POLITICA SULL'UTILIZZO DEI COOKIE - GIUFFRE' FRANCIS LEFEBVRE SPA

Questo sito utilizza cookie di profilazione di prima parte per offrirti un miglior servizio e per trasmetterti comunicazioni in linea con le attività svolte durante la navigazione. Puoi impedire l'utilizzo di tutti i Cookie del sito cliccando MAGGIORI INFORMAZIONI oppure puoi acconsentire all'archiviazione di tutti quelli previsti dal sito cliccando su ACCONSENTI.

Continuando la navigazione del sito l'utente acconsente in ogni caso all'archiviazione degli stessi.


> Maggiori informazioni

Acconsenti

Abbonamento scaduto
Abbonamento inattivo
Numero massimo utenti raggiunto
Utente non in CRM
Manutenzione
sabato 25 maggio 2019
Accedi   |   Contatti   |   Newsletter   |   Abbonamenti    Feed RSS
Notizie a cura di La Stampa.it |
AMMINISTRATIVO

privacy policy | 28 Luglio 2014

Conformità dei servizi Google al Codice della privacy italiano: il Garante adotta il primo provvedimento generale prescrittivo in Europa

di Alessandro Del Ninno - Prof. Avvocato, Studio Legale Tonucci & Partners

  In 3 appuntamenti, a partire da oggi, verrà approfondito il provvedimento prescrittivo adottato dal Garante Privacy nei confronti del colosso Google. Inquadramento del provvedimento del Garante, misure obbligatorie prescritte, contenuto dell’informativa, acquisizione del consenso degli utenti per i trattamenti di profilazione, politiche di data retention e data deletion, sono questi gli argomenti cardine affrontati …

