Il Garante privacy ha adottato – al termine di una procedura istruttoria avviata lo scorso anno – un provvedimento prescrittivo con il quale ha imposto al colosso di Mountain View una serie di adempimenti necessari per conformare la propria privacy policy alla normativa nazionale sulla protezione dei dati personali.
Si tratta del primo provvedimento in Europa che – nell’ambito di un’azione coordinata con le altre Autorità europee di protezione dei dati – non si limita a richiamare al rispetto dei principi della disciplina privacy, ma indica in concreto le misure da attuare.
Nel 2012 infatti, a seguito delle modifiche apportate da Google alla propria privacy policy, il Working Party 29, per il tramite della Commission Nationale de l’Informatique et des Libertés, aveva avviato un’indagine volta a verificare la liceità e la correttezza dei trattamenti effettuati dalla società e, appurata la presenza di diversi profili critici, aveva espresso una serie di raccomandazioni.
Google non ha però seguito le raccomandazioni del WP29 che ha pertanto deciso di coinvolgere le Autorità garanti di ciascun Stato membro.
Tra gli adempimenti prescritti dal Garante italiano, si segnala la richiesta di un’informativa più dettagliata, strutturata su più livelli, in modo da fornire in un primo livello le informazioni più rilevanti per l’utenza e, in un secondo livello le informazioni più specifiche con riferimento ai singoli trattamenti.
La società americana dovrà ottenere il previo consenso degli utenti – senza considerare il semplice utilizzo del servizio come accettazione incondizionata – per il trattamento dei dati personali finalizzato alla profilazione e alla pubblicità comportamentale personalizzata.
Non solo, Google dovrà definire con esattezza i tempi di conservazione dei dati sulla base delle norme del Codice della privacy, sia per quanto riguarda i dati mantenuti sui sistemi c.d. “attivi”, sia per quelli successivamente archiviati sui sistemi di “back up”.
Infine per quanto riguarda la cancellazione dei dati personali il Garante ha previsto che Google dia attuazione alle richieste provenienti dagli utenti che dispongono di un account entro 2 mesi dalla loro ricezione. Il termine è di sei mesi nel caso in cui i dati personali siano conservati sui sistemi di back up.
Il colosso di Mountain View dovrà adeguarsi alle prescrizioni contenute nel provvedimento de quo nei prossimi 18 mesi.