Provvedimento Google: alcuni dubbi e note critiche

Una prima conclusione che si può formulare sul Provvedimento riguarda alcuni dubbi sulla sua diretta applicabilità ai sensi delle stesse regole italiane che appunto chiariscono e delimitano l’ambito di applicazione del Codice della privacy. Il Provvedimento, difatti, prescrive un insieme di regole obbligatorie «a Google Inc., con sede in Mountain View, USA, con specifico riguardo ai trattamenti di dati personali relativi all'utilizzo delle funzionalità offerte per il tramite del sito web www.google.it e di tutte le altre pagine web in lingua italiana comunque riconducibili alla società».

Orbene, l’articolo 5 del Codice della privacy “Oggetto ed ambito di applica-zione” dispone – ai primi due commi – che 1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali. Google Inc. sicuramente tratta e detiene all’estero dati personali “tramite il sito web www.google.it e tutte le altre pagine web in lingua italiana”, ma non è certo un soggetto “stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato”. Non avrebbe altrimenti senso la nomina di Google Italy tra l’altro solo a partire dal 2010 quale proprio rappresentante in Italia ai sensi e per gli effetti dell'articolo 5 del Codice in relazione all'applicazione del Codice privacy e alla normativa sulla tutela dei dati personali . E’ difatti lo stesso Garante a ricordare in apertura del Provvedimento la natura dei rapporti tra Google Inc. e Google Italy Google, per il tramite della propria controllata Google International LLC, ha sottoscritto con la società Google Italy S.r.l. con unico socio, costituita nel 2002 e - soprattutto - dotata di personalità giuridica autonoma, un marketing and service agreement per la promozione e commercializza-zione e vendita di spazi pubblicitari generati sul sito web www.google.it e su tutte le altre pagine web in lingua italiana comunque riconducibili alla società. La titolarità dei servizi Google è in capo alla società USA. Ma se alla società USA non è applicabile il Codice della privacy ai sensi dell’articolo 5.1 in quanto titolare del trattamento estero non stabilito sul territorio dello Stato , allora l’unico presupposto è rappresentato dal “trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea che impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici”. Se è verificato – appunto ai sensi dell’articolo 5.2 del Codice – questo presupposto oggettivo rappresentato dalla presenza di strumenti situati nel territorio dello Stato impiegati per il trattamento, allora il titolare estero non stabilito dovrà procedere alla designazione di “un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali”. Ciò che effettivamente ha fatto Google Inc. designando Google Italy S.r.l. , sia pure a partire dal 2010 e si tralasciano in tale sede le altre considerazioni che sul punto emergerebbero per il passato . Il dubbio che sorge è che la stessa Google - proprio nel famoso processo penale subito dai suoi rappresentanti nel noto caso Vivi Down la pubblicazione su YouTube di un video in cui un ragazzo disabile veniva vessato da alcuni compagni, conclusosi con assoluzione dei dirigenti Google in Cassazione, con la sentenza 3672/2014 – ha provato che nessun dato è trattato in Italia per la fornitura dei propri servizi, in quanto i server sono tutti all’estero Google si avvale di 10 data center dove ospita circa 900mila servers 6 sono negli USA, 2 in Europa e 2 in Asia . Ci si chiede allora quali siano e se vi siano gli «strumenti impiegati per il trattamento» situati nel territorio italiano che dovrebbero inoltre essere – a stretto rigore – gestiti direttamente dal titolare estero non stabilito e non certo dal rappresentante, la cui designazione ha solo l’effetto – diciamo – di “intermediazione” formale nell’applicazione diretta delle regole privacy italiane al titolare estero . In sostanza, può effettivamente sorgere il dubbio – al di là della formalistica nomina da parte di Google Inc. di Google Italy S.r.l. quale rappresentante in Italia a fini privacy – che a disciplina privacy vigente non vi siano i presupposti di applicabilità diretta a Google Inc. di un provvedimento italiano che è tutto incentrato sulla titolarità dei trattamenti in capo a soggetto estero non stabilito nel territorio della Stato e che appare anche privo di strumenti di gestione propria e diretta impiegati in Italia per il trattamento dei dati degli utenti. Ciò che il provvedimento non dice Una seconda nota – piuttosto critica - riguarda ciò che il Provvedimento del Garante non dice. Al di là delle questioni sulla diretta applicabilità a Google Inc. ed anche volendo riconoscere che Google Inc. deve sottoporsi alle prescrizioni dettate dall’Autorità privacy italiana, appare allora poco logico e conseguente che se all’esito dell’istruttoria italiana il Garante ha rilevato per lo meno a far data dal 1° Marzo 2012, data di entrata in vigore della uova privacy policy di Google tra l’altro che a Google non ha mai richiesto il consenso obbligatorio degli utenti alla profilazione b Google non ha fornito una informativa idonea sui trattamenti dei dati degli utenti c Google non rispetta termini di conservazione dei dati raccolti in conformità al Codice della privacy lo stesso Garante non abbia proceduto ne se ne sia riservato – come spesso fa - un successivo approfondimento a sanzionare Google in via diretta in sede amministrativa es articolo 161 del Codice per inidonea informativa o penale articolo 167 del Codice per trattamento illecito di dati personali a seguito della violazione dell’articolo 23 sul consenso , come ad esempio aveva deciso in sede di valutazione del servizio Street View. Infine, una considerazione conclusiva attiene alla possibilità che – dopo il Provvedimento Google – sia possano aprire analoghe istruttorie sulle privacy policies e in generale sui trattamenti svolti da altri colossi del web . Tra i Big Data - ad esempio – un candidato perfetto in tale prospettiva appare Facebook. In una delle ultime privacy policy del 2013 Facebook, nel nuovo accordo che fa firmare ai suoi utenti, si ascrive il diritto di usare le informazioni dei profili e le immagini dei suoi iscritti per fare campagne pubblicitarie agli amici senza chiedere alcun consenso agli interessati. Ciò ha ingenerato una nuova battaglia legale al momento negli USA avviata dalle 6 principali organizzazioni americane che difendono la privacy. I legali delle associazioni hanno infatti inviato una lettera alla Federal Trade Commission , l’ente governativo per la protezione dei consumatori, e ai politici degli Stati Uniti sostenendo che i recenti cambiamenti fatti dal colosso dei social network violano i termini di un accordo del 2012 siglato da Facebook con la stessa Federal Trade Commission . Secondo le associazioni l’accordo stipulato prevede che Facebook non possa condividere informazioni dei suoi utenti senza chiedere ogni volta il permesso in modo esplicito e senza pagare per l’uso dei dati. Presupposti che, nelle nuove regole, sono invece del tutto assenti. In ogni caso, al di là delle iniziative formali delle Autorità privacy, deve comunque ritenersi che alcune prescrizioni pratiche sul trattamento dei dati degli utenti che il Garante italiano ha prescritto a Google nel proprio Provvedimento la cui violazione è sanzionabile con una sanzione da 30mila a 180mila euro abbiano una portata generale es l’informativa multi-livello le prescrizioni su data retention e data deletion , etc. e in quanto tale possano ragionevolmente ed analogicamente applicarsi anche ad altri fornitori di analoghi servizi.