Come noto la CNIL (Commission nationale de l’informatique et des libertés) ha comminato una sanzione di 50 milioni di euro a Google che applica, per la prima volta, i limiti e le modalità previste dal GDPR per la violazione di articoli relativi a adempimenti fondamentali come quelli del consenso e di una corretta e trasparente informazione nei confronti degli interessati.

Partiamo dalla non applicazione del principio del one-stop-shop: l’Autorità francese ha escluso, in accordo con la DPA irlandese, che lo stabilimento di Google in Irlanda fosse da considerarsi “principale”, data lo scarso potere decisionale della sede irlandese in relazione alle modalità di svolgimento dei trattamenti derivanti dall’utilizzo del sistema Android e dei servizi di Google stessa. Sotto l’aspetto della creazione/istituzione di sedi in UE (da parte di Titolari extra-UE) conta, dunque, la sostanza e non la mera forma.

CNIL ha così analizzato un adempimento fondamentale per il GDPR: le informazioni all’interessato. Il legislatore europeo parla chiaro in merito (articolo 13) e la commissione della CNIL offre dei rilievi interessanti (e preoccupanti).

L’accessibilità e la facilità di reperimento delle informazioni è una delle prime contestazioni che viene mossa nei confronti della società americana. La distribuzione delle informazioni relative ai servizi, e quindi al trattamento dei dati, su più documenti e la loro accessibilità solo attraverso più bottoni (click) è considerata modalità troppo dispersiva che non permette all’utente/interessato di capire, appunto, con chiarezza che uso Google farà dei dati personali.

Inoltre le informazioni non sono riportate in linguaggio chiaro, mancando dunque la necessaria evidenziazione degli elementi fondamentali del trattamento (come le finalità, i destinatari, quali siano i dati trattati). Una versione “semplificata”, ulteriore rispetto a quella “completa” dell’informativa (come suggerito anche dell’ICO- DPA inglese) può giovare in tal senso se permette di conoscere gli elementi fondamentali con chiarezza.

CNIL segnala anche, tra le infrazioni, la mancata comunicazione del periodo di retention, dei termini di conservazione di alcuni dati. Viene poi effettuata una valutazione sulla base giuridica di una parte specifica del trattamento (la personalizzazione dell’advertising – ergo profilazione degli utenti). Partendo dalla su menzionata mancanza di chiarezza in merito alle informazioni esposte, si sottolinea come la base giuridica di questa operazione di trattamento non sia il legittimo interesse del Titolare, quanto piuttosto il consenso dell’interessato.

In merito al consenso la CNIL rileva che, per potersi definire correttamente acquisito (e quindi valido), lo stesso debba avere le caratteristiche previste dal Regolamento: libero, specifico, informato e inequivocabile.

Concentrandosi su questi tre ultimi requisiti, l’Autorità evidenzia la non validità del consenso “acquisito” da Google. Affinché il consenso sia specifico è fondamentale che sia chiaramente indicato come lo stesso viene richiesto per una finalità (attività) di trattamento, la profilazione nel caso specifico, senza che, invece, si vada a chiedere un generico consenso, magari anche congiunto all’accettazione delle condizioni di utilizzo di un servizio.

Si potrebbe obiettare, che anche il WP art 29 (ora EDPB), ha sottolineato come si debba cercare di semplificare l’interazione con l’interessato anche nella fase di acquisizione del consenso, non complicando troppo la modalità di acquisizione stessa. Pur essendo ciò indubbiamente vero, la semplificazione non può portare ad una omissione o elusione della norma con consensi “raggruppati”, i quali contravvengono ad un principio fondamentale della Data Protection, la consapevolezza sull’utilizzo che il titolare fa dei dati personali.

Ma non finiscono qui i rilievi della CNIL, dato che viene osservato come l’inequivocabilità non possa desumersi da una mancata azione dell’interessato (principio, già più volte ribadito, anche dal nostro Garante), quanto piuttosto debba provenire da un’azione positiva dell’interessato. Più operazioni di click per accedere all’area del consenso, oltre alla presenza di box “pre-flaggati”, non possono in alcun modo essere considerati comportamento dell’interessato inequivocabilmente volto a fornire un consenso.

Appare interessante concludere citando alcuni criteri utilizzati per determinare (e comminare) la sanzione. La commissione applica il Regolamento, considerando rilevanti il numero di interessati coinvolti, la tipologia di dati personali trattati, l’impatto che i servizi hanno rispetto all’ambiente di riferimento (ergo il ruolo rilevante di Google nel mercato francese) ed anche il fatto che la combinazione di servizi offerti possa, nell’insieme, arricchire le informazioni in possesso del Titolare ed avere un impatto ancor maggiore sugli interessati coinvolti.

Tutti requisiti per una sanzione decisamente significativa, almeno dal punto di vista del messaggio inviato.