Quando si parla di materie riguardanti la privacy è spesso coinvolto il colosso informatico di Mountain View.
Questa volta al centro del dibattito europeo vi è la decisione, molto sollecitata, di Google di accettare di assoggettarsi alle misure richieste dal Garante a tutela della privacy.
Per capire le ragioni che stanno alla base di questi ultimi accadimenti, è necessario fare un passo indietro e risalire al 2012, anno in cui Big G decide di unificare tutte le proprie privacy policy al fine di semplificare i diversi regolamenti dei vari servizi offerti dall’azienda americana (la stesura dei quali era affidata a ciascuna delle sue sedi disseminate nei vari paesi del mondo). Questo avrebbe permesso alla compagnia californiana di incrociare tutti i dati provenienti da un determinato servizio e utilizzarli per uno diverso.
La decisione di accorpare le privacy policy ingenera, inevitabilmente, una certa preoccupazione da parte dei Garanti della privacy europei che, riuniti nel Working Party 29 (WP 29), chiedono a Google di accedere alla nuova privacy policy per esaminarla e controllare che sia compatibile alle disposizioni previste dalla Direttiva Ue sulla protezione dei dati personali (Direttiva 95/46/CE). Dopo aver rilevato varie criticità (in tema di conservazione di dati, acquisizione del consenso, profilazione durante la navigazione sul web, etc.), e quindi la non conformità di tale privacy policy alla normativa europea in materia di riservatezza, il WP 29 sollecita più volte Google, come prevedibile, di adeguarvisi.
Il Garante italiano, in particolar modo, decide di aprire un’istruttoria per avere da Google più puntuali dettagli sulle modalità del trattamento dei dati personali degli utenti utilizzatori dei servizi della compagnia. Al termine di tale istruttoria l’autorità emette un provvedimento prescrittivo con le misure che Google deve adottare per adeguarsi alla normativa italiana. Tale provvedimento, oltre a dettare alcune regole per i servizi offerti da Google ( su Gmail, Google+, Street View, YouTube, etc.), prevede anche la sottoscrizione di un protocollo di verifica di varie iniziative di adeguamento che l’azienda californiana dovrà adottare nel corso nel 2015.
Nel 2014, finalmente, viene sottoposta al nostro Garante la versione finale del protocollo di verifica che prevede la possibilità per la nostra autorità di monitorare le attività svolte da Google al fine di evidenziare gli elementi critici e indirizzarla ad adeguarsi alla normativa europea in tema di privacy.
Il suddetto protocollo, valutato e approvato dal Garante lo scorso gennaio 2015 (e pubblicato sul suo sito), rispecchia le aspettative derivanti dal provvedimento prescrittivo e prevede come scadenza per l’attuazione di tutte le disposizioni dell’autorità il 15 gennaio 2016.
Le tematiche oggetto di tali disposizioni riguardano principalmente il consenso dell’utente, la conservazione e cancellazione dei dati, l’informativa privacy, e le richieste di rimozione delle informazioni dai risultati di ricerca.
Per poter profilare gli utenti utilizzatori dei suoi servizi, non solo occorrerà che Google chieda il loro consenso informato, ma dovrà anche garantire la possibilità di opporsi al trattamento dei propri dati ai fini della profilazione e rispettare il provvedimento del Garante di maggio 2014 sui cookie.
Sono previste, inoltre, specifiche tempistiche per la cancellazione dei dati e regole interne in tema di anonimizzazione.
Per quanto riguarda l’informativa privacy, invece, le prescrizioni prevedono, oltre ad una facile accessibilità e chiarezza, anche la presenza delle finalità e delle modalità del trattamento dei dati. Non solo: dovranno essere fornite anche informazioni sulla profilazione e sull’utilizzo dei cookie e deve essere data la possibilità di accedere al testo delle informative precedenti per consentire agli utenti di confrontare le precedenti disposizioni con le nuove, trovare più facilmente le differenze e decidere se dare il proprio consenso oppure no.
Fondamentali, anche se non nuove, anche le misure in tema di diritto all’oblio. Verranno verificate, infatti, le modalità con cui Google gestirà le richieste degli utenti per la rimozione di determinati contenuti dai suoi risultati di ricerca.
Vari utenti a cui è stata negata la rimozione dalla società californiana si sono già rivolti al Garante privacy, e qualcuno si è anche visto accogliere la domanda (provvedimenti sulla rimozione).