Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Provvedimento prescrittivo nei confronti di Google Inc. sulla conformità al Codice dei trattamenti di dati personali effettuati ai sensi della nuova privacy policy - 10 luglio 2014 [3283078]

versione inglese

VEDI ANCHE: Google si adeguerà alle misure richieste dal Garante a tutela
della privacy
. Approvato dall'Autorità il protocollo di verifica - 20 febbraio 2015

 

[doc. web n. 3283078]

Provvedimento prescrittivo nei confronti di Google Inc. sulla conformità al Codice dei trattamenti di dati personali effettuati ai sensi della nuova privacy policy - 10 luglio 2014

Registro dei provvedimenti
n. 353 del 10 luglio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA la direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;

VISTA la direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice);

VISTO il decreto legislativo 28 maggio 2012, n. 69 "Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori" (pubblicato nella Gazzetta Ufficiale del 31 maggio 2012 n. 126);

VISTA la pronuncia della Corte di Giustizia, del 13 maggio 2014, nella causa C-131/12;

VISTO il provvedimento del Garante n. 229, dell'8 maggio 2014, relativo alla "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie", pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana del 3 Giugno 2014, serie Generale, n. 126, del 3 giugno 2014;

VISTA l'Opinion del Gruppo di lavoro per la tutela dei dati personali ex art. 29 (di seguito, WP 29) n. 05/2014 sull'impiego delle tecniche di anonimizzazione adottata il 10 aprile 2014 e disponibile al link http://ec.europa.eu/justice/dataprotection/article29/documentation/opinionrecommendation/files/2014/wp216_en.pdf;

VISTE l'Opinion del WP 29 n. 04/2012 in materia di Cookie Consent Exemption, adottata il 7 giugno 2012, ed il Working Document del medesimo WP 29 n. 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013 (disponibili rispettivamente ai link http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf e http://ec.europa.eu/justice/data-protection/article29/documentation/opinionrecommendation/files/2013/wp208_en.pdf);

VISTA l'Opinion del WP 29 n. 2/2006 sugli aspetti di tutela della vita privata inerenti ai servizi di screening dei messaggi di posta elettronica adottata il 21 febbraio 2006 e disponibile al link http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp118_it.pdf;

VISTA l'Opinion del WP 29 n. 10/2004 sulla maggiore armonizzazione della fornitura di informazioni adottata il 25 novembre 2004 e disponibile al link http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_it.pdf#h2-11;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. La società Google Inc. (di seguito, Google), fondata nel settembre 1998, ha sede legale in Mountain View, Stati Uniti e dispone di circa 70 sedi ed uffici in 40 paesi in tutto il mondo. Sul territorio nazionale, e segnatamente a Milano, Google, per il tramite della propria controllata Google International LLC, ha fissato la sede sociale della propria filiale Google Italy S.r.l. con unico socio, società costituita nel 2002 che gode di personalità giuridica autonoma e, anche in adempimento del "marketing and service agreement" sottoscritto con Google Inc., si occupa principalmente della promozione, commercializzazione e vendita di spazi pubblicitari generati sul sito web www.google.it e su tutte le altre pagine web in lingua italiana comunque riconducibili alla società. Con atto di nomina del 2010 Google Inc. ha designato Google Italy quale proprio rappresentante in Italia ai sensi e per gli effetti dell'art. 5 del Codice "in relazione all'applicazione del Codice Privacy e alla normativa sulla tutela dei dati personali".

Google offre ai propri utenti numerosissime funzionalità che variano dal motore di ricerca sul web (Google search) alla posta elettronica (Gmail), dalle mappe online (Street View su Google Maps) alla commercializzazione di spazi pubblicitari (DoubleClick), dal browser (Google Chrome) al social network (Google +), dalla gestione di pagamenti online (Google Wallet) al negozio virtuale per l'acquisto di applicazioni, musica, film, libri e riviste (Google Play), dalla ricerca, visualizzazione e diffusione di filmati (YouTube) a servizi di immagazzinamento, condivisione e revisione di testi (Google Docs e Google Drive), da software per la visualizzazione di immagini satellitari (Google Earth) o per la gestione di agende e calendari (Google calendar) a funzionalità per il controllo e la gestione dei profili dell'utente (Google Dashboard), a strumenti di analisi statistica e di monitoraggio dei visitatori di siti web (Google Analytics) e così via.

Si tratta, nella quasi totalità dei casi, di funzionalità offerte a titolo gratuito agli utenti finali, dal momento che il modello imprenditoriale della società si fonda innanzitutto sugli introiti ad essa derivanti dalla pubblicità.

