Google vs CNIL: quando la trasparenza costa 50 milioni
L’autorità di controllo francese ha sanzionato Google, sulla base del GDPR, per non essere stata trasparente e non aver individuato le basi giuridiche per fare pubblicità
Con il GDPR, l’intero territorio dell’UE vede applicare le medesime sanzioni amministrative pecuniarie in materia di privacy. Lo stesso si può affermare anche per tutte quelle entità che, pur non essendo stabilite in Europa, qui hanno i loro affari, anche attraverso le loro filiali sul territorio. È questo il caso di Google LLC, la famosa società californiana.
La CNIL, l’omologo francese del nostro Garante privacy, che già sul finire del 2018 aveva provveduto a sanzionare altri colossi come Uber e Bouygues Télécom, rispettivamente per 400.000 € e per 250.000 €, ha recentemente sanzionato il colosso di Mountain View con una sanzione amministrativa pecuniaria pari a 50 milioni di Euro.
L’impianto sanzionatorio del GDPR
L’articolo di riferimento è l’83, par. 5, che prevede sanzioni fino a 20 milioni o fino al 4% del fatturato, se superiore (è evidente che siamo di fronte al caso in cui il 4% è superiore), in particolare per le violazioni che impattano sui diritti degli interessati. In questo caso, l’informativa e la definizione delle basi giuridiche sulle quali procedere con il trattamento (tra cui, ricordiamo, il consenso).
Il comunicato della CNIL
Come si legge sul sito istituzionale dell’autorità francese, relativamente alla delibera di 31 pagine con sui si argomenta la decisione sanzionatoria, il 21 gennaio 2019, la CNIL ha pronunciato una sanzione per mancanza di trasparenza, informazioni insoddisfacenti e mancanza di valido consenso per la personalizzazione di pubblicità.
Il 25 e il 28 maggio 2018, la CNIL aveva ricevuto reclami collettivi da parte di due associazioni distinte. In questi due reclami, le associazioni evidenziavano come Google non avesse una valida base giuridica per trattare i dati personali degli utenti dei suoi servizi, in particolare ai fini della personalizzazione della pubblicità. la CNIL, quindi, iniziò immediatamente a indagare, coinvolgendo le sue controparti europee, in particolare l’autorità di protezione irlandese in cui si trovano le sedi europee di Google. L’istruttoria, alla data in cui la CNIL iniziò i suoi lavori, aveva evidenziato come l’establishment irlandese non avesse alcun potere decisionale sui trattamenti effettuati nell’ambito del sistema operativo Android e sui servizi forniti da Google LLC in relazione alla creazione di un account utente durante la configurazione di un telefono cellulare. In altre parole, la filiale irlandese non poteva essere considerata titolare del trattamento e, in ragione del fatto che il principio dello “sportello unico” (art. 56 del GDPR) non fosse applicabile, la CNIL era da ritenersi competente a condurre ispezioni e prendere decisioni sui trattamenti attuati da Google LLC.
Al termine delle indagini, la CNIL aveva così rilevato due grandi mancanze.
Una violazione degli obblighi di trasparenza e di informazione
In primo luogo, è stato valutato che le informazioni fornite da Google non fossero facilmente accessibili agli utenti e nemmeno sempre chiare e comprensibili.
Gli utenti, pertanto, non erano nella condizione di comprendere l’entità dei trattamenti messi in atto, particolarmente massivi e invadenti. In particolare, le finalità risultavano descritte in modo troppo generico e vago. Allo stesso modo, le informazioni fornite non erano sufficientemente chiare per consentire all’utente di comprendere che la base giuridica dei trattamenti di personalizzazione della pubblicità fosse il consenso e non l’interesse legittimo di Google. Infine, mancava l’indicazione del periodo di conservazione.
Mancanza della base giuridica per i trattamenti di personalizzazione della pubblicità
Secondo la CNIL, Google faceva affidamento sul consenso degli utenti per trattare i dati per scopi di personalizzazione della pubblicità. Tuttavia, è stato ritenuto che il consenso non fosse stato validamente raccolto per due ragioni.
Innanzitutto, il consenso dell’utente non era sufficientemente informato.
In secondo luogo, è risultato che il consenso ottenuto non fosse né “specifico”, né “non ambiguo”: infatti, non solo l’utente doveva cliccare sul tasto dedicato per accedere alle impostazioni avanzate, ma la visualizzazione degli annunci personalizzati risultava preselezionata per impostazione predefinita.
La sanzione
La CNIL, quindi, ha condannato Google al pagamento di una sanzione amministrativa di 50 milioni di euro e alla sua pubblicazione.
Questa è la prima volta che un’autorità europea applica le sanzioni massime previste dal GDPR. L’importo e la pubblicità della sanzione sono giustificati dalla gravità delle carenze riscontrate che riguardano i principii essenziali del GDPR: trasparenza, informazione e consenso.
Inoltre, le carenze indicavano continue violazioni, non limitate a una data breach puntuale, limitata nel tempo.
Osservazioni pratiche
Da quanto disposto con la delibera della CNIL, emerge come un elemento apparentemente così semplice, come l’informativa da rendere ai sensi degli artt. 13 e/o 14 del GDPR, sia fattualmente un punto estremamente critico le cui caratteristiche, qualora non fossero rispondenti ai criteri di trasparenza, intelligibilità e facilità di accesso, possono comportare, oltre a un vizio nel conferimento del consenso, l’erogazione di pesanti sanzioni a livello amministrativo. Quelle della fascia più alta, tra le due definite dal GDPR. È chiaro, quindi, che scrivere un’informativa non adeguata non è solo “facile”, ma è anche estremamente grave. Non solo per Google LLC.
Fonte: Fiscal Focus