La decisione di Google, risalente al mese di marzo 2012, di unificare le policy sulla privacy utilizzate per i suoi vari servizi in un’unica soluzione aveva finito per provocare le reazioni dei Garanti di tutta Europa. Come avevamo spiegato nell’articolo Google traccia gli utenti online? Ecco gli strumenti utilizzati, in molti osservavano come con le nuove ed unificate condizioni sulla privacy fosse per Google molto più semplice combinare i dati registrati sui vari servizi e comporre un “identikit” molto preciso di ogni utente.
Tecnicamente era già possibile farlo ma con la nuova policy l’azienda può ottenere di fatto l’autorizzazione dell’utente per “mettere insieme” i suoi dati.
Dopo l’attività di verifica avviata lo scorso anno sul nuovo “regolamento privacy” di Google, il Garante Privacy italiano ha voluto stringere le maglie attorno alla società di Mountain View stabilendo che l’azienda fondata da Larry Page e Sergey Brin non potrà utilizzare i dati degli utenti a fini di profilazione se non ne avrà prima ottenuto il loro consenso e dovrà dichiarare esplicitamente di svolgere questa attività a fini commerciali.
“Nel corso dell’istruttoria, caratterizzata anche da diverse audizioni con i suoi rappresentanti, Google ha adottato una serie di misure per rendere la propria privacy policy più conforme alle norme“, si legge in una nota dell’ufficio del Garante. “Il Garante ha tuttavia rilevato il permanere di diversi profili critici relativi alla inadeguata informativa agli utenti, alla mancata richiesta di consenso per finalità di profilazione, agli incerti tempi di conservazione dei dati e ha dettato una serie di regole, che si applicano all’insieme dei servizi offerti“.
Secondo quanto stabilito, Google dovrà elaborare un’informativa sulla privacy su più livelli spiegando da subito quali sono i dati oggetto del trattamento e dei riferimenti aziendali ai quali gli utenti potranno rivolgersi, in lingua italiana, per esercitare i propri diritti. In un secondo livello, ancor più dettagliato, l’azienda dovrà chiarire le specifiche informative relative ai singoli servizi offerti.
“Per utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati – sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie e fingerprinting – Google dovrà acquisire il previo consenso degli utenti e non potrà più limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano, fino ad oggi, alcun potere decisionale agli interessati sul trattamento dei propri dati personali“, si aggiunge ancora dall’ufficio del Garante Privacy italiano.
Per quanto riguarda la gestione delle richieste di cancellazione dei dati provenienti dagli utenti, il Garante ha disposto che Google è tenuta a soddisfarle entro un massimo di due mesi dalla loro ricezione o di sei mesi se le informazioni siano conservate su sistemi di backup.
Per le richieste di cancellazione che interessano l’utilizzo del motore di ricerca, il Garante ha invece ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell’Unione europea sul diritto all’oblio (vedere Diritto all’oblio, Google rimuove i link ma solo in Europa e Diritto all’oblio, Google vuole un comitato di esperti).
Google avrà 18 mesi per adeguarsi alle prescrizioni del Garante che continuerà, da parte sua, a monitorare il comportamento della società.
I portavoce di Google si sono per il momento limitati a ricordare quanto sia stata stretta, anche in passato, la collaborazione con il Garante italiano: “analizzeremo il provvedimento attentamente per definire i prossimi passi“.