x

x

Garante Privacy: navigare sicuri? Si può. L’Autorità chiede più tutele per gli utenti di Google

Il Garante per la protezione dei dati personali ha concluso l’istruttoria avviata lo scorso anno con un provvedimento prescrittivo per garantire maggiori tutele nei confronti degli utenti di Google in Italia, società, quella di Google Inc., con sede sociale sul territorio nazionale con un unico socio. È il primo provvedimento in Europa a indicare le possibili misure che Google deve adottare per rendere la propria privacy policy più conforme alla legge, oltre a richiamare il rispetto dei principi della disciplina privacy.

Il Garante, nel corso dell’istruttoria, ha individuato diversi profili critici relativi all’inadeguata informativa resa agli interessati, all’omessa richiesta di consenso per finalità di profilazione, nonché mancato rispetto del diritto di opposizione degli utenti, all’incertezza sui tempi di conservazione dei dati.

La normativa, quindi, richiede che la privacy policy predisposta da Google sia facilmente accessibile per gli utenti, formulata in modo chiaro, completo ed esaustivo. Inoltre, il Garante ritiene opportuno far adottare alla società un sistema di struttura dell’informativa su più livelli, in modo da distribuire i dati in ordine di rilevanza.

In un primo livello verranno fornite le informazioni più importanti per l’utente, ossia l’indicazione dei trattamenti di dati personali oggetto di trattamento, l’indirizzo presso il quale rivolgersi per esercitare i propri diritti in modo agevole ed in lingua italiana. In un secondo livello vi saranno le specifiche informative riguardanti i singoli servizi offerti.

Inoltre, la disciplina di legge prevede che Google dovrà spiegare, nell’informativa generale, che i dati personali degli utenti sono utilizzati per finalità di profilazione e pubblicità mirata, sia quelli inerenti alle mail che quelli rilevati con tecniche più sofisticate diverse dai cookie, come il fingerprinting.  

L’unica differenza tra l’impiego dei due identificatori consiste nel fatto che il fingerprinting raccoglie e archivia informazioni sulle modalità di utilizzo del terminale da parte dell’utente direttamente presso i server della società e quindi, di conseguenza, queste non vengono istallate sul pc o nello smartphone come succede per i cookie.

Per l’utilizzo dei dati degli utenti, secondo quanto previsto dal provvedimento, è necessario il consenso da parte degli stessi; tale consenso deve rispondere ai requisiti di legge e pertanto esso deve essere libero, acquisito in via preventiva, informato e documentato per iscritto ai fini della sua validità (articolo 23 del Codice Privacy).

L’archiviazione delle informazioni è organizzata in funzione del tempo trascorso dal momento della loro acquisizione. Per quanto riguarda la conservazione dei dati, Google dovrà definirne i tempi sulla base delle norme del Codice Privacy.

Il Garante, in tema di cancellazione dei dati personali, ha imposto alla società di soddisfare le richieste provenienti dagli utenti che possiedono un account entro due mesi se i dati sono conservati su sistemi “attivi” ed entro sei mesi se sono archiviati sui sistemi di “back up” e, sulle richieste di cancellazione che interessano l’utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi della Sentenza della Corte di Giustizia dell’Unione Europea sul diritto all’oblio.

La società avrà 18 mesi per adeguarsi alle misure prescrittive previste dal provvedimento e dovrà proporre al Garante, entro il 30 settembre 2014, un protocollo di verifica che disciplinerà i tempi e le modalità per l’attività di controllo e, una volta sottoscritto, diventerà vincolante.

Il provvedimento è interamente consultabile sul sito del Garante Privacy.

(Garante Privacy, Provvedimento 10 luglio 2014, n. 353)

Il Garante per la protezione dei dati personali ha concluso l’istruttoria avviata lo scorso anno con un provvedimento prescrittivo per garantire maggiori tutele nei confronti degli utenti di Google in Italia, società, quella di Google Inc., con sede sociale sul territorio nazionale con un unico socio. È il primo provvedimento in Europa a indicare le possibili misure che Google deve adottare per rendere la propria privacy policy più conforme alla legge, oltre a richiamare il rispetto dei principi della disciplina privacy.

Il Garante, nel corso dell’istruttoria, ha individuato diversi profili critici relativi all’inadeguata informativa resa agli interessati, all’omessa richiesta di consenso per finalità di profilazione, nonché mancato rispetto del diritto di opposizione degli utenti, all’incertezza sui tempi di conservazione dei dati.

La normativa, quindi, richiede che la privacy policy predisposta da Google sia facilmente accessibile per gli utenti, formulata in modo chiaro, completo ed esaustivo. Inoltre, il Garante ritiene opportuno far adottare alla società un sistema di struttura dell’informativa su più livelli, in modo da distribuire i dati in ordine di rilevanza.

In un primo livello verranno fornite le informazioni più importanti per l’utente, ossia l’indicazione dei trattamenti di dati personali oggetto di trattamento, l’indirizzo presso il quale rivolgersi per esercitare i propri diritti in modo agevole ed in lingua italiana. In un secondo livello vi saranno le specifiche informative riguardanti i singoli servizi offerti.

Inoltre, la disciplina di legge prevede che Google dovrà spiegare, nell’informativa generale, che i dati personali degli utenti sono utilizzati per finalità di profilazione e pubblicità mirata, sia quelli inerenti alle mail che quelli rilevati con tecniche più sofisticate diverse dai cookie, come il fingerprinting.  

L’unica differenza tra l’impiego dei due identificatori consiste nel fatto che il fingerprinting raccoglie e archivia informazioni sulle modalità di utilizzo del terminale da parte dell’utente direttamente presso i server della società e quindi, di conseguenza, queste non vengono istallate sul pc o nello smartphone come succede per i cookie.

Per l’utilizzo dei dati degli utenti, secondo quanto previsto dal provvedimento, è necessario il consenso da parte degli stessi; tale consenso deve rispondere ai requisiti di legge e pertanto esso deve essere libero, acquisito in via preventiva, informato e documentato per iscritto ai fini della sua validità (articolo 23 del Codice Privacy).

L’archiviazione delle informazioni è organizzata in funzione del tempo trascorso dal momento della loro acquisizione. Per quanto riguarda la conservazione dei dati, Google dovrà definirne i tempi sulla base delle norme del Codice Privacy.

Il Garante, in tema di cancellazione dei dati personali, ha imposto alla società di soddisfare le richieste provenienti dagli utenti che possiedono un account entro due mesi se i dati sono conservati su sistemi “attivi” ed entro sei mesi se sono archiviati sui sistemi di “back up” e, sulle richieste di cancellazione che interessano l’utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi della Sentenza della Corte di Giustizia dell’Unione Europea sul diritto all’oblio.

La società avrà 18 mesi per adeguarsi alle misure prescrittive previste dal provvedimento e dovrà proporre al Garante, entro il 30 settembre 2014, un protocollo di verifica che disciplinerà i tempi e le modalità per l’attività di controllo e, una volta sottoscritto, diventerà vincolante.

Il provvedimento è interamente consultabile sul sito del Garante Privacy.

(Garante Privacy, Provvedimento 10 luglio 2014, n. 353)