Prima di analizzare e commentare le misure prescrittive di cui al Provvedimento appare opportuno ricordare che il Garante – «consapevole delle difficoltà tecnico-operative connesse all'implementazione delle misure cui Google è tenuta ai fini dell'adempimento delle prescrizioni di cui al presente provvedimento, in quanto si tratta di modifiche relative ad una molteplicità di funzionalità rese disponibili su una pluralità di piattaforme tecnologiche e sistemi operativi, peraltro di non trascurabile complessità tecnica» – ha dato a Mountain View termine di 18 mesi per l’adeguamento. In questo periodo, in ogni caso, il Garante si è riservato di valutare lo stato di avanzamento delle misure Google proporrà all’Autorità italiana entro il 30 Settembre 2014 un apposito protocollo di verifica volto a disciplinare le modalità ed i tempi relativi allo scambio di documentazione tra Google e l'Autorità, nonché le modalità di attuazione e, appunto, dei riscontri che l'Autorità effettuerà nel corso dei 18 mesi .
Passando all’esame delle misure prescrizionali, e con riferimento alla prima criticità – cioè l’inidoneità dell’attuale informativa che Google rilascia agli utenti sul complesso dei propri servizi – il Garante ha indicato le seguenti soluzioni, soffermandosi in particolare più che sui contenuti sulle modalità tecniche con le quali Google dovrebbe rilasciare l’informativa agli utenti. In primo luogo il Garante ha difatti disposto pur lasciando libera Google di adottare altre soluzioni tecniche, purché le stesse determinino i medesimi effetti di conformità al Codice delle soluzioni suggerite dall’Autorità che l’informativa sia facilmente accessibile, ad esempio con un solo click dalla pagina del dominio cui l'utente accede. Con riferimento ai contenuti essa deve essere formulata in modo chiaro, completo ed esaustivo e a fronte di eventuali aggiornamenti o modifiche gli interessati devono essere posti nella condizione di comprendere e valutare i cambiamenti apportati, anche eventualmente mediante raffronto tra le diverse versioni della privacy policy susseguitesi nel tempo. Meccanismo delle “avvertenze multistrato”. Assai interessante la parte del provvedimento nella quale il Garante italiano suggerisce a Google quale modalità idonea di fornitura delle informazioni a fronte di una molteplicità di servizi e funzionalità complesse l’adozione del meccanismo delle cosiddette “avvertenze multistrato”. Tale meccanismo che ragionevolmente ed analogicamente potrebbe ritenersi applicabile anche ad altri fornitori – es Facebook – e ad analoghi servizi è ripreso da una delle soluzioni tecniche raccomandate dal Gruppo dei Garanti europei nel Parere numero 10/2004 sulla maggiore armonizzazione della fornitura di informazioni. In sostanza, partendo da tale meccanismo, il Garante suggerisce di rilasciare all’interessato una informativa strutturata su più livelli, secondo i seguenti criteri un primo livello deve fornire all’utente tutte le informazioni di carattere generale di maggiore importanza, relative ad esempio ai trattamenti di dati personali effettuati, alle tipologie di dati personali oggetto di trattamento, anche per categorie ad es. dati di localizzazione dei terminali degli utenti e dei punti di accesso wi-fi, indirizzi IP, MAC address, dati relativi a transazioni finanziarie e così via , alla qualifica di titolare che compete a Google ed ai suoi estremi identificativi, nonché l'indicazione del rappresentante designato nel territorio dello stato e di un indirizzo presso cui gli utenti possano esercitare in modo agevole ed in lingua italiana i propri diritti. In questo primo livello di informativa è inoltre necessario per il Garante riportare i link alle specifiche policies delle singole funzionalità, ove esistenti, nonché almeno l'indicazione della finalità di profilazione di alcuni trattamenti che Google comunque effettua visualizzazione di pubblicità comportamentale personalizzata, analisi e monitoraggio dei comportamenti dei visitatori di siti web, perseguita nelle modalità anche automatizzate che più sopra sono state elencate . Oltre a dover indicare in questo primo livello dell’informativa la finalità di profilazione e le relative modalità Google deve inoltre indicare dettagliatamente le modalità di acquisizione del consenso al trattamento, ove necessario il secondo livello può essere invece destinato – a parere del Garante a contenere la policy relativa alle specifiche funzionalità ovvero diversi esempi per chiarire le modalità del trattamento delle informazioni personali. In questo secondo livello potrebbero poi anche essere archiviate le precedenti versioni della privacy policy, ancorché non più in vigore, l'indicazione dei rischi specifici che possono derivare per gli interessati dall'utilizzo dei servizi ad esempio in caso di scelta di password non sufficientemente sicure poiché di agevole identificazione etc. e tutte le altre indicazioni di dettaglio idonee a consentire il più efficace esercizio dei diritti riconosciuti agli utenti. Informativa rilasciata indipendentemente dalla tipologia di accesso. Altra prescrizione