Si è conclusa con un provvedimento prescrittivo, l'istruttoria avviata dal Garante della privacy lo scorso anno a seguito delle modifiche apportate da Google alla propria privacy policy.

A seguito del provvedimento, il primo in Europa, il colosso di Mountain View dovrà adottare determinate misure per garantire la conformità alla legge. Oltre all'impegno della società di unificare in unico documento le diverse regole di gestione dei dati relativi alle funzionalità offerte (Gmail, GooglePlus, Youtube, Analytics, ecc.) e di adoperarsi per rendere la propria privacy policy più conforme alle norme, il Garante ha prescritto a Google particolari misure finalizzate ad assicurare maggiore tutela agli utenti italiani, in ordine ai profili critici rilevati sull'inadeguata informativa, la mancata richiesta di consenso per finalità di profilazione e gli incerti tempi di conservazione dei dati.

In particolare, l'Authority ha prescritto a Google l'adozione di un sistema di informativa strutturato su più livelli che fornisca sia l'indicazione dei trattamenti che dei dati oggetto degli stessi, oltre all'indirizzo presso il quale rivolgersi per esercitare i propri diritti e le specifiche sui singoli servizi offerti. Ma soprattutto, dovrà essere spiegato chiaramente che i dati verranno utilizzati per fini commerciali e specificate le tecniche di raccolta, semplici (come i cookie) o sofisticate (come i fingerprinting che archiviano direttamente i dati presso i server della società).

Quanto all'utilizzo dei dati degli utenti, ai fini di profilazione e pubblicità personalizzata, d'ora in avanti Google non potrà limitarsi a considerare la semplice fruizione del servizio come accettazione incondizionata delle regole sul trattamento dei dati personali, ma dovrà acquisire il previo consenso degli interessati.

Dovranno, inoltre, essere definiti tempi certi di conservazione dei dati sulla base delle norme del Codice della Privacy, sia per quelli attivi sia per quelli archiviati su sistemi di backup, mentre le richieste di cancellazioni (degli account) dovranno essere soddisfatte al massimo entro sei mesi (ridotti a due se i dati sono su sistemi "attivi").

Nessuna prescrizione da parte del Garante, invece, per il diritto all'oblio, per il quale si resta in attesa degli sviluppi applicativi della famosa sentenza della corte di giustizia europea del 13 maggio scorso (causa C-131/12).

In merito ai tempi, infine, Mountain View avrà 18 mesi per adeguarsi alle prescrizioni dell'Authority. Entro fine settembre, inoltre, dovrà sottoporre un protocollo di verifica che, una volta sottoscritto, diventerà vincolante quanto ai termini e alle modalità delle misure nello stesso contenute. 


Altri articoli che potrebbero interessarti:
In evidenza oggi: