La sanzione da 50 milioni di euro emessa dal Garante per la privacy francese, il CNIL, nei confronti di Google per violazione degli obblighi GDPR potrebbe comportare un cambiamento sostanziale nell’approccio alla privacy.
Il CNIL aveva iniziato un’indagine su Google a seguito di due reclami depositati nei giorni immediatamente successivi al 25 maggio 2018 da due associazioni dei consumatori con riferimento al trattamento dei dati nell’ambito degli annunci personalizzati offerti da Google.
A seguito dei reclami, il CNIL ha esaminato sia i documenti in materia privacy pubblicati da Google che la procedura di navigazione che gli utenti devono fare per configurare un dispositivo mobile Android e ha contestato a Google la mancanza di trasparenza nelle informazioni fornite agli utenti e l’invalidità del consenso prestato dagli utenti stessi.
Secondo il CNIL, Google fornisce gran parte delle informazioni richieste dal GDPR, ma il modo in cui venivano presentante agli utenti impediva agli stessi di comprendere come i loro dati personali venissero trattati. In alcuni casi, gli utenti dovevano eseguire 5/6 azioni per avere accesso alle informazioni richieste dal GDPR sulle attività di trattamento dei dati personali e le informazioni non erano sempre chiare e complete. I tutto reso ancora più complesso per il fatto che Google offre una serie di servizi (ad esempio il motore di ricerca, YouTube, Google Home, Google Maps, Google Play, Google Foto) che raccolgono dati a fini di personalizzazione degli annunci. Allo stesso modo, il consenso non era ritenuto valido perché non era separato per ciascuna finalità e perché Google dava la possibilità di fornire consensi separati solo cliccando sul bottone “More Options” nel quale i consensi risultavano già “ticcati”.
La sanzione emessa nei confronti di Google tiene conto della continuazione dell’attività contestata e del numero di utenti che sono stato oggetto della condotta contestata. Tuttavia, nonostante la sanzione sembri elevata, è comunque contenuta se consideriamo che poteva raggiungere un importo superiore ai 4,4 miliardi di dollari, qualora avessero tenuto conto del 4% del fatturato del gruppo Alphabet nel 2017. È in ogni caso significativa, poiché rappresenta la più elevata sanzione mai emessa in Europa per la violazione della normativa, di gran lunga superiore della sanzione di 1 milione di euro emessa dal Garante italiano nei confronti sempre di Google nel 2014.