rilevante del Garante – infine – è che le soluzioni in materia di informativa che siano conformi – come suggerito – al Codice devono applicarsi in modo identico indipendentemente dal tipo di terminale con il quale l’utente accede ai servizi o alle funzionalità Google ciò significa e implica che agli utenti dei servizi e delle funzionalità Google dovrà essere rilasciata l’informativa con le modalità indicate indipendentemente dal fatto che tali utenti accedano via mobile, tablet, desktop computer, dispositivi portatili o TV plug-in e per ogni applicazione resa disponibile. Acquisizione del consenso degli utenti per i trattamenti di profilazione svolti mediante servizi e funzionalità Google. In primo luogo il Garante richiama i principi generali del Codice della privacy sulla previa acquisizione del consenso dell’interessato ove obbligatorio ai sensi dell’articolo 23 che dispone che il trattamento di dati personali da parte di privati è ammesso solo con il consenso espresso, libero, specifico e informato dell'interessato , sui casi in cui non è necessario acquisire alcun consenso elencati dall’articolo 24 del Codice e sulle modalità di espressione del consenso in caso di cookies di profilazione ex articolo 122 del Codice . In tale delineata prospettiva l’Autorità specifica nel Provvedimento che Google non è tenuta a richiedere alcun consenso agli interessati quando – ad esempio – nella prestazione del servizio Gmail di posta elettronica tratta automaticamente i dati degli utenti registrati per finalità di carattere tecnico come ad esempio l'impiego di filtri antispam, la rilevazione di virus, la possibilità, garantita all'utente, di effettuare ricerche testuali, utilizzare il controllo ortografico, far ricorso all'inoltro selettivo di messaggi o di risposte automatiche in caso di assenza, gestire le preferenze e la creazione di regole per l'assegnazione del messaggio a cartelle determinate in base al suo contenuto, fare uso di flag per marcare messaggi segnati da carattere di urgenza, consentire la lettura vocale dei messaggi per soggetti non vedenti, la conversione delle e-mail in entrata in messaggi di testo per telefoni cellulari etc. In questi casi il trattamento è finalizzato al perseguimento di finalità contrattuali di fornitura del servizio email richiesto dall’utente e quindi si applica una delle tipiche esimenti del consenso previste dall’articolo 24 del Codice esecuzione di obblighi derivanti da un contratto . Profilazione dell’utente. Diverso è il caso dei trattamenti svolti da Google che perseguono finalità di profilazione dell’utente per il conseguimento di tali finalità ulteriori rispetto a quelle direttamente e strettamente inerenti la messa a disposizione della specifica funzionalità del servizio di posta elettronica, ed in particolare per la visualizzazione, da parte dell'utente autenticato, di messaggi di testo tesi alla fornitura di pubblicità comportamentale personalizzata, il Garante prescrive a Google di acquisire il preventivo ed informato consenso dei propri utenti, mai fino ad ora richiesto nello specifico. Google procede poi alla profilazione degli utenti anche mediante incrocio dei dati personali degli interessati relativi all'utilizzo di più servizi e funzionalità Google ma lo fa senza chiedere il prescritto consenso obbligatorio ai sensi del Codice e ovviamente non è sufficiente menzionare nell’informativa la possibilità che sia svolto un tale trattamento per considerare acquisito il consenso . Infine Google procede alla profilazione degli utenti dei suoi servizi mediante l’utilizzo di cookie e di altri identificatori quali credenziali di autenticazione e fingerprinting cioè la tecnica di identificazione basata sul trattamento di dati personali ovvero anche di informazioni o parti di informazioni che non sono o non sono ancora dati personali ma che, poste in associazione tra loro ovvero con altre informazioni, possono diventarlo con l'obiettivo di pervenire all'identificazione inequivoca cd. single out del terminale e, per il suo tramite, anche del profilo di uno o più utilizzatori di quel dispositivo . Anche in quest’ultimo caso il Garante ha rilevato l’assenza nella policy Google di idonei meccanismi di acquisizione del necessario consenso specifico alla profilazione e l’insufficienza di meccanismi – che non possono essere equiparati al consenso espresso basati su comportamenti concludenti degli utenti come la passiva accettazione delle condizioni d'uso, il cd. further browsing cioè la prosecuzione della navigazione all'interno del sito e similari. Appare assai interessante notare come il Garante sottolinei nel Provvedi-mento la maggiore rischiosità – in termini di possibile violazione dei diritti privacy degli utenti di Google – della tecnica del fingerprinting rispetto alla normale operatività dei cookies difatti – sottolinea il Garante – «l'utente che non intenda essere profilato, oltre alle tutele di carattere giuridico connesse all'esercizio del diritto di opposizione, ha anche la possibilità pragmatica di rimuovere direttamente i cookie, in quanto archiviati all'interno del proprio dispositivo