Google vs CNIL: quando la trasparenza costa 50 milioni

L’autorità di controllo francese ha sanzionato Google, sulla base del GDPR, per non essere stata trasparente e non aver individuato le basi giuridiche per fare pubblicità

Con il GDPR, l’intero territorio dell’UE vede applicare le medesime sanzioni amministrative pecuniarie in materia di privacy. Lo stesso si può affermare anche per tutte quelle entità che, pur non essendo stabilite in Europa, qui hanno i loro affari, anche attraverso le loro filiali sul territorio. È questo il caso di Google LLC, la famosa società californiana.

La CNIL, l’omologo francese del nostro Garante privacy, che già sul finire del 2018 aveva provveduto a sanzionare altri colossi come Uber e Bouygues Télécom, rispettivamente per 400.000 € e per 250.000 €, ha recentemente sanzionato il colosso di Mountain View con una sanzione amministrativa pecuniaria pari a 50 milioni di Euro. L’impianto sanzionatorio del GDPR L’articolo di riferimento è l’83, par. 5, che prevede sanzioni fino a 20 milioni o fino al 4% del fatturato, se superiore (è evidente che siamo di fronte al caso in cui il 4% è superiore), in particolare per le violazioni che impattano sui diritti degli interessati. In questo caso, l’informativa e la definizione delle basi giuridiche sulle quali procedere con il trattamento (tra cui, ricordiamo, il consenso). Il comunicato della CNIL Come si legge sul sito istituzionale dell’autorità francese, relativamente alla delibera di 31 pagine con sui si argomenta la decisione sanzionatoria, il 21 gennaio 2019, la CNIL ha pronunciato una sanzione per mancanza di trasparenza, informazioni insoddisfacenti e mancanza di valido consenso per la personalizzazione di pubblicità. Il 25 e il 28 maggio 2018, la CNIL aveva ricevuto reclami collettivi da parte di due associazioni distinte. In questi due reclami, le associazioni evidenziavano come Google non avesse una valida base giuridica per trattare i dati personali degli utenti dei suoi servizi, in particolare ai fini della personalizzazione della pubblicità. la CNIL, quindi, iniziò immediatamente a indagare, coinvolgendo le sue controparti europee, in particolare l’autorità di protezione irlandese in cui si trovano le sedi europee di Google. L’istruttoria, alla data in cui la CNIL iniziò i suoi lavori, aveva evidenziato come l’establishment irlandese non avesse alcun potere decisionale sui trattamenti effettuati nell’ambito del sistema operativo Android e sui servizi forniti da Google LLC in relazione alla creazione di un account utente durante la configurazione di un telefono cellulare. In altre parole, la filiale irlandese non poteva essere considerata titolare del trattamento e, in ragione del fatto che il principio dello “sportello unico” (art. 56 del GDPR) non fosse applicabile, la CNIL era da ritenersi competente a condurre ispezioni e prendere decisioni sui trattamenti attuati da Google LLC. Al termine delle indagini, la CNIL aveva così rilevato due grandi mancanze. Una violazione degli obblighi di trasparenza e di informazione In primo luogo, è stato valutato che le informazioni fornite da Google non fossero facilmente accessibili agli utenti e nemmeno sempre chiare e comprensibili. Gli utenti, pertanto, non erano nella condizione di comprendere l’entità dei trattamenti messi in atto, particolarmente massivi e invadenti. In particolare, le finalità risultavano descritte in modo troppo generico e vago. Allo stesso modo, le informazioni fornite non erano sufficientemente chiare per consentire all’utente di comprendere che la base giuridica dei trattamenti di personalizzazione della pubblicità fosse il consenso e non l’interesse legittimo di Google. Infine, mancava l’indicazione del periodo di conservazione. Mancanza della base giuridica per i trattamenti di personalizzazione della pubblicità Secondo la CNIL, Google faceva affidamento sul consenso degli utenti per trattare i dati per scopi di personalizzazione della pubblicità. Tuttavia, è stato ritenuto che il consenso non fosse stato validamente raccolto per due ragioni. Innanzitutto, il consenso dell’utente non era sufficientemente informato. In secondo luogo, è risultato che il consenso ottenuto non fosse né “specifico”, né “non ambiguo”: infatti, non solo l’utente doveva cliccare sul tasto dedicato per accedere alle impostazioni avanzate, ma la visualizzazione degli annunci personalizzati risultava preselezionata per impostazione predefinita. La sanzione La CNIL, quindi, ha condannato Google al pagamento di una sanzione amministrativa di 50 milioni di euro e alla sua pubblicazione. Questa è la prima volta che un’autorità europea applica le sanzioni massime previste dal GDPR. L’importo e la pubblicità della sanzione sono giustificati dalla gravità delle carenze riscontrate che riguardano i principii essenziali del GDPR: trasparenza, informazione e consenso. Inoltre, le carenze indicavano continue violazioni, non limitate a una data breach puntuale, limitata nel tempo. Osservazioni pratiche Da quanto disposto con la delibera della CNIL, emerge come un elemento apparentemente così semplice, come l’informativa da rendere ai sensi degli artt. 13 e/o 14 del GDPR, sia fattualmente un punto estremamente critico le cui caratteristiche, qualora non fossero rispondenti ai criteri di trasparenza, intelligibilità e facilità di accesso, possono comportare, oltre a un vizio nel conferimento del consenso, l’erogazione di pesanti sanzioni a livello amministrativo. Quelle della fascia più alta, tra le due definite dal GDPR. È chiaro, quindi, che scrivere un’informativa non adeguata non è solo “facile”, ma è anche estremamente grave. Non solo per Google LLC.

