Google vs CNIL: quando la trasparenza costa 50 milioni

Google vs CNIL: quando la trasparenza costa 50 milioni

L’autorità di controllo francese ha sanzionato Google, sulla base del GDPR, per non essere stata trasparente e non aver individuato le basi giuridiche per fare pubblicità

Con il GDPR, l’intero territorio dell’UE vede applicare le medesime sanzioni amministrative pecuniarie in materia di privacy. Lo stesso si può affermare anche per tutte quelle entità che, pur non essendo stabilite in Europa, qui hanno i loro affari, anche attraverso le loro filiali sul territorio. È questo il caso di Google LLC, la famosa società californiana.

La CNIL, l’omologo francese del nostro Garante privacy, che già sul finire del 2018 aveva provveduto a sanzionare altri colossi come Uber e Bouygues Télécom, rispettivamente per 400.000 € e per 250.000 €, ha recentemente sanzionato il colosso di Mountain View con una sanzione amministrativa pecuniaria pari a 50 milioni di Euro. L’impianto sanzionatorio del GDPR L’articolo di riferimento è l’83, par. 5, che prevede sanzioni fino a 20 milioni o fino al 4% del fatturato, se superiore (è evidente che siamo di fronte al caso in cui il 4% è superiore), in particolare per le violazioni che impattano sui diritti degli interessati. In questo caso, l’informativa e la definizione delle basi giuridiche sulle quali procedere con il trattamento (tra cui, ricordiamo, il consenso). Il comunicato della CNIL Come si legge sul sito istituzionale dell’autorità francese, relativamente alla delibera di 31 pagine con sui si argomenta la decisione sanzionatoria, il 21 gennaio 2019, la CNIL ha pronunciato una sanzione per mancanza di trasparenza, informazioni insoddisfacenti e mancanza di valido consenso per la personalizzazione di pubblicità. Il 25 e il 28 maggio 2018, la CNIL aveva ricevuto reclami collettivi da parte di due associazioni distinte. In questi due reclami, le associazioni evidenziavano come Google non avesse una valida base giuridica per trattare i dati personali degli utenti dei suoi servizi, in particolare ai fini della personalizzazione della pubblicità. la CNIL, quindi, iniziò immediatamente a indagare, coinvolgendo le sue controparti europee, in particolare l’autorità di protezione irlandese in cui si trovano le sedi europee di Google. L’istruttoria, alla data in cui la CNIL iniziò i suoi lavori, aveva evidenziato come l’establishment irlandese non avesse alcun potere decisionale sui trattamenti effettuati nell’ambito del sistema operativo Android e sui servizi forniti da Google LLC in relazione alla creazione di un account utente durante la configurazione di un telefono cellulare. In altre parole, la filiale irlandese non poteva essere considerata titolare del trattamento e, in ragione del fatto che il principio dello “sportello unico” (art. 56 del GDPR) non fosse applicabile, la CNIL era da ritenersi competente a condurre ispezioni e prendere decisioni sui trattamenti attuati da Google LLC. Al termine delle indagini, la CNIL aveva così rilevato due grandi mancanze. Una violazione degli obblighi di trasparenza e di informazione In primo luogo, è stato valutato che le informazioni fornite da Google non fossero facilmente accessibili agli utenti e nemmeno sempre chiare e comprensibili. Gli utenti, pertanto, non erano nella condizione di comprendere l’entità dei trattamenti messi in atto, particolarmente massivi e invadenti. In particolare, le finalità risultavano descritte in modo troppo generico e vago. Allo stesso modo, le informazioni fornite non erano sufficientemente chiare per consentire all’utente di comprendere che la base giuridica dei trattamenti di personalizzazione della pubblicità fosse il consenso e non l’interesse legittimo di Google. Infine, mancava l’indicazione del periodo di conservazione. Mancanza della base giuridica per i trattamenti di personalizzazione della pubblicità Secondo la CNIL, Google faceva affidamento sul consenso degli utenti per trattare i dati per scopi di personalizzazione della pubblicità. Tuttavia, è stato ritenuto che il consenso non fosse stato validamente raccolto per due ragioni. Innanzitutto, il consenso dell’utente non era sufficientemente informato. In secondo luogo, è risultato che il consenso ottenuto non fosse né “specifico”, né “non ambiguo”: infatti, non solo l’utente doveva cliccare sul tasto dedicato per accedere alle impostazioni avanzate, ma la visualizzazione degli annunci personalizzati risultava preselezionata per impostazione predefinita. La sanzione La CNIL, quindi, ha condannato Google al pagamento di una sanzione amministrativa di 50 milioni di euro e alla sua pubblicazione. Questa è la prima volta che un’autorità europea applica le sanzioni massime previste dal GDPR. L’importo e la pubblicità della sanzione sono giustificati dalla gravità delle carenze riscontrate che riguardano i principii essenziali del GDPR: trasparenza, informazione e consenso. Inoltre, le carenze indicavano continue violazioni, non limitate a una data breach puntuale, limitata nel tempo. Osservazioni pratiche Da quanto disposto con la delibera della CNIL, emerge come un elemento apparentemente così semplice, come l’informativa da rendere ai sensi degli artt. 13 e/o 14 del GDPR, sia fattualmente un punto estremamente critico le cui caratteristiche, qualora non fossero rispondenti ai criteri di trasparenza, intelligibilità e facilità di accesso, possono comportare, oltre a un vizio nel conferimento del consenso, l’erogazione di pesanti sanzioni a livello amministrativo. Quelle della fascia più alta, tra le due definite dal GDPR. È chiaro, quindi, che scrivere un’informativa non adeguata non è solo “facile”, ma è anche estremamente grave. Non solo per Google LLC.

