Google si dovrà adeguare agli standard italiani sulla privacy

Gli utenti che useranno i servizi o il motore di ricerca di Google in Italia saranno più tutelati. Il Garante privacy ha stabilito che il colosso di Mountain View non potrà utilizzare i loro dati a fini di profilazione se non ne avrà prima ottenuto il consenso e dovrà dichiarare esplicitamente di svolgere questa attività a fini commerciali.

Si è così conclusa l'istruttoria avviata lo scorso anno dal Garante italiano a seguito dei cambiamenti apportati dalla società alla propria privacy policy. Si tratta del primo provvedimento in Europa che - nell'ambito di un'azione coordinata con le altre Autorità di protezione dei dati europee ed a seguito della pronuncia della Corte di Giustizia europea sul diritto all'oblio - non si limita a richiamare al rispetto dei principi della disciplina privacy, ma indica nel concreto le possibili misure che Google deve adottare per assicurare la conformità alla legge.

La società aveva unificato in un unico documento le diverse regole di gestione dei dati relative alle numerosissime funzionalità offerte - dalla posta elettronica (Gmail), al social network (GooglePlus), alla gestione dei pagamenti on line (Google Wallet), alla diffusione di filmati (YouTube), alle mappe on line (Street View), all'analisi statistica (Google Analytics) - procedendo pertanto all'integrazione e interoperabilità anche dei diversi prodotti e dunque all'incrocio dei dati degli utenti relativi all'utilizzo di più servizi.

Nonostante il tentativo dell'azienda di Mountain View di avvicinare le proprie norme alla legge italiana, il Garante ha rilevato il permanere di diversi profili critici relativi alla inadeguata informativa agli utenti, alla mancata richiesta di consenso per finalità di profilazione, agli incerti tempi di conservazione dei dati e ha dettato una serie di regole, che si applicano all'insieme dei servizi offerti.

L'Autorità ha quindi prescritto a Google l'adozione di un sistema di informativa strutturato su più livelli, in modo da fornire in un primo livello generale le informazioni più rilevanti per l'utenza: l'indicazione dei trattamenti e dei dati oggetto di trattamento (es. localizzazione terminali, indirizzi IP etc.), dell'indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc.; in un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi offerti.

Per poter utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati Google dovrà quindi acquisire il previo consenso degli utenti e non potrà più limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano, fino ad oggi, alcun potere decisionale agli interessati sul trattamento dei propri dati personali. Inoltre dovrà definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti 'attivi', sia successivamente archiviati su sistemi di 'back up'.

Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account siano soddisfatte al massimo entro due mesi se i dati sono conservati sui sistemi 'attivi' ed entro sei mesi se i dati sono archiviati sui sistemi di back up. Per quanto riguarda, invece, le richieste di cancellazione che interessano l'utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell'Unione europea sul diritto all'oblio. Google avrà 18 mesi per adeguarsi alle prescrizioni del Garante.