Gli utenti di tali funzionalità possono essere distinti a seconda che dispongano di un account creato a seguito di una procedura di registrazione per l'accesso "autenticato" ai servizi di Google (cd. utenti autenticati), ovvero che utilizzino le medesime funzionalità in assenza di previa autenticazione (cd. utenti non autenticati).

Esiste poi un'ulteriore categoria di soggetti (cd. passive users) i cui dati, pur non utilizzando tali soggetti direttamente le funzionalità di Google, possono comunque essere acquisiti dalla società, come nel caso in cui navighino all'interno di siti di terze parti ove vengono installati, tra gli altri, anche i cookie di Google. Sul punto si tornerà più avanti.

Il 24 gennaio 2012 Google ha annunciato che dal successivo 1° marzo avrebbe modificato la propria privacy policy unificando in un solo documento le circa 70 diverse policy fino ad allora in vigore, ciascuna relativa alla fornitura di un diverso servizio. Le nuove regole si applicano, pertanto, all'insieme dei servizi offerti dalla società e alle diverse tipologie di utenti che ne usufruiscono.

Il 2 febbraio 2012 il WP 29, per il tramite della CNIL (Commission Nationale de l'informatique et des libertés), all'uopo delegata, ha comunicato a Google l'intenzione di condurre un'analisi della nuova privacy policy alla luce della richiamata direttiva 95/46/CE; e ciò con specifico riferimento alla valutazione della conformità dei trattamenti di dati effettuati dalla società alla disciplina in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Il 16 marzo 2012 la CNIL, nella richiamata qualità, ha inviato a Google un questionario, successivamente integrato da un'appendice, per il tramite del quale ha chiesto alla società di chiarire numerosi aspetti relativi ai trattamenti di dati effettuati; alle domande Google ha reso riscontro con diverse, successive comunicazioni.

Il WP 29 ha pertanto inviato, il 16 ottobre 2012, una comunicazione a firma di tutti i Presidenti delle Autorità di Protezione dei dati personali dell'Unione con la quale, sulla base dei menzionati riscontri, si contestava alla società l'omessa conformità dei trattamenti di dati effettuati ai requisiti imposti dalla disciplina europea in materia e la si invitava all'adozione delle misure idonee ad assicurare il rispetto di alcuni, specifici principi. Il medesimo WP 29 ha poi deliberato la costituzione di un'apposita task force di cui sono state chiamate a far parte alcune delle autorità di protezione dei dati personali degli stati membri facenti parte del gruppo, tra cui l'Italia.

Google non ha, tuttavia, dato seguito alle raccomandazioni espresse dal WP 29 nei termini da questo indicati.

Con comunicazione del 2 aprile 2013 il Garante, analogamente alle altre Autorità di protezione dei dati personali coinvolte, ha pertanto informato Google dell'avvio del procedimento amministrativo nei suoi confronti, teso ad un controllo, instaurato a seguito sia della ricezione di specifiche segnalazioni, sia delle risultanze dell'istruttoria condotta dal WP 29 (e, per esso, dalla CNIL), sulla liceità e la correttezza dei trattamenti effettuati dalla società ai sensi della nuova privacy policy.

Nel corso del procedimento l'Autorità ha rivolto diverse richieste di informazioni a Google, ha tenuto più audizioni con i suoi rappresentanti ricevendo svariati, ancorché parziali, riscontri ai quesiti posti. Anche in ragione delle specifiche istanze avanzate dalla società, motivate innanzitutto nella complessità necessaria per rendere risposta alle domande e nella volontà di adottare alcune modifiche ed implementazioni nei processi che presiedono e determinano le modalità di trattamento dei dati personali degli utenti, i termini del procedimento sono stati più volte prorogati a seguito di sospensione, per consentire l'acquisizione di tutti gli elementi necessari alla definizione del caso di specie.

Google ha adottato, nel corso della procedura, una serie di misure e di modifiche della propria policy per rendere i trattamenti di dati personali più conformi alle disposizioni di legge applicabili. Sono state infatti ad esempio migliorate, rispetto alla fase di avvio dell'investigazione del WP 29, l'informativa presente sul sito relativa all'utilizzo di cookie e di altri identificativi, sull'impiego di dati di localizzazione o dei numeri di carta di credito, sono stati introdotti esempi esplicativi anche per il tramite di pop-up, semplificazioni nei meccanismi di gestione di account multipli, migliorata la comprensione dell'utente con riguardo alla terminologia di carattere tecnico utilizzata etc.

