Molti ricorderanno gli scenari apocalittici e la montagna di spam email utilissime che hanno invaso Internet intorno al 25 maggio scorso. Era il fatidico momento in cui il GDPR veniva finalmente applicato, dopo due anni di tempo per adeguarsi. Momento in cui la maggior parte delle compagnie si è reso conto dell'esistenza di questa cosa strana chiamata privacy, seppure fosse tra di noi almeno dal 1995. A spaventare di più le società operanti praticamente in ogni settore, erano le sanzioni previste: fino a 20 milioni di Euro o il 4% del fatturato mondiale annuo, se superiore. In poche parole, un sacco di soldi, come poche volte se ne vedono in sanzioni per i privati.

In ogni caso, dopo un mese circa in cui si aspettava l'apocalisse dietro l'angolo, il GDPR ha smesso di essere di moda e i libretti degli assegni sono stati accuratamente riposti del cassetto perché insomma, tutti erano sopravvissuti quasi indenni alla fine. Ovviamente, così non è. Il 21 gennaio 2019 infatti, il CNIL (Commission Nationale Informatique & Libertés - l'autorità garante dei dati personali francese), ha pubblicato un provvedimento contro Google LLC contestando la non adeguatezza delle sue pratiche con il Regolamento e staccando una multa da ben 50 milioni di Euro. Una decisione che ha decisamente sorpreso i più, rappresentato una doccia fredda per chi si era rilassato dopo lo scorso maggio, ma comunque un'azione aspettata da chi ha seguito più da vicino i lavori del CNIL negli ultimi mesi.

Il reclamo delle associazioni

Le indagini nell'operato di Google nascono dalle denunce presentate pochi giorni dopo il fatidico 25 maggio 2018 da due associazioni, NOYB, fondata da Max Schrems, attivista già noto per aver collezionato sentenze della Corte di Giustizia Europea fondamentali per la difesa della privacy e la ONG francese La Quadrature du Net, da molto tempo attiva per la difesa dei diritti online. Tra le novità del GDPR infatti, c'è la possibilità per le associazioni non governative di rappresentare gli interessati nella tutela dei propri diritti (art. 80). Gli esposti – presentati tra l'altro anche contro Facebook, Instagram e Whatsapp davanti a vari garanti europei – lamentavano in particolare le modalità aggressive e poco trasparenti con cui Google gestisce i dati personali dei propri utenti, anche ma non limitatamente in relazione alla creazione e utilizzo degli account per gli smartphone Android.

Le denunce hanno quindi spinto il CNIL a effettuare indagini online a partire dallo scorso settembre, mettendo alla prova il percorso di registrazione di un account Google e il set up di un nuovo dispositivo; hanno seguito il deposito di rito delle memorie e contro memorie degli interessati in novembre e dicembre, fino ad arrivare alla pubblicazione della decisione il 21 gennaio. Per gli addetti ai lavori, il garante francese tocca anche un importante punto procedurale sulla competenza dell'autorità locale e più specificatamente sul meccanismo del one-stop-shop, dove una società operante su più paesi europei sceglie per sé il garante a cui fare riferimento. Spoiler: non è così semplice e l'ultima parola l'hanno sempre le autorità.

Cosa non va con Google

Cercando di rendere interessante e non noiosa una sentenza a tema privacy, sono due le contestazioni principali che il CNIL muove contro Google. La prima, la mancanza di trasparenza e di completezza delle informazioni fornite agli utenti (artt. 12 e 13) e successivamente la mancanza di una valida base di liceità del trattamento (art. 6). Questi sono due principi cardine del GDPR, tanto che per la loro violazione è previsto lo scaglione più alto delle sanzioni.

Partendo dal primo punto, il Regolamento (e le indicazioni integrative delle varie istituzioni europee) stabiliscono un set di informazioni che il titolare del trattamento dei dati personali deve dare agli interessati prima di raccogliere i dati stessi. Questi dettagli devono essere comunicati in modo accessibile e chiaro; più filosoficamente, l'attuale legislazione si basa sul principio di "Privacy Self-Management", ossia della capacità dell'interessato di prendere una decisione in merito alla condivisione dei propri dati personali, quando correttamente informato sulle conseguenze di questa azione. Principio in parte contestato dal suo stesso autore, Solove, ma generalmente ancora accettato. Le lamentele del CNIL si indirizzano al processo che Google ha disegnato per la creazione di un nuovo account che in pratica seppellisce le informazioni necessarie sotto svariati link e documenti, di fatto inaccessibili all'utente medio.

