50 milioni di euro: a tanto ammonta la prima sanzione relativa a un’infrazione di quanto previsto dal GDPR stabilita in Francia da CNIL (Commission Nationale de l’Informatique et des Libertés), l’ente transalpino che si occupa della tutela di dati personali e privacy. A corrisponderla dovrà essere Google.
GDPR: CNIL sanzione Google per Android
Il dito è puntato nei confronti del sistema operativo Android, più nel dettaglio delle modalità con le quali la piattaforma guida l’utente attraverso la configurazione dei nuovi dispositivi mobile acquistati, ritenute non conformi per quanto concerne trasparenza e ottenimento del consenso. L’autorità ha trovato fondata la denuncia mossa da due organizzazioni non profit locali (None of Your Business e La Quadrature du Net) nel maggio scorso, proprio quando la nuova regolamentazione europea sul trattamento delle informazioni è entrata in vigore. È stato portato all’attenzione di CNIL anche l’operato di Facebook, per il quale però non è ancora stata presa una decisione.
Secondo CNIL, sebbene il quartier generale europeo di Google sia localizzato a Dublino, la divisione irlandese del gruppo non avrebbe alcun potere decisionale in merito al funzionamento di Android, con la responsabilità che andrebbe attribuita alla sede centrale di Mountain View. Per questo motivo l’autorità nazionale francese ha ritenuto di doversi occupare direttamente della questione.
Trasparenza
In merito alla trasparenza, l’ente francese ritiene poco chiara l’informativa sottoposta all’utente quando si trova a configurare un nuovo smartphone o tablet, fatta di testi e documenti (che in verità non tutti consultano) strutturati in modo non ottimale. Riportiamo di seguito in forma tradotta cosa non va.
Informazioni essenziali come le finalità dell’elaborazione dei dati, il periodo in cui vengono immagazzinati e le categorie dei dati personali utilizzati per la personalizzazione delle inserzioni pubblicitarie sono eccessivamente disseminate all’interno di diversi documenti, con pulsanti e link che richiedono un click per l’accesso a informazioni complementari.
In altre parole, per aver un quadro completo delle modalità con le quali Google avrà accesso ai dati personali bisogna destreggiarsi tra più documenti, in modo proattivo, quando le informazioni essenziali potrebbero essere rese più facilmente consultabili. Per capire come i dati siano impiegati al fine di personalizzare l’advertising, ad esempio, servono cinque o sei passaggi. Ancora, CNIL ritiene la terminologia utilizzata da bigG poco comprensibile, volutamente troppo complessa.
Consenso
Il dito è puntato anche nei confronti del percorso guidato che porta a completare la configurazione iniziale. Secondo l’autorità francese, il messaggio passato è che l’esperienza offerta dal dispositivo e dalla piattaforma sarà peggiore se non si dispone di un account Google (e considerata la profonda integrazione tra Android e i servizi di bigG non ce la sentiamo di affermare il contrario), forzando l’utente a crearne uno se non ne è in possesso. Una dinamica ritenuta in violazione di quanto previsto dal GDPR. Per CNIL, il processo di setup di smartphone e tablet dovrebbe essere separato da quello finalizzato alla creazione di un account.
Ancora, se si opta per l’apertura di un nuovo account, viene mostrata una serie di caselle da spuntare (o meno) la cui funzione per l’autorità francese non è esplicitata in modo sufficientemente chiaro. Ad esempio quella che chiede il consenso per la personalizzazione delle inserzioni pubblicitarie non specifica come il parametro non andrà ad applicarsi solo al dispositivo in questione, ma sarà esteso a tutti i servizi del gruppo, compresi YouTube, il motore di ricerca ecc.
Alcune caselle, come quella appena citata per l’advertising personalizzato, sarebbero inoltre selezionate di default, richiedendo all’utente un’azione aggiuntiva (passando dal link “Più opzioni”) se desidera deselezionarle. Infine, viene ritenuto non conforme al GDPR il messaggio che recita “Sono d’accordo con l’elaborazione delle mie informazioni come descritto sopra e meglio spiegato nella policy sulla privacy”: la normativa europea entrata in vigore lo scorso anno vieta l’ottenimento del consenso mediante una dinamica di questo tipo.
Qui sotto le parole di Max Schrems, numero uno dell’organizzazione non profit None of Your Business, una di quelle che hanno portato CNIL a esaminare la questione.
Siamo felici che per la prima volta un’autorità europea per la protezione dei dati abbia fatto ricorso alle possibilità del GDPR per punire chiare violazioni della normativa. In seguito all’introduzione del GDPR abbiamo scoperto che grandi aziende come Google semplicemente “interpretano la legge in modo differente” e spesso hanno recepito la normativa in modo superficiale per quanto concerne i loro prodotti. È importante per le autorità rendere chiaro che dichiararsi semplicemente conformi non è sufficiente.
La replica di Google
La replica del gruppo di Mountain View è stata affidata da un portavoce alla redazione del sito TechCrunch. La riportiamo in chiusura in forma tradotta.
Le persone si aspettano da noi standard elevati per quanto riguarda trasparenza e controllo. Siamo profondamente impegnati al fine di soddisfare queste aspettative e i requisiti per l’ottenimento del consenso previsti dal GDPR. Stiamo studiando la decisione per stabilire i nostri prossimi passi.