Privacy&

2019/1

Andrea Lensi Orlandi Flavia Caloprisco

Il caso Google: alcune note alla decisione della Cnil

Il 21 gennaio 2019, l’autorità per la protezione dei dati personali francese (“ Cnil ”) ha irrogato una sanzione amministrativa pecuniaria di 50 milioni di euro nei confronti della società americana Google LLC per violazione del principio di trasparenza, assenza di valida base giuridica e mancata acquisizione del consenso con riferimento alle operazioni di trattamento necessarie alla creazione di un account Google su device che utilizzavano il sistema operativo Android . La decisione è stata resa a seguito di due distinti reclami collettivi ? in seguito riuniti ? presentati da parte delle associazioni None Of Your Business (“NOYB”) e La Quadrature du Net (“LQDN”), in applicazione dell’art. 80, 1, del GDPR. In via preliminare, la Cnil , a seguito di un confronto con le altre autorità di controllo, su tutte, la Data Protection Commission irlandese, ha dichiarato la propria competenza nel decidere il caso de quo . La società americana, infatti, è stata ritenuta sprovvista di uno stabilimento principale nell’UE ai sensi del GDPR, in quanto alla data in cui la Cnil ha iniziato la sua istruttoria, Google Ireland non è risultata avere alcun potere decisionale sulle finalità e i mezzi del trattamento sottesi ai servizi forniti da Google LLC. A livello sostanziale, con riferimento alla violazione del principio di trasparenza, l’autorità francese ha riscontrato l’assenza degli elementi di accessibilità, chiarezza e comprensione dell’informativa prevista da Google . Nello specifico, le informazioni erano disseminate in più documenti e raggiungibili solo attraverso diverse azioni/click, non risultando peraltro sempre chiare e intellegibili, con la conclusione che gli utenti non erano nella condizione di comprendere l’incisività dei trattamenti posti in essere da Google e il livello di intrusività degli stessi nella propria sfera privata. Relativamente alla base giuridica quale presupposto di liceità del trattamento dei dati per le finalità di personalizzazione della pubblicità (profilazione), la Cnil ha poi ritenuto che il consenso non fosse validamente acquisito da Google in quanto non era sufficientemente informato, non era “specifico” e “inequivocabile”. Il processo di creazione dell’ account , infatti, portava l’utente ad acconsentire in blocco e per impostazione predefinita a tutte le finalità perseguite da Google ( i.e .: personalizzazione della pubblicità, riconoscimento vocale, ecc.). In seguito all’istruttoria, la Cnil ha, dunque, condannato Google applicando per la prima volta il nuovo quadro sanzionatorio del GDPR: nello specifico, l’importo della sanzione, nonché la pubblicazione della decisione, sono risultati giustificati dalla gravità delle carenze riscontrate (che riguardano i principi essenziali del GDPR) e il numero di interessati coinvolti. La decisione della Cnil si erge a precedente di assoluta rilevanza e assume anche il valore di “messaggio” per le società straniere che operano nell’Unione europea.

L'ACCESSO A QUESTO CONTENUTO E' RISERVATO AGLI UTENTI ABBONATI

Sei abbonato? Esegui l'accesso oppure abbonati.