Utenti Google più tutelati
Il Garante della privacy, con Provvedimento prescrittivo n. 353 del 10 luglio 2014 (nei confronti di Google Inc sulla conformità al Codice dei trattamenti dati personali effettuati ai sensi della nuova privacy policy), ha posto dei vincoli su tutti i servizi offerti dal motore di ricerca Google al fine di tutelare la privacy degli utenti. Google avrà tempo 18 mesi dalla data del provvedimento stesso per informare adeguatamente gli utenti italiani sull’uso che viene fatto dei loro dati personali e di tutte le altre informazioni che il motore di ricerca raccoglie automaticamente durante la navigazione in Internet. Tuttavia, coinvolti dal provvedimento, oltre a Google, sono anche Gmail, YouTube, Street View, Google Maps, Google Earth, Google Wallet, Google Play, ecc., ossia tutte le altre pagine web in lingua italiana comunque riconducibili a Google.
In particolare il provvedimento adottato dal Garante nei confronti di Google Inc., con sede in Mountain View, USA, relativamente al trattamento dei dati personali relativi all’utilizzo delle funzionalità offerte per il tramite del sito web: www.google.it e di tutte le altre pagine web in lingua italiana comunque riconducibili alla socità, è stato il seguente:
“1) in adempimento dell’art. 13 del Codice, di rendere un’informativa completa ed efficace agli utenti, secondo i criteri e le modalità indicate al paragrafo 2 del presente provvedimento;
2) ai sensi delle disposizioni di cui agli artt. 23 e 122 del Codice, di acquisire il consenso preventivo degli utenti, sia autenticati che non autenticati, in relazione al trattamento delle informazioni che li riguardano, anche derivanti dal trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all’utilizzo del servizio per l’inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, tramite incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità tra quelle messe a disposizione, nonché per l’utilizzo di cookie e di altri identificativi per finalità di profilazione tesa anche alla fornitura di pubblicità comportamentale nonché all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, secondo i criteri e le modalità indicate al paragrafo 3 del presente provvedimento; e di garantire ai medesimi interessati la possibilità dell’esercizio del diritto di opposizione di cui all’art. 7 del Codice;
3) in osservanza del principio di cui all’art. 11 del Codice in materia di conservazione di dati e con esclusione delle richieste di cancellazione relative all’esercizio del diritto di oblio avanzate in ordine ai risultati delle ricerche rinvenibili nel web attraverso l’uso della specifica funzionalità del motore di ricerca (Google search):
– nel caso le informazioni si trovino sui sistemi cd. attivi, di provvedere alla cancellazione dei dati personali su richiesta dell’interessato autenticato entro il termine massimo di due mesi, ritenuto congruo tale periodo in ragione, da un lato, della possibile indeterminatezza della richiesta e, dall’altro, dell’accertamento, da parte della società, dell’identità del richiedente nonché dell’agevole, specifica individuazione delle informazioni oggetto della richiesta, in quanto automaticamente riferibili all’account di questi e, di riflesso, non assoggettabili ad alcun processo di valutazione arbitraria. Il menzionato termine massimo di due mesi è quantificabile, per ragioni legate al calendario, in 62 giorni solari e dunque le richieste dovranno essere accolte entro il compimento del 63° giorno, a seguito comunque di un periodo preliminare pari a 30 giorni nel corso del quale i dati si troveranno in stato di disattivazione; ritenuto necessario, tale periodo preliminare, a tutela dell’utente medesimo, in quanto idoneo a prevenire cancellazioni accidentali o fraudolente dei suoi dati personali;
– qualora, invece, i dati siano stati archiviati nei sistemi di back- up, il tempo massimo per procedere alla relativa cancellazione sarà pari a sei mesi dalla richiesta dell’utente autenticato, quantificabili in 180 giorni solari e dunque entro il compimento del 181° giorno. Durante questo periodo è tuttavia necessario che la sola operazione consentita sui dati sia il recupero di informazioni perse e che esse siano protette da accessi non autorizzati mediante utilizzo di idonee tecniche di cifratura o, se del caso, di anonimizzazione dei dati stessi; ciò in accordo con i principi identificati dal WP 29 nell’Opinion n. 05/2014 sull’impiego delle tecniche di anonimizzazione del 10 aprile 2014;
– di adottare una policy di data retention conforme al principio di finalità fissato dal Codice.
4) L’implementazione delle misure di cui ai punti da 1 a 3 dovrà avvenire entro e non oltre 18 mesi dalla data della notifica del presente provvedimento.
5) Google dovrà proporre all’Autorità, entro il 30 settembre 2014, il testo del protocollo di verifica indicato nella parte motiva del presente provvedimento al fine di sottoporlo alla valutazione ed alla successiva approvazione del Garante medesimo. Tale protocollo disciplinerà l’espletamento delle attività di controllo e verifica ivi previste, secondo le modalità ed i tempi che saranno indicati nel protocollo medesimo. Dal momento dell’approvazione da parte dell’Autorità decorrerà un ulteriore periodo pari ad almeno 12 mesi per l’espletamento di tali attività“.
Avverso il provvedimento n. 353/2014 Google potrà proporre “opposizione ai sensi degli artt. 152 del Codice e 10 del D.Lgs. n. 150/2011 con ricorso dinanzi all’autorità giudiziaria ordinaria, da presentarsi entro il termine di trenta giorni dalla data della sua comunicazione ovvero di sessanta giorni se il ricorrente risiede all’estero“.(Fonte: Garante della Privacy)
