Riflessioni sulla nuova privacy policy di Google

0

Ancora prima della sua entrata in vigore avvenuta il primo marzo 2012 la nuova privacy policy di Google ha suscitato l’interesse e la perplessità delle Autorità europee incaricate della protezione dei dati.

Il “botta e risposta” tra Google e le Autorità non è ancora terminato ed è difficile prevederne l’esito.

L’ Art. 29 Working Party, organo rappresentativo delle Autorità di regolamentazione della protezione dei dati, paventando una incompatibilità della nuova informativa con la disciplina europea ha chiesto alll’Autorità francese per la protezione dei dati (CNIL) di condurre una verifica sui cambiamenti. A una prima serie di 60 domande, cui Google ha risposto secondo il CNIL in maniera incompleta e approssimativa, l’autorità ha fatto seguire a fine maggio un secondo questionario , inviato allo scopo di ottenere approfondimenti su punti importanti che meritavano chiarimenti da parte del gestore dei dati. Google ha fornito le sue risposte il 21 giugno 2012.

La nuova regolamentazione si differenzia dalla precedente in particolare perché offre una disciplina uniforme di tutti i servizi di Google (tra i quali Gmail, Youtube, e Google Maps), prima interessati da informative diverse e specifiche.

Per effetto di questo cambiamento, le oltre sessanta policies sono state organizzate in un’unica disciplina che combina i dati degli utenti già registrati per effetto di un precedente accesso alle decine di servizi offerti da Google, per cui quest’ultimo è in grado di ottenere una visione globale derivante dalla possibilità di combinare tutte le informazioni disponibili.

In più, l’apparente semplicità del linguaggio della nuova privacy policy tradisce in realtà la genericità della normativa, e la sua incapacità di definire con chiarezza la disciplina del trattamento dei dati.

La Direttiva 95/46/CE tra le altre cose presuppone che i dati personali siano rilevati per finalità determinate, esplicite e legittime (art. 6 Direttiva) e che il trattamento dei dati personali possa essere effettuato solo con il consenso esplicito della persona interessata, necessità che viene meno se il trattamento è necessario per l’esecuzione di un contratto di cui è parte la persona interessata, per l’adempimento un obbligo legale al quale è soggetto il responsabile del trattamento per salvaguardare l’interesse vitale della persona interessata, per l’esecuzione di una funzione di interesse pubblico o per il perseguimento di un interesse legittimo del responsabile del trattamento (art. 7 della Direttiva).

La protezione dei dati a livello europeo trova ulteriore disciplina nell’ art 8 della Carta dei diritti fondamentali dell’Unione Europea, norma fondamentale di garanzia in quanto prevede che ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano, che tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge, ed infine che il rispetto di tali regole sia soggetto al controllo di un’ autorità indipendente.

Definizione di trattamento

Uno dei chiarimenti richiesti dal CNIL riguarda le modalità con cui avvengono le diverse operazioni di trattamento dei dati, al fine di assicurare il rispetto della direttiva 95/46/CE. La quinta domanda del questionario richiede dunque a Google una lista completa delle tipologie di “trattamento” che interessano la policy.

Secondo l’articolo 2 lett. b) della Direttiva 95/46/CE, per trattamento dei dati personali si intende qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione.

Poiché il linguaggio dell’informativa redatta da Google, per il suo carattere programmaticamente omnicomprensivo, si limita a indicare che genericamente il testo della legge (“We use the information we collect from all our services to provide, maintain, “We also use this information to offer you tailored content” il Cnil ha richiesto che vengano esplicitamente definite le caratteristiche di tutti i possibili trattamenti dei dati, non essendo ammissibile, al fine di consentire la verifica delle garanzie degli utenti da parte dell’organismo di controllo, una formulazione generica.

Finalità del trattamento

 

Google ha dichiarato di utilizzare le informazioni raccolte dai servizi già disponibili per promuoverne il miglioramento e per poterne sviluppare di nuovi, contemperando le prospettive di sviluppo con la protezione degli utenti e per offrire agli stessi sempre nuove possibilità di fruizione, mostrando a tale fine risultati di ricerca ed annunci di sempre maggiore rilevanza.