All'esito dell'istruttoria il Garante, sulla base delle disposizioni del Codice, ha tuttavia identificato le seguenti criticità, tuttora riscontrabili nei trattamenti di dati personali effettuati dalla società:

A) modalità e contenuto dell'informativa resa agli interessati, anche in relazione all'esplicitazione delle diverse finalità e alle modalità del trattamento dei loro dati personali (cfr. Terms of service e privacy policy, vers. 31.3.14) (art. 13 del Codice);

B) omessa richiesta del consenso degli interessati per finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all'analisi e monitoraggio dei comportamenti dei visitatori di siti web, nonché mancato rispetto del diritto di opposizione degli interessati (artt. 7, 23, 24 e 122 del Codice).

La profilazione in questione ed il relativo inoltro di comunicazioni commerciali mirate ovvero l'analisi ed il monitoraggio dei comportamenti degli utenti vengono effettuati essenzialmente mediante:

a) trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail;

b) incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell'utente;

c) utilizzo di cookie e altri identificatori (credenziali di autenticazione, fingerprinting etc.), necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell'uso delle funzionalità offerte (pattern);

C)  tempo di conservazione dei dati (art. 11 del Codice).

2. Quanto al punto A) del paragrafo che precede, l'art. 13 del Codice stabilisce che "L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile…".

L'istruttoria condotta ha accertato che l'attuale informativa resa agli utenti, sebbene migliorata rispetto all'avvio del presente procedimento, non è ancora conforme alla menzionata disposizione di legge.

È di tutta evidenza che la preventiva consapevolezza degli utenti circa i possibili impieghi delle informazioni che li riguardano costituisce l'ineludibile presupposto per consentire agli interessati medesimi di esprimere o meno il proprio consenso ai trattamenti di dati come illustrati dalla società, a seguito della necessaria e personale valutazione sull'impatto che tali trattamenti potranno avere sul proprio diritto alla protezione dei dati personali.

La disciplina di legge richiede allora che la privacy policy predisposta da Google allo scopo di rendere l'informativa ai propri utenti sia facilmente accessibile, ad esempio con un solo click dalla pagina del dominio cui l'utente accede, formulata in modo chiaro, completo ed esaustivo.

Al pari è necessario che, a fronte di eventuali aggiornamenti o modifiche di tale documento, gli interessati siano posti nella condizione di comprendere e valutare i cambiamenti apportati, anche eventualmente mediante raffronto tra le diverse versioni della privacy policy susseguitesi nel tempo.

Nel rimodulare la propria privacy policy Google potrà conformarsi alle raccomandazioni espresse dal WP 29 nell'Opinion n. 10/2004 sulla maggiore armonizzazione della fornitura di informazioni, adottata il 25 novembre 2004, e strutturarla su più livelli, in quanto: "Le avvertenze multistrato possono contribuire a migliorare la qualità delle informazioni sulla tutela dei dati; ciascuno strato privilegia le informazioni necessarie alla persona per capire la propria posizione e assumere decisioni. In caso di spazio/tempo di comunicazione limitato, i formati multistrato possono migliorare la leggibilità delle avvertenze".

È bene tuttavia precisare che una tale architettura dovrebbe essere comunque configurata evitando un'eccessiva frammentazione in un numero troppo elevato di livelli, pena la dispersione delle informazioni rese che ovviamente ne comprometterebbe la fruibilità. Mantenendo, pertanto, la struttura dell'informativa su più livelli, il Garante ritiene opportuno che le informazioni siano distribuite in accordo con il seguente criterio:

- un primo livello all'interno del quale ospitare tutte le informazioni di carattere generale di maggiore importanza per gli utenti, relative tra l'altro ai trattamenti di dati personali effettuati, alle tipologie di dati personali oggetto di trattamento, anche per categorie (ad es. dati di localizzazione dei terminali degli utenti e dei punti di accesso wi-fi, indirizzi IP, MAC address, dati relativi a transazioni finanziarie e così via), alla qualifica di titolare che compete alla società ed ai suoi estremi identificativi, nonché l'indicazione del rappresentante designato nel territorio dello stato e di un indirizzo presso cui gli utenti possano esercitare in modo agevole ed in lingua italiana i propri diritti.

Con specifico riguardo alla sua qualifica di titolare, giova sottolineare che a seguito dell'acquisizione di Youtube da parte di Google avvenuta nell'ottobre 2006, anche tale specifica funzionalità che consente la condivisione e visualizzazione in rete di video (video sharing) è divenuta parte integrante del dominio Google. È emerso, tuttavia, che Google non informa con chiarezza gli utenti circa la propria identità di titolare dei dati personali raccolti anche attraverso l'uso di questo servizio e successivamente incrociati con quelli relativi ad altre funzionalità. Tale indicazione è pertanto necessario sia espressa in modo visibile sia nella privacy policy, sia nelle pagine di fruizione di YouTube.