Fonte: Fiscal Focus
 

Privacy e reati. Siamo sicuri che spariranno gli illeciti penali col GDPR?

Privacy e Reati. Siamo sicuri che spariranno gli illeciti penali col GDPR?

A breve (pare) il Codice Privacy sarà abrogato, facendo morire con sé tutte le sanzioni penali che si portava dietro. Ma è davvero così?

Negli scorsi giorni, a partire dal tardo pomeriggio del 21 marzo, abbiamo assistito a un tamtam mediatico attorno alla questione relativa all’abrogazione del Codice Privacy (il Dlgs 196/2003), resa pubblica dall’ufficio stampa del Governo, attraverso un comunicato diffuso sul sito web istituzionale. I maggiori “ripetitori” di questa notizia sono stati, prima che la stampa, i consulenti in materia, direttamente interessati e colpiti dalla norma.

Nel periodo immediatamente successivo, poi, qualcuno è anche riuscito a procurarsi e scambiare in rete una copia della bozza (sottolineo BOZZA) dell’atto con cui si dispone l’abrogazione del Codice. Da quel momento in poi, ognuno ha avuto modo di dire la sua e molti hanno notato che le sanzioni penali, con il nuovo testo normativo, sono ridotte all’osso e limitate alla falsità nelle dichiarazioni rese al Garante in fase ispettiva o alla turbativa dei procedimenti o delle ispezioni della stessa Autorità.

A parte il fatto che, personalmente, avrei preferito usassero la locuzione “autorità di controllo”, così da includere anche quelle degli altri Paesi dell’Unione, e ricordandoci che è pur sempre una bozza, siamo davvero sicuri che le fattispecie di reato sanzionate penalmente cesseranno di esistere una volta abrogato il Codice?

Secondo me no. Vi spiego perché.

Perché si continua a sbagliare intendendo la privacy come una cosa (materiale o immateriale che sia), mentre il GDPR vorrebbe che si abbandonasse questa prospettiva di pensiero. Non si deve proteggere la privacy, si devono tutelare i diritti e le libertà delle persone fisiche. Non si deve proteggere la privacy, si devono adottare comportamenti responsabili e virtuosi. Il fulcro si sposta dal dato al trattamento e alla finalità per cui è realizzato.

Quello che voglio dire è che se adottassimo la filosofia secondo cui i dati e le informazioni sono patrimonio e che i trattamenti sono un mezzo con cui avvalorarlo o deteriorarlo, allora potremmo capire che, a ben vedere, non avremmo bisogno di un nuovo corpo normativo in materia di reati penali sull’argomento.

Nel nostro Codice Penale, per esempio, partendo dal presupposto che i reati si dividono in delitti e contravvenzioni (fondamentalmente sulla base della loro gravità, i primi sono ritenuti più importanti), si contano circa 650 fattispecie di reato, a cui sono assegnate le varie sanzioni, con le cause aggravanti o attenuanti o di esclusione dalla pena. Tutte sono contenute nel Libro II e nel Libro III del Codice Penale.

Se scendiamo nel dettaglio, scopriamo che:

  • I reati indicati sono 652 (561 delitti e 91 contravvenzioni).
  • Esistono 283 delitti che possono essere commessi realizzando uno o più trattamenti combinati tra loro.
  • Esistono 15 contravvenzioni che possono essere commesse realizzando uno o più trattamenti combinati tra loro.

Consideriamo, inoltre, che anche l’omissione di trattamento potrebbe generare un illecito.

Quello che voglio dire, in altre parole, è che non penso sia necessario continuare a punire il mero fatto del trattamento, visto che abbiamo a disposizione una codice normativo che va a punire ciò che con il trattamento può essere realizzato.

Per fornire qualche esempio, al di là di quelli facilmente intuibili relativi alla corrispondenza, al domicilio, all’intromissione nella vita privata o all’interferenza nelle comunicazioni, posso citare:

Art. 278.
Offese all’onore o al prestigio del presidente della Repubblica.
Chiunque offende l’onore o il prestigio del presidente della Repubblica, è punito con la reclusione da uno a cinque anni.

È ovvio che qui i dati personali siano il nome e il cognome del soggetto e il suo status politico e gerarchico, il diritto leso è quello all’onore o al prestigio, e il trattamento effettuato è l’offesa (magari a mezzo stampa, tramite diffusione su quotidiani o con trasmissioni radiotelevisive).

Un altro esempio:

Art. 337.
Resistenza a un pubblico ufficiale.
Chiunque usa violenza o minaccia per opporsi a un pubblico ufficiale, o ad un incaricato di un pubblico servizio, mentre compie un atto d’ufficio o di servizio, o a coloro che, richiesti, gli prestano assistenza, è punito con la reclusione da sei mesi a cinque anni.

Qui il trattamento potrebbe essere l’acquisizione, da parte del pubblico ufficiale o delle altre persone in elenco, di dati e informazioni. L’opposizione violenta o minacciosa lo metterebbe nella condizione di non poter effettuare un trattamento previsto per legge.

Secondo me, è inutile che continuiamo a fare finta di nulla: governare l’informazione e i dati ormai è fondamentale per quello che può conseguire dal loro trattamento. Per questo sarebbe (passatemi l’esagerazione) anacronistico continuare a punire i trattamenti.

E, comunque, a ben vedere gli illeciti penali continueranno a esserci…