ROMA – “Spiati”, sì ma nel modo giusto. Si potrebbe riassumere così la decisione presa dal Garante della privacy in merito ai servizi e al motore di ricerca di Google in Italia. Gli utenti che li useranno saranno più tutelati in quanto il Garante ha stabilito che il colosso di Mountain View non potrà utilizzare i loro dati a fini di profilazione se non ne avrà prima ottenuto il consenso e dovrà dichiarare esplicitamente di svolgere questa attività a fini commerciali. Si è conclusa con un provvedimento prescrittivo l’istruttoria avviata lo scorso anno dal Garante italiano a seguito dei cambiamenti apportati dalla società alla propria privacy policy.
Si tratta del primo provvedimento in Europa che – nell’ambito di un’azione coordinata con le altre Autorità di protezione dei dati europee ed a seguito della pronuncia della Corte di Giustizia europea sul diritto all’oblio – non si limita a richiamare al rispetto dei principi della disciplina privacy, ma indica nel concreto le possibili misure che Google deve adottare per assicurare la conformità alla legge. La società americana – si spiega in una nota – ha unificato in un unico documento le diverse regole di gestione dei dati relative alle numerosissime funzionalità offerte procedendo pertanto all’integrazione e interoperabilità anche dei diversi prodotti e dunque all’incrocio dei dati degli utenti relativi all’utilizzo di più servizi.
Google dovrà spiegare chiaramente, nell’informativa generale, che i dati personali degli utenti sono monitorati e utilizzati, tra l’altro, a fini di profilazione per pubblicità mirata e che essi vengono raccolti anche con tecniche più sofisticate che non i semplici cookie, come ad esempio il fingerprinting. Quest’ultimo e’ un sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell’utente e, a differenza dei cookie che vengono istallati sul pc o nello smartphone, le archivia direttamente presso i server della società.
Il colosso americano avrà 18 mesi per adeguarsi alle prescrizioni del Garante. In quest’arco temporale, l’autorità’ del garante della privacy monitorerà l’implementazione delle misure prescritte. La società dovrà infatti sottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverrà vincolante.
Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (e sono quindi facilmente identificabili) siano soddisfatte al massimo entro due mesi se i dati sono conservati sui sistemi “attivi” ed entro sei mesi se i dati sono archiviati sui sistemi di back up. Per quanto riguarda, invece, le richieste di cancellazione che interessano l’utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell’Unione europea sul diritto all’oblio.