In questo primo livello di informativa è inoltre necessario riportare i link alle specifiche policy delle singole funzionalità, ove esistenti, nonché almeno l'indicazione della finalità di profilazione, tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all'analisi e monitoraggio dei comportamenti dei visitatori di siti web, perseguita attraverso le diverse modalità di: trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell'utente, utilizzo di cookie e altri identificatori (credenziali di autenticazione, fingerprinting etc.), necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell'uso delle funzionalità offerte (pattern).

In linea con l'indicazione della menzionata finalità di profilazione e delle modalità attraverso cui la società la persegue, il primo livello dovrà inoltre indicare dettagliatamente le modalità di acquisizione del consenso al trattamento, ove necessario. Sul punto si tornerà nel prosieguo.

- Il secondo livello può essere invece destinato a contenere la policy relativa alle specifiche funzionalità ovvero diversi esempi per chiarire le modalità del trattamento delle informazioni personali. Tale livello è già esistente, al momento, per funzionalità selezionate (ad esempio Google Wallet, Chrome (OS), Books e Fiber), ma non per tutte. In questo secondo livello potrebbero anche essere archiviate le precedenti versioni della privacy policy, ancorché non più in vigore, l'indicazione dei rischi specifici che possono derivare per gli interessati dall'utilizzo dei servizi (ad esempio in caso di scelta di password non sufficientemente sicure poiché di agevole identificazione etc.) e tutte le altre indicazioni di dettaglio idonee a consentire il più efficace esercizio dei diritti riconosciuti agli utenti.

Le regole che determinano l'efficacia e la correttezza dell'informativa resa all'utente devono applicarsi in modo identico per ciascun tipo di terminale (mobile, tablet, desktop computer, dispositivi portatili e TV plug-in) e per ogni applicazione resa disponibile agli utenti.

3. Quanto al punto B) del paragrafo 1, è necessario preliminarmente richiamare il principio di carattere generale di cui all'art. 23 del Codice, ai sensi del quale "Il trattamento di dati personali da parte di privati … è ammesso solo con il consenso espresso dell'interessato"; inoltre tale consenso è valido solo "se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13". Il successivo art. 24 disciplina, poi, una serie di presupposti considerati equipollenti al consenso, al ricorrere dei quali il trattamento può essere pertanto effettuato anche in assenza di esso. Tra questi, a titolo esemplificativo, l'adempimento di obblighi di legge, l'esecuzione di obblighi contrattuali, il perseguimento di un legittimo interesse del titolare o di un terzo destinatario dei dati etc.

La portata generale di questo principio trova poi specificazione nella disposizione dell'art. 122 contenuto nella parte speciale del Codice, e segnatamente nel suo titolo X relativo alle comunicazioni elettroniche, capo I ("Servizi di comunicazione elettronica"), ai sensi del quale "L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio".

3.1.  Se si esamina la specifica attività di fornitura del servizio di posta elettronica per l'inoltro e la ricezione di messaggi veicolati attraverso Gmail, di cui alla lett. a), punto B), del paragrafo 1) che precede, nonché le informazioni rese al riguardo da Google anche nel corso dell'istruttoria, se ne trae che la società, al pari di tutti i maggiori provider, effettua attività di trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati che utilizzano tale servizio; e ciò per il conseguimento di diverse finalità. Alcune di esse, anche di carattere strettamente tecnico, sono direttamente riconducibili alla fornitura del servizio in questione secondo specifiche modalità, quali ad esempio l'impiego di filtri antispam, la rilevazione di virus, la possibilità, garantita all'utente, di effettuare ricerche testuali, utilizzare il controllo ortografico, far ricorso all'inoltro selettivo di messaggi o di risposte automatiche in caso di assenza, gestire le preferenze e la creazione di regole per l'assegnazione del messaggio a cartelle determinate in base al suo contenuto, fare uso di flag per marcare messaggi segnati da carattere di urgenza, consentire la lettura vocale dei messaggi per soggetti non vedenti, la conversione delle e-mail in entrata in messaggi di testo per telefoni cellulari etc.

In questo caso, il trattamento dei dati degli interessati per le richiamate finalità - effettuato, come ha precisato la società, in modo del tutto automatizzato e dunque senza alcun intervento umano -, come pure per salvaguardare la sicurezza dei servizi offerti all'utente, è, ai sensi delle direttive 95/46/CE e 2002/58/CE prima, e del Codice poi, sottratto all'obbligo della preventiva acquisizione del loro consenso, dal momento che rientra nell'ipotesi di deroga che attiene l'esecuzione di obblighi derivanti dal contratto di fornitura del servizio di posta elettronica.

