Dati Google: gli Italiani saranno tutelati

Quello redatto il 10 luglio dal Garante della privacy, e reso noto ieri, è il primo provvedimento (leggi qui) a livello europeo nell'ambito della tutela dei dati personali dei cittadini dalle "invasioni di campo commerciali" dei big della tecnologia e arriva a seguito della pronuncia della Corte di Giustizia europea sul diritto all'oblio (vedi news di Bancaforte). Il provvedimento non si limita a richiamare al rispetto dei principi della disciplina privacy ma indica nel concreto le possibili misure che Google deve adottare per assicurare la conformità alla legge.

Il Garante privacy ha infatti stabilito che il colosso di Mountain View non potrà utilizzare i loro dati a fini di profilazione se non ne avrà prima ottenuto il consenso dell'interessato e dovrà dichiarare esplicitamente di svolgere questa attività a fini commerciali. L'Autorità ha prescritto a Google l'adozione di un sistema di informativa strutturato su più livelli, in modo da fornire in un primo livello generale le informazioni più rilevanti per l'utenza: l'indicazione dei trattamenti e dei dati oggetto di trattamento (es. localizzazione terminali, indirizzi IP ecc.), dell'indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti, ecc.; in un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi offerti. Ma soprattutto Google dovrà spiegare chiaramente, nell'informativa generale, che i dati personali degli utenti sono monitorati e utilizzati tra l'altro a fini di profilazione per pubblicità mirata e che essi vengono raccolti anche con tecniche più sofisticate che non i semplici cookie, come ad esempio il fingerprinting.

Quest'ultimo è un sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell'utente e, a differenza dei cookie che vengono installati sul pc o nello smartphone, le archivia direttamente presso i server della società. Per utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati - sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie e fingerprinting - Google dovrà acquisire il previo consenso degli utenti e non potrà più limitarsi a considerare il semplice utilizzo del servizio come accettazione incondizionata di regole che non lasciavano, fino ad oggi, alcun potere decisionale agli interessati sul trattamento dei propri dati personali.

In proposito, l'Autorità ha anche indicato una modalità innovativa e di facile impiego che, senza gravare eccessivamente sulla navigazione dell'utente, gli consenta di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati.Google dovrà definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti "attivi", sia successivamente archiviati su sistemi di back up. Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (quindi facilmente identificabili) siano soddisfatte al massimo entro due mesi se i dati sono conservati sui sistemi attivi ed entro sei mesi se sono archiviati in back up.