Skip to main content

La CNIL infligge sanzione di 50 milioni di euro a Google LLC per violazione del Regolamento UE 2016/679

Il 25 maggio 2018, il primo giorno di applicabilità del Regolamento UE 2016/679 (RGPD), l’associazione None Of Your Business (NOYB) non indugiava oltre e presentava ricorso contro Google all’autorità francese per la protezione dei dati personali (CNIL), seguita a distanza di pochi giorni da un’altra associazione, Le Quadrature du Net (LQDN).

È circa otto mesi dopo che a Google viene inflitta una sanzione amministrativa pecuniaria di ben 50 milioni di euro, per violazioni delle norme su trasparenza, base giuridica e consenso previste dal Regolamento.

Quali contestazioni erano state sollevate a Google? Quali motivazioni hanno poi indotto il CNIL a sanzionare Google così aspramente? E sulla base di quali criteri il CNIL poteva ritenersi competente a svolgere tali attività ispettive, peraltro nei confronti di una società americana, quale Google LLC, in assenza del meccanismo dello “sportello unico”?

Scopri tutte le risposte in questo approfondimento di ICT Legal Consulting, studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.


Il Comitato ristretto della Commission Nationale de l’Informatique et des Libertés (CNIL) ha inflitto, con decisione del 21 gennaio 2019, una sanzione amministrativa pecuniaria di 50 milioni di euro nei confronti di Google LLC, per violazioni delle norme su trasparenza, base giuridica, consenso, previste dal Regolamento UE 2016/679 (RGPD).

La decisione ha mosso i passi dalla presentazione di reclami, in data 25 e 28 maggio 2018, da parte di due associazioni: None Of Your Business (NOYB) e La Quadrature du Net (LQDN), quest’ultima su mandato di circa diecimila interessati (9974, per la precisione), in applicazione dell’art. 80, paragrafo 1, del RGPD. I reclami hanno lamentato: il primo, la obbligatorietà dell’accettazione “in blocco” dei termini e condizioni di utilizzo dei servizi Google, senza la possibilità, per l’utente, di esprimere decisioni in maniera più chiara e specifica; il secondo, la mancata determinazione, da parte di Google, di una appropriata base giuridica per il trattamento dei dati personali degli utenti, al momento della creazione di un account per la fruizione dei molteplici servizi offerti sui dispositivi mobili con sistema operativo Android.

La CNIL ha dichiarato la propria competenza a svolgere attività ispettiva nei confronti di Google LLC, in assenza dell’applicazione del meccanismo dello “sportello unico” (one-stop shop, in inglese), poiché l’Autorità di Controllo irlandese, in cui Google ha la principale sede europea, non poteva avere, al momento della proposizione dei reclami, competenza a riguardo: Google Ireland Limited non avrebbe avuto potere decisionale sulla determinazione di mezzi e finalità del trattamento dei dati personali, in relazione ai servizi offerti nell’ambito della configurazione di un dispositivo mobile dotato di sistema operativo Android, e, pertanto, non essere considerata quale stabilimento principale, secondo la definizione di cui all’art. 4(16) del RGPD (in particolare, Google LLC non avrebbe ancora del tutto completato il trasferimento della responsabilità sul trattamento dei dati personali dei cittadini europei a Google Ireland Limited). Non applicandosi il meccanismo dello one-stop shop, la CNIL era competente per decidere sui reclami presentati dalle due associazioni e rivolti nei confronti di Google LLC.

L’attività ispettiva della CNIL, condotta dal mese di settembre 2018, ha accertato ed approfondito le violazioni operate da Google, analizzando nel dettaglio la conformità del processo di raccolta dei dati dell’utente da parte di Google, nelle operazioni di creazioni di un account su dispositivi mobili che utilizzano il sistema operativo Android.

Benché Google abbia sostenuto di raccogliere, di fatto, il consenso dell’utente al trattamento dei suoi dati personali per finalità di personalizzazione dei messaggi pubblicitari, la CNIL ha valutato come non conforme agli obblighi di trasparenza (art. 12 del RGPD), informativa (art. 13 del RGPD) e determinazione di idonea base giuridica (art. 6, paragrafo 1, del RGPD) il meccanismo di raccolta del dato da parte del titolare del trattamento.

La base giuridica dichiarata da Google – il legittimo interesse previsto dall’art. 6, paragrafo 1, lett. f), del RGPD – non sarebbe una base idonea per i molteplici trattamenti eseguiti dal titolare del trattamento, dovendosi questa, invece, a parere della CNIL rinvenire nel consenso, di cui all’art. 6, paragrafo 1, lett. a), del RGPD.

Ne deriva che Google non raccoglierebbe un consenso sufficientemente informato, specifico e inequivocabile, mancando, altresì, di fornire informazioni all’utente in maniera chiara ed in un linguaggio comprensibile. In particolare, benché presenti, le informazioni sulle modalità di personalizzazione degli annunci sono collocate in più di una sezione della pagina personale dell’utente, e non permetterebbero al medesimo di essere pienamente consapevole delle scelte che è possibile operare; inoltre, le modalità di personalizzazione offerte farebbero riferimento ad una pluralità di servizi (quali, ad esempio, il motore di ricerca Google, il servizio di posta elettronica GMail, YouTube, Google Home, Google Maps, Playstore, ecc…) e delle pluralità di combinazioni che ne possono scaturire con riferimento alle elaborazioni operate da questi.

Il consenso non sarebbe altresì inequivocabile, in quanto nella configurazione delle preferenze di personalizzazione degli annunci la scelta appare già preselezionata, né specifico e distinto per ogni finalità (personalizzazione degli annunci, riconoscimento vocale, ecc.…) in quanto è raccolto attraverso una accettazione unica e generale, al momento della richiesta di creazione dell’account.

Continua a leggere qui.


In collaborazione con

ICT Legal Consulting è uno studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.

 

 

ICT Legal Consulting

Author ICT Legal Consulting

ICT Legal Consulting is an international law firm founded in 2011 with offices in Milan, Bologna, Rome and Amsterdam, and presence in nineteen other countries (Australia, Austria, Belgium, Brazil, China, France, Germany, Greece, Hungary, Mexico, Poland, Portugal, Romania, Russia, Slovakia, Spain, Turkey, United Kingdom and USA). The firm was established by Paolo Balboni and Luca Bolognini, who have successfully assembled a network of trusted, highly-skilled lawyers specialized in the fields of Information and Communication Technology, Privacy, Data Protection/Security and Intellectual Property Law.

More posts by ICT Legal Consulting
en_US