Inquadramento del Provvedimento prescrittivo del Garante. Ancora non è sopito il dibattito sulla recente sentenza della Corte di Giustizia UE sul c.d. diritto all’oblio nel caso Google che ecco che il gigante di Mountain View (che sta attraversando un delicato momento per i vari fronti aperti in Europa, dalla fiscalità - con lo spinoso dibattito sulla web tax o “Google tax” - al copyright, ai sospetti di abuso di posizione dominante che hanno di recente risvegliato l’Antitrust UE) è nuovamente al centro dell’attenzione a seguito del recente provvedimento dell’Autorità per la protezione dei dati personali italiana che - prima fra i Garanti privacy europei - ha emanato una serie di vincolanti prescrizioni sul trattamento dei dati personali degli utenti nell’ambito della fornitura e fruizione dei vari servizi Google.
70 diverse policies in un documento unico. Con il provvedimento n. 353 del 10 Luglio 2014 intitolato Provvedimento prescrittivo nei confronti di Google Inc. sulla conformità al Codice dei trattamenti di dati personali effettuati ai sensi della nuova privacy policy (di seguito, per brevità, il “Provvedimento”) – il Garante ha preso spunto dall’esame di conformità al Codice della privacy italiano della nuova privacy policy di Google (che dal 1° Marzo 2012 ha unificato in un solo documento le circa 70 diverse policies fino ad allora in vigore) per prescrivere una serie di regole a tutela degli utenti italiani fruitori di servizi Google. Tale Provvedimento si può considerare l’esito italiano di una istruttoria nazionale avviata dal Garante il 2 aprile 2013 (al pari di almeno altre 5 autorità europee per la protezione dei dati) comunque collegata ad una istruttoria europea condotta (tramite il Garante privacy francese a ciò delegato, la CNIL) dalle Autorità di protezione dei dati nazionali riunite nel cosiddetto Working Party previsto dall’art. 29 Direttiva 46/95 sulla protezione dei dati personali e tesa ad un controllo sulla liceità e correttezza dei trattamenti effettuati dalla Google ai sensi della nuova privacy policy.
L’esame ha avuto per oggetto la conformità alla normativa italiana sulla protezione dei dati di cui al Codice della nuova privacy policy di Google con riferimento ai trattamenti degli utenti svolti nell’ambito della fornitura della molteplicità di servizi e funzionalità offerti da Google, e che variano dal motore di ricerca sul web (Google search) alla posta elettronica (Gmail), dalla commercializzazione di spazi pubblicitari (DoubleClick) al browser (Google Chrome), dal social network (Google+) alla gestione di pagamenti online (Google Wallet), dal negozio virtuale per l'acquisto di applicazioni, musica, film, libri e riviste (Google Play) alla ricerca, visualizzazione e diffusione di filmati (YouTube); dai servizi di immagazzinamento, condivisione e revisione di testi (Google Docs e Google Drive) al software per la visualizzazione di immagini satellitari (Google Earth); dalla gestione di agende e calendari (Google calendar) a funzionalità per il controllo e la gestione dei profili dell'utente (Google Dashboard), da strumenti di analisi statistica e di monitoraggio dei visitatori di siti web (Google Analytics) fino alle mappe online con il servizio Street View su Google Maps. Su quest’ultimo servizio – tra l’altro – è opportuno ricordare che proprio di recente – il 18 Dicembre 2013 – il Garante italiano ha comminato una sanzione a Google di circa un milione di Euro per inidonea informativa (la sanzione ha riguardato il passato poiché ad oggi il Garante ritiene l’informativa del servizio Street View idonea); una sanzione assai elevata se raffrontata ad analoghe sanzioni applicate a Google per il servizio Street View per motivi ben più gravi, come ad esempio la sottrazione di dati sull'accesso alle connessioni wi-fi non protette degli utenti: in Francia la sanzione fu di 100 mila euro, in Germania di 145 mila euro, solo 25 mila negli Stati Uniti (in totale, per quella vicenda, Google ha pagato in vari paesi circa 7 milioni di dollari).
Ancora, con riferimento invece al servizio YouTube, è interessante notare come nel provvedimento il Garante ha sottolineato che Google omette di informare con chiarezza gli utenti circa la propria identità di titolare del trattamento dei dati personali raccolti anche attraverso l'uso di YouTube e successivamente incrociati con quelli relativi ad altre funzionalità ed ha prescritto che tale indicazione sia espressa in modo visibile sia nella privacy policy, sia nelle pagine di fruizione di YouTube.
Diverse criticità … A seguito della istruttoria, il Garante italiano ha ravvisato le criticità di seguito elencate, per risolvere le quali ha poi imposto a Google Inc. l’adozione delle conseguenti misure organizzative e tecniche:
 - l'informativa resa da Google agli interessati è inidonea e non conforme all’art. 13 del Codice della privacy, sia per le modalità con le quali viene resa agli utenti, sia per i contenuti informativi sia per l’insufficiente esplicitazione delle diverse finalità e modalità del trattamento dei dati personali degli utenti;
- Google omette poi di richiedere (ai sensi degli artt. 23 e 122 del Codice) lo specifico, separato e consapevole consenso degli interessati per finalità di profilazione e successivo invio di comunicazioni commerciali mirate o basate sulla analisi ed il monitoraggio dei comportamenti degli utenti sul web; sul punto il Garante ha rilevato come la profilazione avvenga mediante a) trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail; b) incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell'utente; c) utilizzo di cookie e altri identificatori (credenziali di autenticazione, fingerprinting etc.), necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell'uso delle funzionalità offerte (pattern);
- Google non ha adottato idonee procedure per consentire agli utenti di esercitare i propri diritti privacy, come ad esempio il diritto di opporsi al trattamento;
- Google non rispetta i principi in materia di tempi massimi di conservazione dei dati (art. 11 del Codice).
Gli “interessati” presi in considerazione dal Provvedimento (a fini della predisposizione delle misure a loro tutela) sono ascrivibili poi a 3 categorie:
- gli utenti che dispongono di un account Google creato a seguito di una procedura di registrazione per l'accesso “autenticato” ai servizi di Google (cd. utenti autenticati);
- gli utenti che utilizzano le medesime funzionalità in assenza di previa autenticazione (cd. utenti non autenticati);
- gli utenti  i cui dati, pur non utilizzando tali soggetti direttamente le funzionalità di Google, possono comunque essere acquisiti dalla società, come nel caso in cui navighino all'interno di siti di terze parti ove vengono installati, tra gli altri anche i cookie di Google (cd. passive users).