In questi giorni, la società Google ha dovuto interagire con l'Unione Europea, nelle particolari vesti del gruppo art. 29 Working Party, con particolare riferimento alla sua nuova policy sulla privacy, la cui "entrata in vigore" è prevista per il prossimo marzo. Al riguardo, Google pare aver cercato - pur progressivamente e con qualche difficoltà - adeguare tale politica acquisendo e tenendo conto degli spunti utili emersi già negli Stati Uniti e nei Paesi UE.
Ma vediamo più nel dettaglio di seguito.
Il nuovo testo privacy di Google
Andando ad analizzare l’attuale testo della privacy fornito da Google, si evincono, prima facie, anzitutto i due principali obiettivi perseguiti dalla nuova privacy policy di Google:
1) trasparenza e semplificazione delle proprie regole privacy;
2) miglioramento dell’esperienza già maturata rispetto ai vari servizi forniti dal colosso americano, in un’ottica evidentemente pragmatica e inevitabilmente economica,poiché l’obiettivo in vero sotteso è lo sviluppo della propria operatività sul mercato.
Ora passiamo però a considerare le finalità del trattamento - o meglio dei trattamenti dati ! - posti in essere da Google.
Le finalità del trattamento
Nel nuovo testo in questione ritroviamo che i dati personali raccolti dai suoi vari servizi sono utilizzati “per offrire, gestire, proteggere e migliorare i servizi, per svilupparne di nuovi e per proteggere Google medesima e i suoi utenti.”
Ma il medesimo testo precisa che queste informazioni sono utilizzate anche “anche per offrire contenuti personalizzati, ad esempio per visualizzare risultati di ricerca e annunci più pertinenti.”
Ma questo tipo di finalità sottintende una attività di profilazione degli utenti e quella correlata della pubblicità mirata, con tutte le conseguenze problematiche, del caso.
Conta sottolineare che Google tende a unificare l’erogazione dei propri servizi sotto l’aspetto del godimento dei medesimi da parte degli utenti, in particolare utilizzando il nome specificato dall’utente per il suo profilo Google anche per tutti i servizi abbinati a un account Google.
Va la pena evidenziare anche che la società americana intende anche rappresentare in modo uniforme l’utente rispetto a tutti i i suoi servizi di cui il medesimo utente si avvalga.
Ciò con la possibile unificazione della posizione giuridica di “interessato” - ai sensi dell’art. 4 Codice – in capo all’utente di Google che sia dotato anche di un relativo profilo.
Ma anche con il concreto rischio di costruire profili degli utenti sempre più dettagliati e invasivi per l’identità personale e la riservatezza dei medesimi.
Va evidenziato, tuttavia, che Google tratta le informazioni personali sui suoi server in diversi Paesi sparsi in tutto il mondo e soprattutto tratta dati personali su un server sito in un Paese diverso da quello in cui si trova l’utente, con l’evidente necessità, peraltro, di individuare la normativa applicabile in concreto, volta per volta.
Occorre soffermarsi sull’obiettivo manifestato da Google di garantire trasparenza riguardo ai dati che raccoglie in modo da consentire agli utenti di prendere decisioni informate e consapevoli sulla modalità e finalità di utilizzo di tali dati, nonché sui propri diritti.
Ad esempio, gli utenti possono esaminare e controllare alcuni tipi di dati collegati all’account Google, scegliere, e quindi selezionare, i soggetti, rectius gli account, con chi condividere informazioni, o anche “recuperare” propri dati da molti dei servizi offerti dal colosso americano.
È interessante anche considerare la facoltà per gli utenti di impostare il browser in modo da bloccare tutti i cookies di Google, compresi quelli associati ai servizi goduti. Ben tenendo a mente tuttavia che vari cookies son in realtà necessari per poter usufruire dei servizi in questione.
Dati condivisi sui servizi Google
Molti dei servizi consentono agli utenti di condividere informazioni con altri utenti fino a renderle pubbliche.
Ciò però nella necessaria consapevolezza che tali informazioni, una volta pubbliche, possono essere indicizzate dai motori di ricerca, compreso quello di Google, ma che la detta società offre anche appositi strumenti atti a garantire la non visualizzabilità temporanea o persino la rimozione di contenuti già immessi dagli utenti.
Google si preoccupa espressamente che gli utenti possano accedere ai loro dati personali, ed eventualmente aggiornarli rapidamente o eliminarli, fatta salva la necessità di conservazione per “legittime finalità commerciali o legali”.
