Alla fine di un'istruttoria iniziata lo scorso anno, il Garante della privacy ha emesso un provvedimento restrittivo nei confronti di Google in merito all’utilizzo dei dati personali degli utenti. Regole stringenti quelle dettate dall’Autorità, a cui la società americana dovrà adeguarsi entro i prossimi 18 mesi.
Provvedimento restrittivo. Questo è quanto deciso dal Garante della privacy nel provvedimento numero 353 del 10 luglio 2014. Google avrà 18 mesi di tempo per informare in maniera adeguata gli utenti italiani di tutti i propri servizi sull’utilizzo dei loro dati personali e delle informazioni raccolte automaticamente attraverso i computer. Dopo l’informazione, sarà necessario il consenso al trattamento, che si differenzierà a seconda dei dati. In ogni caso, dovrà essere dichiarato esplicitamente che l’attività verrà svolta a fini commerciali. L’istruttoria avviata lo scorso anno in seguito ai cambiamenti apportati da Google alla propria privacy policy si conclude, quindi, con un provvedimento storico, il primo in Europa. Il Garante non si è limitato a richiamare la società al rispetto dei principi della disciplina in materia di privacy, ma ha indicato le possibili misure da adottare per assicurare la conformità alla legge. Informazioni agli utenti. Il primo passo da compiere sarà legato all’informativa, da strutturare su più livelli. In questo modo, verranno fornite le informazioni più rilevanti per l’utenza in un primo livello più generale indicazione dei trattamenti e dei dati oggetto di trattamento, indirizzo presso cui rivolgersi per esercitare i propri diritti , mentre, in un secondo livello, saranno offerte delle specifiche informative relative ai singoli servizi offerti. L’aspetto più importante rimane, comunque, l’obbligo per Google di spiegare nell’informativa generale che i dati personali degli utenti vengono monitorati ed utilizzati anche per scopi di pubblicità mirata, oltre che raccolti non soltanto mediante i cookie, bensì pure attraverso la tecnica del fingerprinting. Si tratta di un sistema di raccolta delle informazioni sulle modalità di utilizzo del terminale da parte dell’utente che vengono archiviate direttamente presso i server aziendali. Richiesta del consenso. Dovrà essere necessariamente richiesto il previo consenso degli utenti ad utilizzare i dati per scopi pubblicitari e commerciali, per cui sparirà la pratica attuata in passato da Google di limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano alcun potere decisionale agli interessati sul trattamento dei dati personali. Conservazione e cancellazione dei dati. La società americana dovrà definire, in merito alla conservazione dei dati, dei tempi certi sulla base del Codice privacy. Riguardo alla cancellazione, invece, Google dovrà soddisfare le richieste degli utenti che dispongono di un account entro due mesi se sono conservati su sistemi c.d. “attivi” ed entro sei mesi se archiviati in sistemi di back up. 18 mesi, quindi, per adeguarsi a quanto dettato dal Garante, ma entro il 30 settembre 2014, Google dovrà sottoporre all’Autorità un protocollo di verifica, che diventerà vincolante una volta sottoscritto, su cui verranno disciplinati tempi e modalità per l’attività di controllo che il Garante svolgerà.