Garante Privacy francese: Google paghi la sanzione per informativa incompleta

Il 3 gennaio 2014, l’Autorità garante della privacy francese (Commission Nationale de l’Informatique et des Libertés, CNIL) ha irrogato una sanzione pecuniaria di 150.000 euro nei confronti di Google Inc. (“Google”) perché l’informativa privacy – pubblicata dal 1 marzo 2012 – non rispettava le prescrizioni di cui alla normativa francese in materia di protezione dei dati personali. L’Autorità ha inoltre ordinato a Google di pubblicare tale decisione nella homepage del sito Google.fr entro gli otto giorni successivi all’avvenuta notifica, per una durata di 48 ore.

Il provvedimento dell’Autorità garante francese prende le mosse dalla controversa scelta di Google di riunire in un’unica policy le informative privacy relative a circa sessanta servizi erogati (tra cui, ovviamente, Gmail, YouTube, Google Search, Google Drive, Google Maps, Picasa, ecc.).

Il Gruppo di lavoro ex Art. 29 (il gruppo di lavoro di tutte le Autorità garanti per la protezione dei dati personali degli Stati membri dell’UE), a sua volta, ha ritenuto tale policy non ottemperante il quadro normativo dell’Unione Europea e, di conseguenza, ha emesso una serie di raccomandazioni, a cui però Google non ha dato alcun seguito.

Per tale ragione, le Autorità garanti della privacy di sei Stati membri, tra le quali, per l’appunto, anche il Garante Privacy francese, hanno avviato autonomamente procedure sanzionatorie nei confronti di Google.

Nella sua decisione, l’Autorità garante francese ha ritenuto, in primo luogo, che i dati elaborati da Google, riguardanti gli utenti francesi, debbano essere qualificati come dati personali e, in secondo luogo, che la legge francese si applichi al trattamento dei dati personali relativi agli utenti residenti in Francia, contrariamente all’opinione di Google.

In particolare, non ha contestato di per sé la legittimità dell’obiettivo di semplificazione perseguito dalla fusione delle privacy policies di Google, ma, al contrario, ha ritenuto la privacy policy contrastante con la normativa nazionale in quanto non contenente sufficienti informazioni, in favore degli utenti, circa le condizioni e le finalità del trattamento dei dati e, conseguentemente, non in grado di permettere agli stessi utenti di esercitare compiutamente i loro diritti, in special modo quelli di accesso, opposizione e cancellazione.

Secondo l’Autorità garante francese, inoltre, Google non ha rispettato l’obbligo di ottenere il consenso dell’utente prima della memorizzazione dei cookies sui propri terminali, né ha definito i periodi di conservazione applicabili ai dati trattati. Infine, secondo l’Autorità, Google si è permessa di combinare tutti i dati raccolti sui propri utenti attraverso i vari servizi forniti senza alcun fondamento giuridico.

Come già anticipato in precedenza, le conclusioni a cui è pervenuto il Garante Privacy francese  ricalcano, nella sostanza, la decisione assunta dalla Autorità garante spagnola, che già nel dicembre scorso ha condannato Google al pagamento di una sanzione pecuniaria di notevole entità (900.000 euro). Lo stesso esito, tra l’altro, è previsto nel breve futuro nell’ambito del procedimento intentato, sempre nei confronti di Google, dall’Autorità garante olandese.

Il documento è interamente consultabile sul sito del CNIL cliccando qui.

(Commission Nationale de l’Informatique et des Libertés, Deliberation No. 2013-420 of the Sanctions Committee of CNIL imposing a financial penalty against Google Inc.)

Avv. Francesco Di Tano

                                                                                                                                                                                      

Il 3 gennaio 2014, l’Autorità garante della privacy francese (Commission Nationale de l’Informatique et des Libertés, CNIL) ha irrogato una sanzione pecuniaria di 150.000 euro nei confronti di Google Inc. (“Google”) perché l’informativa privacy – pubblicata dal 1 marzo 2012 – non rispettava le prescrizioni di cui alla normativa francese in materia di protezione dei dati personali. L’Autorità ha inoltre ordinato a Google di pubblicare tale decisione nella homepage del sito Google.fr entro gli otto giorni successivi all’avvenuta notifica, per una durata di 48 ore.

Il provvedimento dell’Autorità garante francese prende le mosse dalla controversa scelta di Google di riunire in un’unica policy le informative privacy relative a circa sessanta servizi erogati (tra cui, ovviamente, Gmail, YouTube, Google Search, Google Drive, Google Maps, Picasa, ecc.).

Il Gruppo di lavoro ex Art. 29 (il gruppo di lavoro di tutte le Autorità garanti per la protezione dei dati personali degli Stati membri dell’UE), a sua volta, ha ritenuto tale policy non ottemperante il quadro normativo dell’Unione Europea e, di conseguenza, ha emesso una serie di raccomandazioni, a cui però Google non ha dato alcun seguito.

Per tale ragione, le Autorità garanti della privacy di sei Stati membri, tra le quali, per l’appunto, anche il Garante Privacy francese, hanno avviato autonomamente procedure sanzionatorie nei confronti di Google.

Nella sua decisione, l’Autorità garante francese ha ritenuto, in primo luogo, che i dati elaborati da Google, riguardanti gli utenti francesi, debbano essere qualificati come dati personali e, in secondo luogo, che la legge francese si applichi al trattamento dei dati personali relativi agli utenti residenti in Francia, contrariamente all’opinione di Google.

In particolare, non ha contestato di per sé la legittimità dell’obiettivo di semplificazione perseguito dalla fusione delle privacy policies di Google, ma, al contrario, ha ritenuto la privacy policy contrastante con la normativa nazionale in quanto non contenente sufficienti informazioni, in favore degli utenti, circa le condizioni e le finalità del trattamento dei dati e, conseguentemente, non in grado di permettere agli stessi utenti di esercitare compiutamente i loro diritti, in special modo quelli di accesso, opposizione e cancellazione.

Secondo l’Autorità garante francese, inoltre, Google non ha rispettato l’obbligo di ottenere il consenso dell’utente prima della memorizzazione dei cookies sui propri terminali, né ha definito i periodi di conservazione applicabili ai dati trattati. Infine, secondo l’Autorità, Google si è permessa di combinare tutti i dati raccolti sui propri utenti attraverso i vari servizi forniti senza alcun fondamento giuridico.

Come già anticipato in precedenza, le conclusioni a cui è pervenuto il Garante Privacy francese  ricalcano, nella sostanza, la decisione assunta dalla Autorità garante spagnola, che già nel dicembre scorso ha condannato Google al pagamento di una sanzione pecuniaria di notevole entità (900.000 euro). Lo stesso esito, tra l’altro, è previsto nel breve futuro nell’ambito del procedimento intentato, sempre nei confronti di Google, dall’Autorità garante olandese.

Il documento è interamente consultabile sul sito del CNIL cliccando qui.

(Commission Nationale de l’Informatique et des Libertés, Deliberation No. 2013-420 of the Sanctions Committee of CNIL imposing a financial penalty against Google Inc.)

Avv. Francesco Di Tano