È tuttavia indubbio il carattere ambiguo e indeterminato di tale formula, pur con le specifiche date dal testo informativo in questione, quali la tutela dei diritti o della sicurezza di Google.
Occorre esprimere riserva di giudizio, in attesa di singole concrete questioni, sulla dichiarazione di Google di voler respingere richieste degli utenti che Google definisce “irragionevolmente ripetitive”, mentre può comprendersi tale politica per quelle richieste che richiedano un impegno tecnico eccessivo, come lo sviluppo di un nuovo sistema eccessivamente complicato e costoso a tutela di dati personali non sensibili o che possano porre a rischio la privacy di altre persone.
Appare scontato, nonché indifferibile e assolutamente dovuto, l’impegno dichiarato dalla società americana di proteggere i dati personali “raccolti” dalla distruzione accidentale o dolosa.
Il riferimento evidente è ai casi di “data breach” di cui si occupa la direttiva UE n. 136/2009, solo in parte attuata all’interno degli ordinamenti nazionali e che ha già creato un gran vespaio sulla possibilità di coniugare tutela della privacy e libertà di impresa, e ancor prima corretto funzionamento dei servizi resi dagli operatori della società dell’informazione.
E soprattutto appare poco logico e chiaro il nesso fra tale impegno e la susseguente dichiarazione di Google che potrebbe decidere di non rimuovere i dati dai suoi sistemi di backup.
Per essere compatibile tale trattamento dati con la normativa nazionale e comunitaria occorrerà che Google adegui il periodo di conservazione in questione ai fondamentali principi di proporzionalità e stretta necessità del trattamento di cui all’art. 11 del Codice.
La comunicazione/cessione dei dati personali
È ora il caso di soffermarsi sul rilevante profilo della comunicazione/cessione dei dati personali raccolti da Google.
Ebbene quest’ultima dichiara di fornire dati personali a società, organizzazioni e persone ch fanno parte del gruppo Google, pur sulla base di non ben chiare istruzioni e nel rispetto delle proprie norme sulla privacy e di altre eventuali misure appropriate relative a riservatezza e sicurezza.
Google dichiara poi di comunicare i dati in questione anche al di fuori della propria sfera organizzativa, nei seguenti casi:
1) Quando vi sia il consenso dell’utente, con particolare riferimento alla condivisione di dati personali sensibili.
Qui rimane il dubbio se Google ritenga di non aver bisogno di acquisire il consenso per poter condividere dati personali che siano invece comuni (quali nome,cognome, età….)….
2) agli amministratori di dominio.
In vero, non desta particolari preoccupazioni invece la previsione secondo cui Google fornisce i dati degli utenti agli amministratori di dominio, come nel caso degli utenti Google Apps, sia per la presumibile - anche se da verificare in concreto - esperienza tecnica di tale tipo di soggetto e anche perché Google delimita espressamente i trattamenti del detto amministratore e fra questi include trattamenti apparentemente poco invasivi per la riservatezza degli utenti:
- la visualizzazione statistica relative alle applicazioni installate;
- il trattamento dei dati dell’account dell’utente per rispettare una legge o una norma vigente, o una richiesta governativa applicabile.
Procedure di audit
Non è del tutto rassicurante l’affermazione di Google che procede alla verifica regolare del rispetto delle norme sulla privacy e al rispetto di diversi “accordi di autoregolamentazione”, evidentemente autoreferenziali, collegati alle best practises in atto, e posti al di fuori di una rigida attività di controllo e verifica da parte delle Authorities nazionali.
Se non altro perché non è facilmente individuabile il substrato di regole e principi sicuramente applicabili a una società che ha comunque sede legale negli Stati Uniti, e quindi in territorio extracomunitario (v. art. 5 del Codice italiano).
Del resto non è sempre agevolmente individuabile un sicuro criterio di collegamento fra l’ordinamento comunitario e i vari servizi di Google, tale da radicare la competenza del primo.
Mentre presenta un valore sicuramente rilevante e significativo la dichiarazione di impegno “a non ridurre i diritti degli utenti previsti dalle presenti Norme sulla privacy senza il loro esplicito consenso”.
Ciò in chiave di garanzia di rispetto dei principi fondamentali del trattamento dati come quelli di finalità, proporzionalità e necessità del medesimo trattamento, per ciascun tipo di operazione svolta.
Iscriviti a:
Commenti sul post (Atom)
0 commenti:
Posta un commento