Con la diffusione di Internet e della conseguente presenza sulla rete di informazioni personali, diventa sempre più importante regolamentare la materia relativa al trattamento dei dati personali. Potrebbe, infatti, accadere che vengano diffuse notizie sul web lesive della dignità e dell’onore di qualcuno. Un ruolo importante nell’interpretazione di situazioni del genere è ricoperto dall’Autorità Garante della Privacy, i cui provvedimenti sono, oramai, richiesti all’ordine del giorno.
Tra questi, appare quantomai opportuno richiamare il provvedimento del Garante del 10 luglio 2014, relativo alla conformità da parte di Google LLC al Codice dei trattamenti di dati personali effettuati ai sensi della nuova privacy policy.
Il WP 29
Agli inizi del 2022 il WP 29, per tramite della CNIL (Commission Nationale de l´informatique et des libertés), comunicava a Google l’intenzione di condurre un’analisi della nuova privacy policy alla luce della direttiva 95/46/CE. In particolare, oggetto della valutazione da parte del WP era la conformità dei trattamenti di dati effettuati dalla società alla disciplina in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Poco dopo, tuttavia, il WP 29 inviava una comunicazione a firma di tutti i Presidenti delle Autorità di Protezione dei dati personali dell’Unione con la quale, sulla base dei menzionati riscontri, si contestava alla società l’omessa conformità dei trattamenti di dati effettuati ai requisiti imposti dalla disciplina europea in materia e la si invitava all’adozione delle misure idonee ad assicurare il rispetto di alcuni, specifici principi. Il medesimo WP 29 ha poi deliberato la costituzione di un’apposita task force di cui sono state chiamate a far parte alcune delle autorità di protezione dei dati personali degli stati membri facenti parte del gruppo, tra cui l’Italia.
Non avendo Google dato seguito alle raccomandazioni, il Garante ha pertanto informato Google dell’avvio del procedimento amministrativo nei suoi confronti, teso ad ulteriori accertamenti. Durante tale procedura, la Società ha provveduto ad adottare talune modifiche ai fini del rispetto della normativa di settore. Nonostante tali adeguamenti, però, restavano alcuni punti critici, quali:
“A) modalità e contenuto dell’informativa resa agli interessati, anche in relazione all’esplicitazione delle diverse finalità e alle modalità del trattamento dei loro dati personali (cfr. Terms of service e privacy policy, vers. 31.3.14) (art. 13 del Codice);
B) omessa richiesta del consenso degli interessati per finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all’analisi e monitoraggio dei comportamenti dei visitatori di siti web, nonché mancato rispetto del diritto di opposizione degli interessati (artt. 7, 23, 24 e 122 del Codice)”.
Il provvedimento del Garante
L’Autorità, dunque, in ossequio a quanto previsto dalla normativa, invitava Google ad una serie di adempimenti. Innanzitutto, si chiedeva alla Società di predisporre un’informativa completa ed efficace agli utenti. Il Garante, poi, sollecitava Google ad acquisire preventivamente il consenso degli utenti sia autenticati che non autenticati, in relazione al trattamento delle informazioni che li riguardano. Ancora, con riferimento alla materia di conservazione di dati e con esclusione delle richieste di cancellazione relative all’esercizio del diritto di oblio, veniva stabilito di provvedere alla cancellazione dei dati personali su richiesta dell’interessato autenticato entro il termine massimo di due mesi, ove tali dati si trovassero nel sistema attivo. Viceversa, laddove i dati fossero stati archiviati nei sistemi di back- up, il tempo massimo per procedere alla relativa cancellazione avrebbe dovuto essere pari a sei mesi dalla richiesta dell’utente autenticato. Infine, si chiedeva a Google di adottare una policy di data retention conforme alla normativa.