offra i propri servizi agli utenti europei potrebbe doversi conformare con i principi sopra indicati.
Facebook Comments