Il GDPR prevede all'articolo 12 infatti che l'informativa sia data all'interessato in "forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro". Il garante invece porta degli esempi in cui, per raggiungere l'informazione cercata, il nuovo utente deve seguire una caccia al tesoro tra le policy proposte dall'azienda americana. Per esempio, per scoprire quali dati personali vengono usati per la personalizzazione degli annunci pubblicitari (e il fatto stesso che ciò avvenga), sono necessarie 5 azioni (tra click e apertura di documenti); per scoprire di più sulla geolocalizzazione, 6 azioni; per scoprire il tempo di conservazione dei dati, 4 azioni. Conclude il CNIL sul punto

"la moltiplicazione delle azioni necessarie, in combinazione con la scelta di titoli non escpliciti, non soddisfa affatto l'esigenza di trasparenza e accessibilità dell'informaizone"

Proseguendo nell'analisi, il garante riporta la grave mancanza – o eccessivia generalità – delle indicazioni che devono essere fornite a norma dell'articolo 13. Le descrizioni delle finalità del trattamento sono "vaghe e generiche", e non permettono all'utente di apprezzarne la sua estensione, la descrizione dei dati raccolti è imprecisa e incompleta, la base giuridica di liceità del trattamento è altrettanto vaga e confusa. Inoltre, molto spesso queste (insufficienti) informazioni sono fornite da Google tramite l'apposita Dashboard sulla Privacy, che è però disponibile solo successivamente alla registrazione. Al contrario, tutto deve essere comunicato all'utente prima di cominciare a raccogliere dati, altrimenti come si può prendere una decisione?

Sul secondo punto, ossia la mancanza di una valida base di liceità del trattamento (art. 6) per il trattamendo dei dati personali ai fini pubblicitari, il CNIL indica che il consenso ottenuto dagli utenti non è valido per due motivi. Per prima cosa, è dato da interessati non correttamente informati: di nuovo, le informazioni riguardo questa finalità sono "diluite in vari documenti e non permettono all'utente di rendersi conto della vastità". Per esempio, è impossibile rendersi conto di quanti servizi sono coinvolti (Google search, You tube, Google home, Google maps, Playstore, Google pictures…) e della quantità di dati processati. Il secondo motivo di invalidità è rappresentato dal fatto che il consenso non è specifico e non ambiguo. In parole povere, il CNIL contesta l'utilizzo di un solo bottone "Accetto" con cui l'utente dà l'ok a una serie disparata di attività massicce e intrusive, potendo solo successivamente scegliere di escluderne alcune (meccanismo opt-out). Su questi punti, il garante non fa altro che applicare le innumerevoli linee guida e indicazioni fornite da due anni a questa parte dalle istituzioni europee.

Cosa rappresenta questa multa

Per prima cosa, che il GDPR è più vivo che mai; ma anche che le sanzioni sono reali le autorità non hanno paura di usarle. In questo caso infatti, la multa non è simbolica ma è stata data tenendo conto del più alto scaglione, ossia del 4% del fatturato mondiale annuo - facendo i conti (con 96 miliardi di fatturato nel 2017), sarebbero comunque potuti arrivare ad una cifra sull'ordine dei miliardi. Chi si aspettava un trattamento più di favore, specie nel primo anno di applicazione, ne rimarrà deluso.

Il provvedimento ci dà anche altre indicazioni di carattere generale, sopratutto se analizzato insieme agli ultimi provvedimenti del CNIL. Negli scorsi mesi, sono stati presi nel mirino dell'autorità svariate compagnie che gestiscono pubblicità (più o meno targetizzate) online come Vectaury, Fidzup, Teemo e Singlespot, lamentando una generica violazione dell'obbligazione di trasparenza e della raccolta invalida del consenso. Insomma, il settore dell'ad tech è strettamente monitorato ed è l'obiettivo principale delle prime serie investigazioni dei garanti (sopratutto del CNIL, che si sta posizionando cone nuovo capofila europeo dopo "l'abbandono" dell'ICO a causa di Brexit). Questo dovrebbe essere anche un segnale per tutti quelli che si affidano massicciamente a questi fornitori per il sostentamento economico (ehm ehm).

Ovviamente è sciocco non aspettarsi un appello e altri gradi di giudizio su questo provvedimento, che però nel frattempo ha dato moltissime risposte e indicazioni su come le correnti pratiche di mercato verranno giudicate dalle autorità di controllo. Inoltre, Google è solo il primo – e, probabilmente, il più "a norma" – dei bersagli indicati dalle associazioni nei loro esposti: possiamo aspettarci giudizi molto più severi sul gruppo Facebook - Instagram - Whatsapp, che notoriamente non ha dato del suo meglio per essere a norma con il GDPR.

Immagine in anteprima via PixaBay