Con un comunicato dello scorso 2 aprile, il Garante per la Protezione dei Dati Personali (il "Garante") ha reso noto di aver intrapreso un'istruttoria formale nei confronti di Google Inc. ("Google") per verificare che la privacy policy ("PP") dell'azienda sia conforme ai requisiti fissati nelle Direttive 95/46/CE (direttiva protezione dati) e 2002/58/CE (direttiva e-privacy). In particolare, il Garante intende accertare se Google rispetti i "principi di pertinenza, necessità e non eccedenza dei dati trattati", oltre agli "obblighi riguardanti l'informativa agli utenti e l'acquisizione del loro consenso". L'iniziativa fa parte di un'azione congiunta posta in essere simultaneamente anche dalle Autorità per la privacy di Spagna, Francia, Germania, Regno Unito e Paesi Bassi che avvieranno altrettanti procedimenti nei confronti di Google.
La decisione di procedere ufficialmente è l'ultimo capitolo di una vicenda iniziata nel marzo 2012, quando Google modificò la propria PP e le condizioni d'uso di gran parte dei suoi servizi e applicazioni. Esaminata la nuova PP, le Autorità Europee per la Protezione dei Dati Personali ("DPAs") inviarono una lettera a Google per segnalare tre profili di difformità tra la nuova PP e la normativa comunitaria: i) informazione insufficiente agli utenti su finalità e categorie di dati oggetto di trattamento; ii) incrocio generalizzato e senza consenso di dati degli utenti raccolti da servizi diversi (Gmail, Google Maps, You Tube etc); iii) mancata indicazione del periodo di conservazione dei dati trattati.
Alla luce di tali rilievi, Google veniva invitata a seguire una serie di raccomandazioni volte a eliminare ciascuna delle violazioni in atto. In particolare, per rimediare al punto i), l'azienda era chiamata a predisporre informative specifiche anche per i singoli servizi, a rendere più agevole la navigazione delle singole privacy policy (adattandole anche all'utilizzo mobile) e a fornire informazioni accurate per alcuni dati "a rischio" (localizzazione, dati di pagamento, dati biometrici etc.). Quanto alla combinazione indiscriminata di dati raccolti dai propri vari servizi, Google avrebbe dovuto predisporre per gli utenti appositi meccanismi di opposizione al trattamento ("opt-out"), oltre a strumenti per distinguere le finalità della combinazione, sempre previo consenso espresso ai fini della stessa. Infine, le DPAs hanno raccomandato una limitazione delle attività di incrocio dei dati con riguardo agli utenti passivi.
Secondo quanto riferito dal Garante nel suo comunicato di avvio dell'istruttoria, ad oggi, nonostante gli impegni assunti Google non avrebbe adeguatamente modificato la propria PP alla luce delle raccomandazioni delle DPAs, motivo per cui le stesse hanno deciso di intraprendere procedimenti ufficiali contro l'azienda.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
