29 Gen La CNIL infligge sanzione di 50 milioni di euro a Google LLC per violazione del Regolamento UE 2016/679
Il Comitato ristretto della Commission Nationale de l’Informatique et des Libertés (CNIL) ha inflitto, con decisione del 21 gennaio 2019, una sanzione amministrativa pecuniaria di 50 milioni di euro nei confronti di Google LLC, per violazioni delle norme su trasparenza, base giuridica, consenso, previste dal Regolamento UE 2016/679 (RGPD).
La decisione ha mosso i passi dalla presentazione di reclami, in data 25 e 28 maggio 2018, da parte di due associazioni: None Of Your Business (NOYB) e La Quadrature du Net (LQDN), quest’ultima su mandato di circa diecimila interessati (9974, per la precisione), in applicazione dell’art. 80, paragrafo 1, del RGPD. I reclami hanno lamentato: il primo, la obbligatorietà dell’accettazione “in blocco” dei termini e condizioni di utilizzo dei servizi Google, senza la possibilità, per l’utente, di esprimere decisioni in maniera più chiara e specifica; il secondo, la mancata determinazione, da parte di Google, di una appropriata base giuridica per il trattamento dei dati personali degli utenti, al momento della creazione di un account per la fruizione dei molteplici servizi offerti sui dispositivi mobili con sistema operativo Android.
La CNIL ha dichiarato la propria competenza a svolgere attività ispettiva nei confronti di Google LLC, in assenza dell’applicazione del meccanismo dello “sportello unico” (one-stop shop, in inglese), poiché l’Autorità di Controllo irlandese, in cui Google ha la principale sede europea, non poteva avere, al momento della proposizione dei reclami, competenza a riguardo: Google Ireland Limited non avrebbe avuto potere decisionale sulla determinazione di mezzi e finalità del trattamento dei dati personali, in relazione ai servizi offerti nell’ambito della configurazione di un dispositivo mobile dotato di sistema operativo Android, e, pertanto, non essere considerata quale stabilimento principale, secondo la definizione di cui all’art. 4(16) del RGPD (in particolare, Google LLC non avrebbe ancora del tutto completato il trasferimento della responsabilità sul trattamento dei dati personali dei cittadini europei a Google Ireland Limited). Non applicandosi il meccanismo dello one-stop shop, la CNIL era competente per decidere sui reclami presentati dalle due associazioni e rivolti nei confronti di Google LLC.
L’attività ispettiva della CNIL, condotta dal mese di settembre 2018, ha accertato ed approfondito le violazioni operate da Google, analizzando nel dettaglio la conformità del processo di raccolta dei dati dell’utente da parte di Google, nelle operazioni di creazioni di un account su dispositivi mobili che utilizzano il sistema operativo Android.
Benché Google abbia sostenuto di raccogliere, di fatto, il consenso dell’utente al trattamento dei suoi dati personali per finalità di personalizzazione dei messaggi pubblicitari, la CNIL ha valutato come non conforme agli obblighi di trasparenza (art. 12 del RGPD), informativa (art. 13 del RGPD) e determinazione di idonea base giuridica (art. 6, paragrafo 1, del RGPD) il meccanismo di raccolta del dato da parte del titolare del trattamento.
La base giuridica dichiarata da Google – il legittimo interesse previsto dall’art. 6, paragrafo 1, lett. f), del RGPD – non sarebbe una base idonea per i molteplici trattamenti eseguiti dal titolare del trattamento, dovendosi questa, invece, a parere della CNIL rinvenire nel consenso, di cui all’art. 6, paragrafo 1, lett. a), del RGPD.
Ne deriva che Google non raccoglierebbe un consenso sufficientemente informato, specifico e inequivocabile, mancando, altresì, di fornire informazioni all’utente in maniera chiara ed in un linguaggio comprensibile. In particolare, benché presenti, le informazioni sulle modalità di personalizzazione degli annunci sono collocate in più di una sezione della pagina personale dell’utente, e non permetterebbero al medesimo di essere pienamente consapevole delle scelte che è possibile operare; inoltre, le modalità di personalizzazione offerte farebbero riferimento ad una pluralità di servizi (quali, ad esempio, il motore di ricerca Google, il servizio di posta elettronica GMail, YouTube, Google Home, Google Maps, Playstore, ecc…) e delle pluralità di combinazioni che ne possono scaturire con riferimento alle elaborazioni operate da questi.
Il consenso non sarebbe altresì inequivocabile, in quanto nella configurazione delle preferenze di personalizzazione degli annunci la scelta appare già preselezionata, né specifico e distinto per ogni finalità (personalizzazione degli annunci, riconoscimento vocale, ecc.…) in quanto è raccolto attraverso una accettazione unica e generale, al momento della richiesta di creazione dell’account.
Per questi motivi, la CNIL ha determinato una sanzione pecuniaria di 50 milioni di Euro nei confronti di Google LLC, applicando nei confronti di un titolare del trattamento, per la prima volta, l’art. 83, paragrafo 5, del RGPD, che prevede sanzioni fino al 4% del fatturato mondiale annuo per violazioni su obblighi quali, ad esempio, in materia di liceità del trattamento, consenso e trasparenza delle informazioni fornite agli utenti del trattamento dei propri dati personali. L’entità della sanzione e la disposizione relativa alla pubblicazione della decisione sono ritenute giustificate dalla CNIL in ragione della gravità delle violazioni con riferimento a principi ed obblighi essenziali del RGPD, del perdurare di tali violazioni (di fatto, la CNIL rileva che le modalità di trattamento oggetto di sanzione siano tutt’ora eseguite da Google LLC nell’offerta dei propri servizi) e della numerosità degli utenti coinvolti.
Di grande interesse sarà, nel corso delle prossime settimane, conoscere come altre Autorità di Controllo hanno trattato casi analoghi, ed in particolare, le modalità di determinazione dell’entità delle sanzioni amministrative pecuniarie ai sensi dei paragrafi 4 e 5 dell’art. 83 del RGPD, le questioni relative all’applicazione del meccanismo del one-stop shop, ed i reclami ai sensi dell’art. 80, paragrafo 1, del RGPD.