con riguardo al fingerprinting il solo strumento nella sua disponibilità consiste nella possibilità di rivolgere una specifica richiesta al titolare, confidando che essa venga accolta. Ciò in quanto il fingerprinting non risiede nel terminale dell'utente, bensì presso i sistemi del provider , ai quali l'interessato non ha, ovviamente, alcun accesso libero e diretto». Necessaria una inequivoca manifestazione di volontà da parte dell'interessato. In ogni caso, per tutti i casi di trattamento di profilazione degli utenti svol-to da Google nelle varie modalità sopra elencate e con le finalità illustrate il Garante fissa un ineludibile principio il trattamento può essere effettuato solo previo consenso dell'interessato tale consenso deve rispondere, ai fini della sua validità, ai requisiti di legge e pertanto esso deve essere libero, acquisito in via preventiva rispetto al trattamento medesimo, riferibile a trattamenti che perseguono finalità esplicite e determinate, informato e documentato per iscritto. È dunque necessario, in tale prospettiva, che la sua espressione costituisca una inequivoca manifestazione di volontà da parte dell'interessato. Proprio in tale ottica – e ferma restando in capo a Google la libertà di attuare i principi in materia di acquisizione consenso con l’implementazione di meccanismi e tecniche di sua scelta, purché rispondenti al dato ed ai principi normativi richiamati – il Garante propone alcune soluzioni per raccogliere il consenso di utenti non autenticati e autenticati per i cosiddetti passive users – cioè i soggetti che non utilizzano direttamente le funzionalità di Google, ma i cui dati possono tuttavia comunque essere da essa acquisiti ad esempio perché navigano su siti di terze parti ove sono installati anche cookie di Google, l'Autorità richiama espressamente le prescrizioni già emanate nel provvedimento numero 229, dell'8 maggio 2014, relativo alla “Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie ” il quale ha stabilito che, in tale situazione, sarà il gestore del sito ove avviene la navigazione a raccogliere il consenso anche per l'installazione dei cookie da parte di Google ed a farsi carico di acquisire, già in fase contrattuale, il collegamento link alla o alle pagine web contenenti le informative e i moduli per l'acquisizione del consenso relativo ai cookie di Google . Il Garante raccomanda a Google di implementare meccanismi che diano luogo, all’atto dell’accesso alla home page o ad altra pagina del sito web da parte di un utente non registrato o perché non ancora autenticato e riconosciuto dai sistemi Google, o perché non registrato e privo di account alla immediata visualizzazione in primo piano di un’area di idonee dimensioni, ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che l’utente sta visitando, contenente almeno le seguenti indicazioni a che il sito effettua attività di trattamento dei dati per finalità di profilazione sia mediante trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, sia tramite incrocio dei dati tra funzionalità diverse, sia utilizzando cookie o altri identificatori anche al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente stesso nell'ambito dell'utilizzo delle funzionalità e della navigazione in rete nonché allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web il link alla privacy policy , ove vengono fornite tutte le indicazioni b il link ad una ulteriore area dedicata che il Garante specifica deve essere presente in tutte le pagine web Google nella quale sia possibile negare il consenso alla profilazione ovvero selezionare, in modo esaustivamente analitico, soltanto la oppure le funzionalità e le modalità in relazione all'utilizzo delle quali l'utente sceglie di essere profilato c l'indicazione che la prosecuzione della navigazione mediante accesso o selezione di un elemento sottostante o comunque esterno all'area in primo piano ad esempio, di un form di ricerca, di una mappa, di un'immagine o di un link comporta la prestazione del consenso alla profilazione. L’utente manifesterà il proprio consenso alla profilazione valido ai sensi dell’articolo 23 del Codice di cui Google dovrà registrare e conservare traccia informatica, anche mediante specifico cookie tecnico, in modo tale da non ripresentare al medesimo utente il meccanismo o l’area ponendo poi in essere una azione positiva che implichi una discontinuità, seppur minima, dell'esperienza di navigazione per esempio equivale a consenso espresso dell’utente il fatto che l’area visualizzata scompaia o si chiuda a seguito di una sua specifica azione attiva, come la selezione di un elemento contenuto nella pagina sottostante l'area stessa. In tale ottica – al contrario non equivale ovviamente a manifestazione di consenso l’azione dell’utente che accede alla specifica area nella quale modulare le scelte oppure clicca sul link della pagina che contiene la privacy policy . L’unica differenza, dal rilevante impatto pratico, tra utenti registrati e non registrati in merito ai sopra illustrati meccanismi di acquisizione del consenso alla profilazione è rappresentata – come