Diritto & Internet

Garante privacy: nuove prescrizioni per Google

Il Garante per la protezione dei dati ha stabilito che Google non potrà utilizzare i dati degli utenti a fini di profilazione senza il loro esplicito consenso. Sarà inoltre tenuto a dichiarare di svolgere questa attività a fini commerciali.

Al termine dell’istruttoria avviata un anno fa, il Garante privacy italiano ha emesso un provvedimento prescrittivo che indica le possibili misure che Google deve adottare per conformarsi alla normativa sui dati personali del nostro Paese. Si tratta del primo provvedimento emesso in Europa in seguito alll’indagine coordinata con le Autorità di protezione dei dati europee avviata nell’aprile 2013 in relazione alll’introduzione da parte di Google del pacchetto di policy unificate. Con il pacchetto, presentato all’inizio del 2013 la compagnia di Mountain View ha aggregato in un unico documento le regole di gestione dei dati delle diverse funzionalità offerte da Google. La nuova policy permette all’azienda americana di profilare più nel dettaglio gli utenti grazie al confronto dei dati provenienti dai diversi servizi: dalla posta elettronica (Gmail) al social network (GooglePlus), dalla gestione dei pagamenti on line (Google Wallet), alla diffusione di filmati (YouTube) e dalle mappe on line (Street View), all’analisi statistica (Google Analytics) .

A quanto si apprende dal Garante, nel  corso dell’istruttoria, caratterizzata anche da diverse audizioni con i suoi rappresentanti, Google ha adottato una serie di misure per rendere la propria privacy policy più conforme alle norme. Il Garante ha tuttavia rilevato il permanere di diversi profili critici e ha dettato una serie di regole, che si applicano all’insieme dei servizi offerti:

1) l’adozione di un sistema di informativa strutturato su due livelli, che possa fornire in un primo livello generale le informazioni più rilevanti per l’utenza (l’indicazione dei trattamenti e dei dati oggetto di trattamento, dell’indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc.) e in un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi.

2) l’inserimento di un’indicazione che avvisi gli utenti che i loro dati personali sono monitorati e utilizzati a fini di profilazione per pubblicità comportamentale personalizzata, anche attraverso tecnologie sofisticate che, come il cosiddetto “fingerprinting”, raccolgono informazioni sulle modalità di utilizzo del terminale da parte dell’utente e, a differenza dei cookie , le archiviano direttamente presso i server della società.

3) l’obbligo di acquisire l’esplicito consenso degli utenti per l’autorizzazione all’utilizzo dei loro dati per fini pubblicitari che consenta a chi utilizza i servizi di Mountain View di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati.

4) la definizione di tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti “attivi”, sia successivamente archiviati su sistemi di “back up”.

Google avrà 18 mesi per adeguarsi alle prescrizioni del Garante. In quest’arco temporale, l’Autorità monitorerà l’implementazione delle misure prescritte. La società dovrà infatti sottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverrà vincolante, sulla base del quale verranno disciplinati tempi e modalità per l’attività di controllo che l’Autorità svolgerà nei confronti di Mountain View.

Aggiungi commento

Direttore Scientifico
Prof. Avv. Giusella Finocchiaro
Curatrice Editoriale
Dott. Giulia Giapponesi