Il 21 gennaio 2019, il Garante Privacy francese (“CNIL”) ha comminato una sanzione di 50 milioni di euro nei confronti della società GOOGLE LLC.

Per la prima volta il CNIL ha applicato i nuovi limiti di sanzioni previsti dal GDPR. L’importo deciso e la pubblicità della sanzione sono stati giustificati dal CNIL per la gravità delle violazioni individuate riguardo ai principi essenziali del GDPR: trasparenza, informativa e consenso.

Il 25 e il 28 maggio 2018, le associazioni No of Your Business (“NOYB”) e La Quadrature Du Net (“LQDN”) hanno presentato al CNIL due reclami contro GOOGLE, sottolineando la mancanza di una valida base giuridica per il trattamento dei dati personali degli utenti per scopi di targeting pubblicitario. CNIL ha prontamente verificato la conformità delle operazioni di trattamento implementate da GOOGLE con il French Data Protection Act e il GDPR analizzando il modello di navigazione di un utente e i documenti a cui può accedere, quando crea un account GOOGLE, usando Android.

Sulla base delle ispezioni effettuate, il CNIL ha individuato due tipi di violazioni del GDPR:

  1. Violazione degli obblighi di trasparenza e informativa

Le informazioni fornite da GOOGLE non sono facilmente accessibili per gli utenti in quanto le informazioni essenziali riguardanti le finalità, i periodi di conservazione dei dati o le categorie di dati personali utilizzati per la personalizzazione degli annunci, non facilmente reperibili in quanto disposte tra diversi documenti.

Gli utenti non sono in grado di comprendere appieno l’entità delle operazioni di trattamento eseguite da GOOGLE in quanto:

  • le finalità del trattamento sono descritte in modo troppo generico e vago, e lo stesso vale per le categorie di dati trattati per questi diversi scopi;
  • le informazioni comunicate non consentono all’utente di comprendere che la base legale delle operazioni di trattamento per la personalizzazione degli annunci è il consenso e non l’interesse legittimo della società;
  • le informazioni sul periodo di conservazione non sono fornite solo per alcuni dati.
  1. Mancanza di una base giuridica per il trattamento dei dati ai fini della personalizzazione degli annunci pubblicitari

Secondo il CNIL il consenso dell’utente per trattare i dati per scopi di personalizzazione degli annunci pubblicitari non è ottenuto validamente per due motivi:

  • il consenso degli utenti non è sufficientemente informato: le informazioni sulle operazioni di trattamento per la personalizzazione degli annunci sono diluite in diversi documenti e non consentono all’utente di essere consapevole della loro estensione;
  • il consenso raccolto non è né “specifico” né “non ambiguo”: quando viene creato un account, l’utente può modificare alcune opzioni associate all’account facendo clic sul pulsante “Altre opzioni”, accessibile sopra il pulsante “Crea account”. Questo non significa che il GDPR sia rispettato. In effetti, l’utente non deve solo cliccare sul pulsante “Altre opzioni” per accedere alla configurazione, ma la visualizzazione della personalizzazione degli annunci è inoltre pre-selezionata. Tuttavia, il GDPR prevede che il consenso è “non ambiguo” solo con una chiara azione affermativa da parte dell’utente (spuntando ad esempio una casella non barrata).

Infine, prima di creare un account, l’utente è invitato a spuntare le caselle “Accetto i Termini di servizio di Google” e “Accetto il trattamento dei miei dati” come descritto sopra e ulteriormente spiegato nell’informativa sulla privacy al fine di creare il account. Pertanto, l’utente dà il proprio consenso per intero, per tutte le operazioni di elaborazione effettuate da GOOGLE sulla base di questo consenso (personalizzazione degli annunci, riconoscimento vocale, ecc.). Tuttavia, il GDPR prevede che il consenso sia “specifico” solo se è dato distintamente per ogni finalità.

Le violazioni osservate privano gli utenti di garanzie essenziali relative alle operazioni di trattamento che possono rivelare aspetti importanti della loro vita privata poiché si basano su un’enorme quantità di dati, un’ampia varietà di servizi e combinazioni quasi illimitate.

La decisione del CNIL apre ad una nuova fase in materia di enforcement della normativa privacy vigente ed applicabile e costituisce un forte monito per le società che sono sempre più chiamate a rivedere i propri documenti e procedure privacy per garantire e dare evidenza del rispetto dei principi di trasparenza, accessibilità, chiarezza e liceità nel trattamento dei dati personali.

Il testo del comunicato e della decisione del CNIL sono disponibili al link seguente link.