L’interesse dell’Autorità si concentra invece nella identificazione dei casi di mancato raggiungimento degli obiettivi auspicati e dei risultati promessi, anche se non è semplice anticipare il controllo su situazioni ancora non ben chiare nelle loro implicazioni. In pratica non è facile per l’autorità di garanzia formulare richieste di chiarimenti su oggetti in larga parte ancora sconosciuti, quali sono le implicazioni dei possibili trattamenti sulla gran massa di dati raccolti, o meglio su una raccolta di dati di proporzioni inimmaginabili…

Consenso al trattamento

Per poter combinare i dati degli utenti Google necessita di una base legale, e questa è fornita ed espressa dalla norma di cui all’articolo 7 sopra richiamato.

A questo proposito il CNIL sottolinea un dato ormai acquisito in materia di tutela del titolare dei dati, ossia la insufficienza di una informazione preventiva al fine di ritenere validamente espresso il consenso al trattamento.

Resta il fatto che ogni privacy policy si intende accettata con la lettura: le perplessità sollevate al riguardo dall’autorità, di contro alla portata del cambiamento che la stessa si è impegnata a valutare, non fanno che esasperare la portata dell’annoso problema della validità ed effettività del consenso.

Keith Teare  General Partner di Archimedes Labs e CEO di just.me, ha interpretato questi cambiamenti dichiarando che internet non può più essere inteso come semplice meccanismo di recupero delle informazioni, essendo ormai preminente nel web la funzione di organizzare e valorizzare le informazioni inserite dagli utenti attraverso messaggi brevi e immediati. Secondo Teare le pagine web sono sempre meno indicative delle preferenze degli utenti, per cui il meccanismo dell’algoritmo utilizzato da Google per i suoi rankings sta diventando fuori moda. Attraverso il nuovo sistema e la nuova privacy policy si può invece ottenere una serie di dati integrati in grado di indicare cos’è effettivamente rilevante per gli utenti.

La privacy esiste?

In questo contesto di sviluppo tecnologico e di disinformazione (o semplice disinteresse) degli utenti, il concetto di privacy e protezione dei dati sembra sempre più sfumato: sono in molti a sostenere che la sua stessa esistenza sia a rischio, e nello stesso tempo a chiedersi quale sia il traguardo delle regole in grado di assicurarne una possibilità ancorché minima di tutela.

Eben Moglen, professore di legge alla Columbia University di New York, ha sottolineato l’ingannevolezza dello stesso concetto di “privacy settings” trattato dai Social Network: questo si riferirebbe infatti solamente alla “privacy orizzontale” ovvero a quella concernente le informazioni visionabili da altri utenti, ma non anche alla più insidiosa “privacy verticale”, concetto riferito allo sfruttamento dei dati da parte dei titolari.

Se questa è ormai la realtà resta da chiedersi perché la privacy policy di Google abbia suscitato tanto clamore, posto che anche altri social network non definiscono esattamente l’uso dei dati (es fb).

Nella sua ultima lettera indirizzata al CNIL, Google chiede quali norme le autorità intendano applicare a questa review, e di fornire una base legale alle raccomandazioni che verranno espresse ed conclusioni alle quali si vorrà pervenire.

La risposta alla domanda concernente il perché di tanta attenzione sta proprio nelle premesse della nuova informativa lanciata da Google, e che riporta l’attenzione sulla pericolosità derivante dalla uniformazione dei trattamenti dai dati: in materia di trattamento dei dati non è il numero a fare la differenza ma la qualità e l’organizzazione del servizio.

Share this article!
Share.

About Author

Chiara is Legal Advisor Assistant at Kellogg Italia. On October 2011 she got her degree in Law from Bocconi University of Milan. She is also past member of the Bocconi International Law Society. Her driving interests are Information and Communication Law and International Commercial Arbitration

Leave A Reply