GDPR: le prime sanzioni comminate dai Garanti della privacy europei

Le sanzioni in Francia

Le prime sanzioni a livello europeo. Il Garante privacy francese vs Google
I Garanti privacy dell’Unione Europea hanno già comminato multe in vari Paesi tra cui Francia, Austria, Germania, Portogallo, Polonia ed Italia. Tra queste prime sanzioni, solamente quella inflitta dal Garante per la tutela dei dati personali francese a Google può dirsi eccezionale, sia perché di importo in assoluto più alto (50 milioni di euro) sia perché di particolare risalto mediatico (basti pensare che il destinatario della stessa è il colosso del web di origine californiana).

Partendo dunque dalla sanzione più “pesante”, lo scorso gennaio, il Garante per il trattamento dei dati personali francese (Commission Nationale de l’Informatique et des Libértes – CNIL) ha condannato Google LLC ad una sanzione da 50 milioni di euro per violazione del GDPR, con riferimento al sistema Android per dispositivi mobili.

La condanna ha avuto origine da due denunce presentate il 25 e 28 maggio 2018 (contestuali all’entrata in vigore del GDPR) dall’organizzazione None of Your Business - NOYB, fondata dal nemico dei giganti del web, il giovane attivista austriaco Max Schrems e dall’associazione di promozione dei diritti digitali La Quadrature du Net –LQDN-.

Il CNIL, pur mantenendo informate le autorità di controllo privacy degli altri stati membri, ha innanzitutto ritenuto di potersi occupare personalmente dell’intera vicenda. Infatti, il GDPR prevede che vi sia, secondo il meccanismo dello Sportello Unico “one stop shop” di cui all’art. 56, un unico interlocutore europeo di privacy (autorità capofila) per le società operanti in più nazioni o che trattano dati di più interessati residenti in più nazioni. L’autorità capofila dovrebbe essere quella del Paese europeo dove risiede lo stabilimento europeo principale della società (nel caso in esame solo apparentemente l’Irlanda). A ben vedere, al momento in cui i reclami furono sottoposti al CNIL l’assetto prescelto da Google LLC non permetteva, anche ad avviso dell’Autorità privacy irlandese, di considerare l’Irlanda come stabilimento principale europeo e non c’erano circostanze che permettessero di identificarlo quale soggetto dotato di potere decisionale sulle operazioni di trattamento relative all’utilizzo del sistema operativo Android e alla sottoscrizione dei servizi proposti da Google LLC.

Per tali motivi, il CNIL ha esaminato la vicenda autonomamente, fondando la sanzione su due distinte violazioni del regolamento. Esso, dapprima, ha contestato la violazione degli obblighi di trasparenza e informazione rilevando come Google non presenti all’utenza le notizie sulle modalità del trattamento in modo chiaro e facilmente accessibile. Alcune informazioni essenziali, quali, ad esempio, la finalità del trattamento, il periodo di conservazione, le varie tipologie dei dati coinvolti, sono sparse in diversi documenti, costringendo conseguentemente l’utente ad una navigazione complicata che richiede anche molte azioni, tra link e pulsanti, per raggiungere le informazioni utili.

La seconda contestazione riguarda l’obbligo di indicare una base giuridica per il trattamento relativo alla pubblicità mirata, affinché venga reso lecito l’utilizzo di dati finalizzato alla personalizzazione dei messaggi pubblicitari. In base alla politica interna di Google questi trattamenti si fondano sul consenso dell’interessato. Un consenso che, però, a parere del CNIL, non è validamente ottenuto per le stesse identiche ragioni che giustificano la prima sanzione. Infatti, secondo il Garante privacy francese il consenso raccolto non è sufficientemente informato ai sensi del GDPR e neppure specifico e chiaro. Quando un account viene creato l’utente può modificare alcune impostazioni tramite il pulsante “più opzioni” ma questo non significa che il Regolamento sia rispettato. Difatti, tali opzioni sono azionabili in un menù secondario, ovvero, tramite una pratica ritenuta non molto corretta dalla Commissione francese; inoltre, costituisce una palese violazione il fatto che le caselline di questo menù siano preflaggate, e che l’utente, se contrario alla profilazione pubblicitaria, dovrà procedere alla deselezione delle caselle. Una pratica sicuramente contraria al GDPR, secondo cui il consenso deve provenire dall’interessato tramite un’azione positiva e chiara.

Alla luce di tali contestazioni, il CNIL ha ritenuto di comminare a Google LLC una sanzione da 50 milioni di euro per violazione del GDPR. Una sanzione pecuniaria elevata ma allo stesso tempo lontana dai massimali previsti dal GDPR che prevedono multe fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

(Fonte: www.altalex.com)