chiarisce il Garante – dal fatto che le scelte in ordine al trattamento dei propri dati per finalità di profilazione espresse da un utente non autenticato, proprio perché non legate ad un account, avranno validità esclusivamente con riferimento allo specifico dispositivo utilizzato, tanto nella prima quanto nelle successive sessioni, fino ad una eventuale revoca invece la manifestazione di volontà dell'utente autenticato essendo espressa da un soggetto individuato in re ipsa varrà anche nell'ipotesi nella quale l'utente autenticato fruisca delle funzionalità e dei servizi Google mediante utilizzo di più e diversi dispositivi. Le prescrizioni del Garante a Google in materia di conservazione dei dati e le politiche di data retention e data deletionumero Con riferimento ai tempi di conservazione dei dati da parte di Google ed alle connesse politiche di cancellazione il Garante ha svolto l’esame di conformità della privacy policy di Google sulla base del fondamentale principio contenuto nell’articolo 11 del Codice della privacy, che dispone che i dati possono conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Si tratta del principio di finalità che deve essere a base – come specifica il Garante – di ogni data retention policy . Tuttavia e del tutto correttamente il Garante ha inteso specificare nel Provvedimento che le misure in merito alle politiche di conservazione e cancellazione dei dati – per la loro ovvia interferenza con l’esercizio del diritto all’oblio sul quale è intervenuta la recente sentenza della Corte di Giustizia UE – sono state prescritte esclusivamente alla luce dell’articolo 11 del Codice e per i soli utenti di Google registrati dotati di account che richiedano la cancellazione e non si applicano comunque al servizio di web search di Google inteso quale motore di ricerca Internet fruibile anche da utenti non registrati ai servizi Google . In altri termini, il Garante sottolinea che alcuna misura in merito alle modalità di esercizio e rispetto del diritto all’oblio degli utenti non autenticati è stata volutamente considerata nel Provvedimento, in attesa che il Gruppo dei Garanti europei che si è riunito il 3 giugno scorso adotti specifiche Linee Guida per supportare anche Google nella corretta implementazione pratica dei principi espressi dalla Corte UE come è noto, comunque, Google ha già attivato un form online per ricevere le richieste di esercizio del diritto all’oblio sono state inoltrate più di 70.000 richieste che riguardano 250.000 pagine web e dall’Italia sono giunte 6000 richieste . Il Garante ha rilevato che Google, in tutti gli atti istruttori, non ha fornito informazioni certe e definitive sulla tempistica di conservazione dei dati degli utenti, specificando solo il tempo di archiviazione della cd. search history indefinitamente o fin quando l'utente stesso non rimuova i dati della cronologia in caso di utenti non registrati e fino a 180 giorni per quelli registrati 9 mesi per la conservazione degli indirizzi IP prima dell'anonimizzazione e 18 mesi per quella dei cookie . Inoltre, Google appare non cancellare o anonimizzare mai definitivamente i dati anche quando rimossi o dissociati dall’account utente, restano nella sua disponibilità per non meglio identificate ragioni di miglioramento dei servizi e per un tempo potenzialmente illimitato. Sul punto il Garante – richiamando le due modalità di cancellazione dei dati – una relativa all’esaurimento dei termini legittimi di conservazione, l'altra che prende invece in considerazione la scelta e la conseguente azione positiva, ovvero la richiesta dell'interessato di ottenere, a determinate condizioni, la cancellazione dei dati personali che lo riguardano cd. data deletion policy – ha prescritto a Google quanto segue nel caso le informazioni si trovino sui sistemi Google cd. attivi o live-serving Google dovrà provvedere alla cancellazione dei dati personali su richiesta dell'interessato autenticato cioè dotato di account entro il compimento del 63° giorno decorrente dalla richiesta e comunque nel periodo preliminare dei primi 30 giorni dalla ricezione della richiesta Google dovrà non cancella-re ma solo disattivare i dati a tutela dell'utente, onde a prevenire cancellazioni accidentali o fraudolente dei suoi dati personali qualora, invece, i dati siano stati archiviati nei sistemi di back up , il tempo massimo per procedere alla relativa cancellazione sarà pari a sei mesi dalla richiesta dell'utente autenticato, quantificabili in 180 giorni solari e dunque entro il compimento del 181° giorno. Durante questo periodo la sola opera-zione consentita sui dati potrà essere il recupero di informazioni perse e tali informazioni dovranno comunque essere protette da accessi non autorizzati mediante utilizzo di idonee tecniche di cifratura o, se del caso, di anonimizzazione dei dati stessi in base a quanto previsto dal Parere dei garanti euro-pei numero 05 del 10 Aprile 2014 sull'impiego delle tecniche di anonimizzazione Google dovrà infine adottare una policy di data retention conforme al principio di finalità fissato dall’articolo 11 del Codice della privacy.