Informativa
L'Autorità ha
prescritto a Google l'adozione di un sistema di informativa strutturato
su più livelli, in modo da fornire in un primo livello generale le
informazioni più rilevanti per l'utenza: l'indicazione dei trattamenti e
dei dati oggetto di trattamento (es. localizzazione terminali,
indirizzi IP etc.), dell'indirizzo presso il quale rivolgersi in lingua
italiana per esercitare i propri diritti etc.; in un secondo livello,
più di dettaglio, le specifiche informative relative ai singoli servizi
offerti.
Ma soprattutto Google dovrà spiegare chiaramente,
nell'informativa generale, che i dati personali degli utenti sono
monitorati e utilizzati, tra l'altro, a fini di profilazione per
pubblicità mirata e che essi vengono raccolti anche con tecniche più
sofisticate che non i semplici cookie, come ad esempio il
fingerprinting. Quest'ultimo è un sistema che raccoglie informazioni
sulle modalità di utilizzo del terminale da parte dell'utente e, a
differenza dei cookie che vengono istallati sul pc o nello smartphone,
le archivia direttamente presso i server della società.
Consenso
Per utilizzare a fini di profilazione e pubblicità comportamentale
personalizzata i dati degli interessati - sia quelli relativi alle mail
sia quelli raccolti incrociando le informazioni tra servizi diversi o
utilizzando cookie e fingerprinting - Google dovrà acquisire il previo
consenso degli utenti e non potrà più limitarsi a considerare il
semplice utilizzo del servizio come accettazione incondizionata di
regole che non lasciavano, fino ad oggi, alcun potere decisionale agli
interessati sul trattamento dei propri dati personali. In proposito,
l'Autorità ha anche indicato una modalità innovativa e di facile impiego
che, senza gravare eccessivamente sulla navigazione dell'utente, gli
consenta di scegliere in modo attivo e consapevole se fornire o meno il
proprio consenso alla profilazione, anche con riguardo ai singoli
servizi utilizzati.
Conservazione
Google
dovrà definire tempi certi di conservazione dei dati sulla base delle
norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui
sistemi cosiddetti "attivi", sia successivamente archiviati su sistemi
di "back up". Per quanto riguarda la cancellazione di dati personali, il
Garante ha imposto a Google che richieste provenienti dagli utenti che
dispongono di un account (e sono quindi facilmente identificabili) siano
soddisfatte al massimo entro due mesi se i dati sono conservati sui
sistemi "attivi" ed entro sei mesi se i dati sono archiviati sui sistemi
di back up. Per quanto riguarda, invece, le richieste di cancellazione
che interessano l'utilizzo del motore di ricerca, ha ritenuto opportuno
attendere gli sviluppi applicativi della sentenza della Corte di
giustizia dell'Unione europea sul diritto all'oblio.
Google
avrà 18 mesi per adeguarsi alle prescrizioni del Garante. In quest'arco
temporale, l'Autorità monitorerà l'implementazione delle misure
prescritte. La società dovrà infatti sottoporre al Garante, entro il 30
settembre 2014, un protocollo di verifica, che una volta sottoscritto
diverrà vincolante, sulla base del quale verranno disciplinati tempi e
modalità per l'attività di controllo che l'Autorità svolgerà nei
confronti di Mountain View.
Roma, 21 luglio 2014