Lavoce.info

Quando Google inciampa sulla privacy

L’Autorità francese per la protezione dei dati personali ha imposto a Google una multa di 50 milioni di euro. Per la violazione dei principi di trasparenza, informazione e consenso degli utenti, applicando così per la prima volta la direttiva Gdpr.

Prima applicazione della Gdpr

Google France è la prima vittima delle sanzioni previste dalla nuova legislazione europea sulla protezione dei dati personali (General Data Protection Regulation: la cosiddetta Gdpr), entrata in vigore a maggio 2018. Le sanzioni arrivano fino a un massimo del 4 per cento del fatturato globale e la Commission nationale de l’informatique et des libertés (Cnil), l’autorità francese per la protezione dei dati personali, ha pubblicamente imposto alla società di Mountain View una multa di 50 milioni di euro a motivo di una perdurante violazione dei principi base della regolamentazione, cioè la trasparenza, la chiarezza sull’informazione detenuta dalle imprese che utilizzano i dati personali e le modalità attraverso cui gli utenti prestano il consenso a tale utilizzo (qui sul sito della Cnil una descrizione più estesa della decisione presa, insieme con la sentenza stessa).
La Gdpr, infatti, estende l’ampiezza dei “dati identificabili con la persona” (personally identifiable data), così da includere anche informazioni sulla geolocalizzazione e sulla storia della navigazione su internet, come si racconta più estesamente in questo pezzo. E vale altresì il principio secondo cui gli utenti devono dare il loro consenso esplicito all’utilizzo di questi dati da parte dei soggetti per scopi di pubblicità personalizzata (motori di ricerca, social network, siti di e-commerce).
Nel caso in questione, su sollecitazione di due diversi enti no profit (“None of your business” – noyb- e “La Quadrature Du Net – Lqdn), la Cnil si è focalizzata sul modo in cui un utente può creare un account Google su un telefono cellulare o un tablet che siano basati sul sistema operativo Android. Alla fine del processo investigativo, l’Autorità ha riconosciuto la rilevanza di due diverse lamentele.

In primo luogo, sotto il profilo della trasparenza, gli utenti non possono facilmente accedere alle informazioni relative all’uso specifico che Google France fa dei loro dati personali: sono necessarie cinque o sei azioni diverse per arrivare alle informazioni, che sono “disperse” qua e là sulle diverse pagine. Poco chiari risultano pure gli scopi precisi per i quali Google utilizza tali informazioni.
In secondo luogo, la Cnil ritiene che Google France abbia violato il dovere di avere una base legale solida per ottenere dall’utente il consenso per personalizzare la pubblicità mostrata. Prendiamo ad esempio il caso concreto di un utente che voglia decidere sulla presenza e sull’ammontare di pubblicità personalizzata in modo diverso rispetto alla “scelta di default”. L’economia comportamentale dà molta enfasi al tema di quali siano le caratteristiche standard di un certo contratto se l’utente decide di non fare esplicitamente scelte diverse, in quanto l’utente medio tende ad accettarle senza pensare a scelte alternative. In certi casi l’inerzia può essere usata a fin di bene, come per l’opzione di default di aderire a un piano pensionistico integrativo (uno dei principali motivi per il premio Nobel a Richard Thaler nel 2017). Nel caso di Google France, il reclamo accolto dalla Cnil è che – in violazione della Gdpr, che sembra fare tesoro degli insegnamenti dell’economia comportamentale – il consenso prestato dall’utente non è privo di ambiguità e non è specifico per il singolo servizio. L’utente deve fare “una certa fatica” per configurare diversamente la visualizzazione della pubblicità personalizzata, cioè cliccare il pulsante “più opzioni”, e – una volta fatto ciò – il consenso per la scelta standard è già contrassegnato con il segno della spunta, come se si volesse insistere con l’opzione di default, che non necessariamente è quella più vantaggiosa per l’utente. Non solo. Google prevede un consenso generale al trattamento dei dati al fine di personalizzare le pubblicità, invece che un consenso specifico per ogni singolo servizio prestato.

Leggi anche:  Sulle telecomunicazioni il Rapporto Draghi ha luci e ombre

Google conciliante

È la stessa Cnil a sottolineare tre aspetti importanti della sua decisione: (i) la multa a Google France è la prima a essere comminata sulla base della Gdpr, (ii) non è leggera dal punto di vista economico, e (iii) è pubblica. Naturalmente il fatto che la multa sia stata resa pubblicamente nota ha fatto sì che sia immediatamente diventata una notizia globale, ripresa dai mass media di quasi tutti i paesi, non solo europei. Secondo la Cnil il comportamento di Google France è grave perché tutti e tre i principi fondamentali della Gdpr sono stati violati (chiarezza dell’informazione, trasparenza e consenso) e in una maniera estesa e continuativa, in quanto l’apertura di nuovi account Google su dispositivi Android avviene ogni giorno sulla base di un meccanismo di adesione che fino a oggi non è stato cambiato.

