Più tutela per gli utenti Google, in arrivo i paletti del Garante

Gli utenti che useranno i servizi o il motore di ricerca di Google in Italia saranno piu' tutelati. Il Garante privacy ha stabilito che il colosso di Mountain View non potra' utilizzare i loro dati a fini di profilazione se non ne avra' prima ottenuto il consenso e dovra' dichiarare esplicitamente di svolgere questa attivita' a fini commerciali.

Si e' conclusa con un provvedimento prescrittivo l'istruttoria avviata lo scorso anno dal Garante italiano a seguito dei cambiamenti apportati dalla societa' alla propria privacy policy.

Si tratta del primo provvedimento in Europa che - nell'ambito di un'azione coordinata con le altre Autorita' di protezione dei dati europee e a seguito della pronuncia della Corte di Giustizia europea sul diritto all'oblio - non si limita a richiamare al rispetto dei principi della disciplina privacy, ma indica nel concreto le possibili misure che Google deve adottare per assicurare la conformita' alla legge.

 La societa' ha infatti unificato in un unico documento le diverse regole di gestione dei dati relative alle numerosissime funzionalita' offerte - dalla posta elettronica (Gmail), al social network (GooglePlus), alla gestione dei pagamenti on line (Google Wallet), alla diffusione di filmati (YouTube), alle mappe on line (Street View), all'analisi statistica (Google Analytics) - procedendo pertanto all'integrazione e interoperabilita' anche dei diversi prodotti e dunque all'incrocio dei dati degli utenti relativi all'utilizzo di piu' servizi.

Nel corso dell'istruttoria, caratterizzata anche da diverse audizioni con i suoi rappresentanti, Google ha adottato una serie di misure per rendere la propria privacy policy piu' conforme alle norme.

Il Garante - si legge in una nota- ha tuttavia rilevato il permanere di diversi profili critici relativi alla inadeguata informativa agli utenti, alla mancata richiesta di consenso per finalita' di profilazione, agli incerti tempi di conservazione dei dati e ha dettato una serie di regole, che si applicano all'insieme dei servizi offerti.

L'Autorita' ha prescritto a Google l'adozione di un sistema di informativa strutturato su piu' livelli, in modo da fornire in un primo livello generale le informazioni piu' rilevanti per l'utenza: l'indicazione dei trattamenti e dei dati oggetto di trattamento (es. localizzazione terminali, indirizzi IP etc.), dell'indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc.; in un secondo livello, piu' di dettaglio, le specifiche informative relative ai singoli servizi offerti. 

Ma soprattutto Google dovra' spiegare chiaramente, nell'informativa generale, che i dati personali degli utenti sono monitorati e utilizzati tra l'altro a fini di profilazione per pubblicita' mirata e che essi vengono raccolti anche con tecniche piu' sofisticate che non i semplici cookie, come ad esempio il fingerprinting.

Quest'ultimo e' un sistema che raccoglie informazioni sulle modalita' di utilizzo del terminale da parte dell'utente e, a differenza dei cookie che vengono installati sul pc o nello smartphone, le archivia direttamente presso i server della societa'.

Per utilizzare a fini di profilazione e pubblicita' comportamentale personalizzata i dati degli interessati - sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie e fingerprinting - Google dovra' acquisire il previo consenso degli utenti e non potra' piu' limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano, fino ad oggi, alcun potere decisionale agli interessati sul trattamento dei propri dati personali.

In proposito, l'Autorita' ha anche indicato una modalita' innovativa e di facile impiego che, senza gravare eccessivamente sulla navigazione dell'utente, gli consenta di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati. 

   Google dovra' definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti "attivi", sia successivamente archiviati su sistemi di "back up".

Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (quindi facilmente identificabili) siano soddisfatte al massimo entro due mesi se i dati sono conservati sui sistemi "attivi" ed entro sei mesi se sono archiviati sui sistemi di back up.

Per quanto riguarda le richieste di cancellazione che interessano l'utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell'Unione europea sul diritto all'oblio.

Google avra' 18 mesi per adeguarsi alle prescrizioni del Garante. In quest'arco temporale, l'Autorita' monitorera' l'implementazione delle misure prescritte.

La societa' dovra' infatti sottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverra' vincolante, sulla base del quale verranno disciplinati tempi e modalita' per l'attivita' di controllo che l'Autorita' svolgera' nei confronti di Mountain View.