Le sanzioni GDPR e le cause di risarcimento danni alle aziende italiane potranno arrivare da tutta l’Europa, se quelle trattano i dati di cittadini europei non italiani, per esempio loro clienti. È la principale lezione che dovrebbero trarre dalla sanzione di 50 milioni di euro appena affibbiata a Google dalla CNIL (la Commission Nationale de l’Informatique et des Libertés, l’equivalente francese del nostro Garante privacy).
Ecco i fatti. A Big G è stata contestata la non conformità agli obblighi prescritti dal GDPR (il Regolamento europeo 2016/679 per la protezione dei dati personali) in merito alla trasparenza sulla finalità del trattamento dati e sul consenso richiesto agli utenti.
La CNIL ha dunque dato seguito alla denuncia presentata nel maggio scorso, in concomitanza con l’entrata in vigore del GDPR, da due organizzazioni non profit francesi, None of Your Business e La Quadrature du Net. L’accusa contro Google sosteneva la mancanza di una valida base giuridica per il trattamento dei dati personali degli utenti, in particolare a fini pubblicitari. L’Autorità francese ha quindi deciso di applicare, per la prima volta in Europa, la sanzione più alta prevista in caso di violazione delle disposizioni previste dal GDPR.
In realtà, l’art. 83, comma 5, GDPR prevede per questi casi una sanzione di 20 milioni di euro, o per le imprese fino al 4% del fatturato annuo mondiale dell’anno precedente. In questo caso, quindi, il Garante francese ha optato per una sorta di bilanciamento tenendo conto della natura della violazione, della sua durata e dell’elevato numero di utenti interessati.
Indice degli argomenti
Una sanzione per la poca trasparenza di Android
Il Garante francese ha contestato alcuni aspetti funzionali del sistema operativo Android sviluppato da Google e, in particolare, le opzioni che consentono di attivarlo su un nuovo smartphone. Secondo la CNIL, sono poco chiari i dettagli su quali dati degli utenti vengono utilizzati per l’invio di annunci pubblicitari personalizzati.
Nel provvedimento si legge che alcune importanti informazioni “come le finalità del trattamento dati, il periodo di conservazione dei dati o le categorie di dati personali utilizzati per la personalizzazione degli annunci, sono eccessivamente disseminate tra più documenti, con pulsanti e link sui quali è necessario cliccare per accedere a informazioni complementari”.
Troppe azioni, secondo il Garante francese, riportate in un’informativa poco chiara e che non consentono all’utente di conoscere con esattezza come vengono utilizzate le informazioni raccolte per personalizzare alcuni servizi, tra cui ad esempio il tracciamento mediante il modulo GPS. Così come non è subito chiaro all’utente che alcune condizioni da accettare non sono necessarie al funzionamento del dispositivo, presentando invece un “legittimo interesse commerciale”.
Fuorviante e in violazione del GDPR, sempre secondo la CNIL, anche la procedura guidata per la configurazione iniziale di un nuovo smartphone o tablet Android. L’Autorità francese ritiene, infatti, che l’utente venga spinto a pensare di avere una migliore esperienza d’uso del dispositivo e del sistema operativo se crea un account Google. La procedura di configurazione iniziale dello smartphone o del tablet dovrebbe invece essere del tutto separata da quella necessaria alla creazione dell’account.
Un provvedimento che “peserà” in tutta Europa: la lezione per le aziende italiane
Il provvedimento sanzionatorio dell’Autorità francese accenderà sicuramente numerose discussioni tra gli addetti ai lavori, anche perché avrà ripercussioni in tutta Europa in quanto ribadisce la natura sovranazionale del GDPR.
È bene, infatti, che tutte le aziende italiane che trattano dati personali di utenti residenti nei diversi Stati membri (pensiamo, ad esempio, ai fornitori di servizi, negozi online, o alle imprese che hanno scambi commerciali rilevanti con altri Paesi) prestino la massima attenzione alle disposizioni previste dal GDPR.
Il caso CNIL/Google insegna, infatti, che eventuali violazioni del Regolamento europeo non verranno valutate esclusivamente dal nostro Garante privacy. I cittadini stranieri interessati da un trattamento dati effettuato da un’impresa italiana potrebbero richiedere l’intervento dell’Autorità Garante del proprio Paese oppure dei giudici nazionali per una richiesta di risarcimento danni.
