Brutte notizie per Google, che presto non potrà più svolgere attività di profilazione senza l'esplicito consenso degli utenti, e anche in quel caso dovrà specificare di farlo per precisi scopi commerciali.
Questa è la decisione presa dal Garante italiano per la privacy, che come precisato nella nota ufficiale "monitorerà l'implementazione delle misure prescritte. La società dovrà infatti sottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverrà vincolante, sulla base del quale verranno disciplinati tempi e modalità per l'attività di controllo che l'Autorità svolgerà nei confronti di Mountain View".
Questa norma tutelerà in modo maggiore l'utente che usufruisce dei servizi integrati offerti da Big G (Gmail, Youtube, G+ etc) le cui informazioni private passano da un servizio all'altro senza che ne venga messo al corrente. Come fa notare il Garante "l'azienda ha unificato in un unico documento le diverse regole di gestione dei dati relative alle numerosissime funzionalità offerte […] procedendo pertanto all'integrazione e all'interoperabilità anche dei diversi prodotti e dunque all'incrocio dei dati degli utenti relativi all'utilizzo di più servizi".
Quello preso dal Garante italiano è il primo provvedimento in Europa (in coordinamento con le altre autorità europee) che indica una serie di misure che Google dovrà adottare. L'azienda californiana avrà un anno e mezzo di tempo dalla data del documento prescrittivo, per adeguarsi.
Il Garante sottolinea che "Google ha adottato una serie di misure per rendere la propria privacy policy più conforme alle norme" ma è stato rilevato "il permanere di diversi profili critici relativi alla inadeguata informativa agli utenti, alla mancata richiesta di consenso per finalità di profilazione, agli incerti tempi di conservazione dei dati e ha dettato una serie di regole, che si applicano all'insieme dei servizi offerti".
Questi i punti salienti del provvedimento preso dall'Autorità:
Informativa
"L'Autorità ha prescritto a Google l'adozione di un sistema di informativa strutturato su più livelli, in modo da fornire in un primo livello generale le informazioni più rilevanti per l'utenza: l'indicazione dei trattamenti e dei dati oggetto di trattamento (es. localizzazione terminali, indirizzi IP, eccetera.), dell'indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti, eccetera; in un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi offerti. Ma soprattutto Google dovrà spiegare chiaramente, nell'informativa generale, che i datipersonali degli utenti sono monitorati e utilizzati, tra l'altro, a fini di profilazione per pubblicità mirata e che essi vengono raccolti anche con tecniche più sofisticate che non i semplici cookie, come ad esempio il fingerprinting. Quest'ultimo è un sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell'utente e, a differenza dei cookie che vengono istallati sul pc o nello smartphone, le archivia direttamente presso i server della società".
Consenso
"Per utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati - sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie e fingerprinting - Google dovrà acquisire il previo consenso degli utenti e non potrà più limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano, fino ad oggi, alcun potere decisionale agli interessati sul trattamento dei propri dati personali. In proposito, l'Autorità ha anche indicato una modalità innovativa e di facile impiego che, senza gravare eccessivamente sulla navigazione dell'utente, gli consenta di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati".
Conservazione
"Google dovrà definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti "attivi", sia successivamente archiviati su sistemi di "back up". Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (e sono quindi facilmente identificabili) siano soddisfatte al massimo entro due mesi se i dati sono conservati sui sistemi "attivi" ed entro sei mesi se i dati sono archiviati sui sistemi di back up. Per quanto riguarda, invece, le richieste di cancellazione che interessano l'utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell'Unione europea sul diritto all'oblio".
Questo provvedimento che l'Autorità italiana per prima è riuscita a prendere, è di assoluto rilievo in quanto frena lo scippo indiscriminato di informazioni personali ad opera del colosso della tecnologia.
La risposta di Google non si è fatta attendere: "abbiamo collaborato costantemente con il Garante nel corso di questa vicenda per spiegare le nostre privacy policy e come ci consentono di creare servizi più semplici ed efficaci e continueremo a collaborare in futuro. Analizzeremo attentamente il provvedimento del Garante per definire i prossimi passi".