Fonte: Fiscal Focus

Il webmaster e la privacy.

Cose scomode che gli artigiani del web devono sapere.

Voglio raccontarvi un fatto realmente accaduto. Un fatto che, come a me, potrebbe essere capitato a molti miei colleghi che si occupano di privacy e che mi vede protagonista assieme a un mio amico webmaster (che per ovvie ragioni chiamerò Mario).

Eravamo seduti comodamente a prenderci un caffè e, tra una chiacchiera e l’altra, mentre gli raccontavo che è sempre preferibile scrivere un accordo con i propri clienti prima di iniziare qualsiasi progetto, lui fa una battuta dicendo:

<<Perché dovrei scrivere un contratto ogni volta che faccio un sito? Tanto non ho mica responsabilità, io>>.

In quel momento ho realizzato quanto fosse in pericolo. Sì, avete capito bene: in pericolo. Un pericolo che genera un rischio di conformità nei confronti della normativa sulla tutela dei dati personali e che espone quelli come Mario a pesanti sanzioni amministrative, civili e penali, oltre che all’ormai onnipresente danno d’immagine facilissimo da procurare con gli attuali media (tra cui proprio il web, ironia della sorte!).

Il webmaster (che spesso è chiamato anche a occuparsi delle campagne di marketing attraverso i siti che programma), per sua natura, è un lavoro che è caratterizzato da una grande libertà d’azione, proprio per via dell’ambiente in cui opera, Internet. Molto dell’efficacia delle loro opere è dovuta proprio alla facilità d’uso, alla libertà degli utenti di caricare, condividere, commentare, acquistare con un click. Tutto deve essere, come direbbero gli anglofoni, user friendly.

Per gli utenti, appunto.

Ma chi possiede un sito, e chi lo programma, per raggiungere il risultato che si sono prefissati devono attenersi a precise regole di comportamento, alcune richieste dal buonsenso (come la scelta di un provider che garantisca tempi di disaster recovery brevi), altre imposte da precise norme che vogliono soprattutto tutelare l’utilizzatore del sito, che per chi mastica un po’ di privacy si chiamano interessati.

Su tutti il Codice privacy, che impone l’adozione di misure di sicurezza sia a livello tecnico (per esempio le procedure di autenticazione informatica composte da userID e password univoci), richiamate anche dall’Allegato B, che a livello organizzativo (individuando i responsabili e gli incaricati del trattamento e i rispettivi ambiti operativi, obblighi e responsabilità). Un webmaster è, a tutti gli effetti, il responsabile dell’infrastruttura web dell’azienda e per questo motivo deve essere individuato in modo formale come amministratore di sistema (c.d. ADS o sistemista), che è una particolare forma di responsabile/incaricato.

Se io fossi il DPO dell’azienda cliente del mio amico Mario, gli farei sottoscrivere un preciso documento in cui dichiariamo i suoi obblighi e le sue libertà operative, individuando a priori quali siano gli interventi da fare sul sito (per esempio l’aggiornamento, la manutenzione, la programmazione dei cookie tecnici, analitici o di profilazione, di prima o di terza parte) e gli chiederei l’attestazione che quanto fatto sia conforme ai requisiti i legge richiesti, soprattutto se il suo progetto si conclude con la consegna del sito al committente.

Mario, alla fine del mio spiegone pieno di termini dal minaccioso suono legalese, mi ha domandato cosa dovrebbe fare per essere tutelato. In fondo, la parte che ha capito meglio e che ha attirato la sua attenzione, è stata quella relativa alle sanzioni (per il suo cliente e per lui) che potrebbero tradursi in richiesta di risarcimento per aver consegnato un lavoro non a regola d’arte: si andrebbe dai 36.000 € dell’informativa non idonea ai 120.000 € per le misure di sicurezza non adeguate, dai 120.000 € per un’omessa o inidonea notificazione al Garante in caso di cookie di profilazione ai 180.000 € per il mancato rispetto dei provvedimenti del Garante. E questo solo a livello amministrativo. Spostandoci nell’ambito delle sanzioni penali, Mario rischia molto probabilmente di essere punito con la reclusione fino a due anni per non aver implementato le dovute misure di sicurezza; sempre che non si sia preso il compito di effettuare la notificazione al Garante, e che l’Autorità non abbia poi constatato che questa fosse falsa: in tal caso, gli anni di reclusione sarebbero tre.

La mia risposta è stata semplice: <<Metti tutto per iscritto. Organizzati prima. Previeni.>>

Dopo queste mie parole mi è sembrato preoccupato. Di sicuro non ha voglia di rischiare così tanto.

Cosa gli serve? Facile. Un amico come me. Un consulente privacy.