A tal proposito, però, è interessante il commento sulla faccenda da un punto di vista legale che fa Guglielmo Troiano, avvocato presso P4I – Partners4Innovation: “sarei falso se dicessi che sono particolarmente interessato e sorpreso dal provvedimento del Garante francese a carico di Google. Non è accaduto nulla di particolarmente interessante sul piano giuridico, almeno non ancora, perché il provvedimento non prende le mosse da un caso concreto, cioè uno specifico caso di trattamento illecito e non conforme posto in essere da Google ai danni degli utenti dei suoi servizi. Due note associazioni (NOYB, None Of Your Business e LQDN, La Quadrature Du Net) hanno sollevato dubbi “teorici” sulla non conformità di Google al GDPR: mancanza di sufficienti informazioni verso gli utenti (nella informativa), corretta individuazione della base giuridica dei trattamenti e non conformità nella raccolta del consenso. È solo l’inizio, ed è presto per condannare. Il provvedimento sarà senz’altro impugnato e non è detto che le tesi del CNIL saranno avvallate dal Consiglio di Stato”.
Dal punto di vista tecnico, invece, è Diego Padovan, Data Protection Manager e Amministratore DPO Compliance Consulting, a suggerire “un’importante lezione da imparare nella vicenda Google-CNIL: mai sottovalutare la gestione della trasparenza da parte delle aziende nei confronti dei propri clienti/utenti. Il GDPR punta alla sostanza e non ai formalismi: ciò significa che l’aderenza all’art.13 o 14 del GDPR si traduce in poche, chiare e bilanciate informazioni da fornire agli interessati e un grande lavoro di conformità e accountability in loro sostegno”.
“Bilanciare le informazioni equivale a rispondere ai pochi punti richiesti dagli Articoli del GDPR sulla trasparenza verso gli utenti in modo diretto, utilizzando con parsimonia il multi-layer approach (come per strumenti quali i cookie), così come un linguaggio eccessivamente user-friendly o giuridico, evitando ad ogni costo pagine e pagine di informazioni o tecnicismi: il rischio è la non-informazione per l’utente”, è l’interessante appunto di Padovan. Il cui importante consiglio “per le aziende che offrono molti servizi, che si susseguono nel tempo o che utilizzano diverse tecnologie è quello di non scordare mai uno dei principi base del GDPR: la limitazione della finalità, per cui i dati degli interessati sono trattati per finalità specifiche e non generiche, e ciò deve risultare chiaro all’interessato, evitando frasi fumose, che non danno via libera ad alcun trattamento attuabile dall’azienda. Vi è sempre un rapporto 1:1 tra finalità dichiarata del trattamento e trattamento effettuato dall’azienda. Il tempo, la tecnologia e altri fattori possono indebolire tale rapporto, che deve essere costantemente monitorato, pena l’invalidità delle operazione di trattamento e rischio sanzione”.
“Massima attenzione”, continua Padovan, “agli strumenti automatizzati in circolazione per produrre privacy policy: sono strumenti statici, precostituiti, e non garantiscono grandi livelli di personalizzazione, fornendo lo stesso processo di autoanalisi ad aziende di diversa natura. Inoltre la responsabilità non è mai dello strumento a pochi euro a disposizione ma è in capo al titolare del trattamento che è obbligato comunque all’interpretazione della norma (GDPR) in funzione dei prodotti e servizi erogati e venduti all’utente e interessato. L’accountability si traduce in un semplice messaggio: ognuno è responsabile di ciò che dichiara ed è tenuto a dimostrarlo, prima di tutto informando adeguatamente il proprio cliente/interessato”.
Ma qual è la situazione delle imprese italiane in merito all’adeguamento al Regolamento europeo?
Secondo Ryan Kalember, SVP Cybersecurity Strategy di Proofpoint, “la multa GDPR comminata a Google rappresenta una lezione importante, anche per le altre aziende che osservano la crisi da lontano. Avendo ricevuto la sanzione più elevata dall’entrata in vigore del GDPR, Google costituisce oggi l’esempio di ciò che potrebbe accadere in caso di non-conformità. In un mondo in cui la privacy è al primo posto, le imprese devono adottare una strategia di compliance people-centric che può solo partire dall’ottenere visibilità su dati altamente regolamentati e sui sistemi che li elaborano, e identificare chi all’interno dell’organizzazione ha accesso a quei dati”.
“Molte aziende”, continua Kalember, “non sono ancora certe che la loro strategia di conformità al GDPR sia adeguata al 100%, ma quanto accaduto evidenzia che sono ormai molto lontani i giorni in cui la privacy poteva essere considerata una questione di competenza solamente IT o legata alla compliance: l’entità di questa sanzione sottolinea chiaramente come si tratti di un problema di business. E chi si occupa professionalmente di conformità ora dispone di un caso d’uso da portare al consiglio d’amministrazione per ottenere i fondi e le risorse necessari per conformarsi al GDPR nel caso non lo abbiano già fatto”.