D’altro canto, è interessante notare come le prime dichiarazioni ufficiali di Google a seguito della multa siano state “democristianamente concilianti”: la società sottolinea come gli utenti si aspettino “standard elevati di trasparenza e controllo da parte nostra”: dal momento che il business di Google si basa largamente sui ricavi da pubblicità più o meno personalizzata, non dovrebbe stupirci un approccio negoziale con le autorità europee competenti, finalizzato a una “convergenza parallela” verso un meccanismo di consenso da parte degli utenti che tenga conto dello spirito della riforma Gdpr, cioè un ampliamento dei diritti dei cittadini rispetto ai loro dati personali.
Scopriremo con il tempo se l’allargamento dei diritti di proprietà dei cittadini sui dati personali si porterà dietro un aumento del loro potere negoziale nei confronti di motori di ricerca, social network e siti di vendite online. Quel che è sicuro è che nella negoziazione le autorità europee non vogliono e non vorranno essere semplici spettatori.

Lavoce è di tutti: sostienila!

Lavoce.info non ospita pubblicità e, a differenza di molti altri siti di informazione, l’accesso ai nostri articoli è completamente gratuito. L’impegno dei redattori è volontario, ma le donazioni sono fondamentali per sostenere i costi del nostro sito. Il tuo contributo rafforzerebbe la nostra indipendenza e ci aiuterebbe a migliorare la nostra offerta di informazione libera, professionale e gratuita. Grazie del tuo aiuto!

Leggi anche:  Francesco Daveri, un amico che non si dimentica

Precedente

Ma perché gli africani emigrano?

Successivo

Se il reddito di cittadinanza non fa i conti con il territorio

  1. Daniele

    1) Il GDPR non è una direttiva bensì un regolamento e, questa, è una differenza dal significato fondamentale per comprenderne la portata innovativa;
    2) la sanzione amministrativa non è stata adottata nei confronti di Google France, bensì verso Google LLC (in quanto è tale società ad essere titolare dei trattamenti oggetto del reclamo…);
    3) il GDPR è entrato in vigore nel 2016: da maggio 2018 è semplicemente divenuto applicabile; anche questa è una differenza enorme, perché il meccanismo di ritardare l’applicazione dopo l’entrata in vigore è stato appositamente pensato per dare alle aziende il tempo di adeguarsi;
    4) la decisione del CNIL non è una “sentenza”, bensì un provvedimento amministrativo: non sto a sottolineare come anche questo errore sia piuttosto grave per le sue conseguenze;
    5) i dati di geolocalizzazione e “sulla storia della navigazione su internet” erano pacificamente considerati dati personali già ai sensi della previgente normativa, così come questa era interpretata in ogni Stato membro UE; peraltro, stiamo parlando della normativa in materia di data protection più avanzata al mondo: esprimiamoci in termini di “dati personali” e non di PII (personally identifiable information), lasciando questo concetto (sconosciuto nel GDPR) agli statunitensi.
    I rilievi non finirebbero qui ma lo spazio per commentare sì.
    In breve, vi consiglio di far trattare questi temi a giuristi specializzati nella materia, onde evitare approssimazioni, imbarazzi e disinformazione.

    • Riccardo Puglisi

      Ringrazio il giurista Daniele per i suoi ferrati e puntuti commenti: non posso che apprezzare la tensione verso una maggior precisione del linguaggio utilizzato sotto il profilo giuridico.
      D’altro canto, mi sento altrettanto obbligato a rimarcare come tali commenti dicano poco o nulla sulla solidità e sulla struttura delle argomentazioni esposte nel mio pezzo.
      Voglia gradire i sensi della mia più alta stima,
      Riccardo Puglisi

Lascia un commento

Non vengono pubblicati i commenti che contengono volgarità, termini offensivi, espressioni diffamatorie, espressioni razziste, sessiste, omofobiche o violente. Non vengono pubblicati gli indirizzi web inseriti a scopo promozionale. Invitiamo inoltre i lettori a firmare i propri commenti con nome e cognome.

Powered by WordPress & Theme by Anders Norén