Per il conseguimento, invece, di finalità ulteriori rispetto a quelle direttamente e strettamente inerenti la messa a disposizione della specifica funzionalità del servizio di posta elettronica, ed in particolare per la visualizzazione, da parte dell'utente autenticato, di messaggi di testo tesi alla fornitura di pubblicità comportamentale personalizzata, è invece necessario che Google provveda ad acquisire il preventivo ed informato consenso dei propri utenti.

A tale riguardo, si richiamano anche le conclusioni del WP 29 nel parere n. 2/2006 sugli aspetti della vita privata inerenti ai servizi di screening dei messaggi di posta elettronica, del 21 febbraio 2006 che, nell'indagare proprio il delicato bilanciamento tra le esigenze di tutela della riservatezza delle comunicazioni e quelle della fornitura di servizi connessi all'utilizzo della posta elettronica, ed in linea con il dichiarato obiettivo di "promuovere tecnologie che integrino i requisiti di protezione dei dati e tutela della privacy nella realizzazione di infrastrutture e sistemi di informazione, ivi comprese le apparecchiatura terminali", ha espressamente invitato gli operatori del settore a "progettare e mettere a punto sistemi rispettosi della vita privata, riducendo al minimo il trattamento di dati personali e limitandolo a quanto strettamente necessario e proporzionato alle finalità del trattamento". Nella medesima Opinion il Gruppo si è, peraltro, espresso anche in ordine alla possibilità di ricercare una linea di demarcazione tra le attività di trattamento dei dati effettuate per finalità di gestione del servizio o di sicurezza delle reti, che non necessitano di essere preventivamente autorizzate dall'interessato, e quelle tese invece al conseguimento di finalità ulteriori, stabilendo peraltro che quando il trattamento non trova legittimazione nella necessità del provider di salvaguardare la sicurezza del servizio, in forza dell'art. 5, paragrafo 1 della direttiva e-privacy, deve intendersi fatto divieto ai provider procedere in altre operazioni del trattamento "senza il consenso degli utenti".

Così delineato il quadro giuridico di riferimento se ne induce allora, con specifico riguardo alla presente istruttoria, che, per le attività di profilazione tese alla fornitura di pubblicità comportamentale mirata mediante trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, è necessario, lo si ribadisce, che Google ne acquisisca il preventivo ed informato consenso.

Con riferimento all'utilizzo della specifica funzionalità di posta elettronica, l'Autorità si riserva comunque l'adozione di ogni iniziativa ritenuta opportuna a tutela degli interessati.

3.2  Con riguardo a quanto indicato alla lettera b) del punto B) che precede, l'istruttoria in questione ha evidenziato che Google procede all'incrocio dei dati personali degli interessati anche relativi all'utilizzo di più funzionalità diverse tra quelle messe a disposizione (come dichiarato dalla società sia nella lettera del 20 aprile 2012 alla CNIL in replica al richiamato questionario inviatole, cfr. risposta alla domanda n. 30, sia nella privacy policy, da ultimo vers. 31.3.14, "Modalità di utilizzo dei dati raccolti") ed ha motivato questa specifica modalità di trattamento affermando: "Utilizziamo le informazioni raccolte da tutti i nostri servizi per offrirli, gestirli, proteggerli e migliorarli, per svilupparne di nuovi e per proteggere Google e i suoi utenti. Utilizziamo queste informazioni anche per offrire contenuti personalizzati, ad esempio per mostrare risultati di ricerca e annunci più pertinenti.

Potremmo unire le informazioni personali derivanti da un servizio a quelle (comprese le informazioni personali) di altri servizi Google"(1) .

Tale condotta, seppure in linea con la filosofia imprenditoriale della società la quale ha a più riprese affermato di voler offrire ai propri utenti un servizio unificato mediante l'integrazione e l'interoperabilità di diversi prodotti e funzionalità, anche al fine di fornire agli interessati una migliore esperienza di utilizzo, appunto, di tali funzionalità (cfr. comunicazione da Google al Garante del 6 dicembre 2013), non appare tuttavia conforme al richiamato dettato normativo, dal momento che le operazioni di trattamento tese alla profilazione dell'utente anche per scopi di analisi e di monitoraggio dei visitatori di siti web nonché all'invio di pubblicità personalizzata realizzate anche attraverso l'incrocio di dati raccolti in relazione a funzionalità diverse, non rientrando in alcuno dei casi di esonero dall'obbligo di acquisizione del consenso di cui all'art. 24 del Codice, possono essere effettuate soltanto previa espressa manifestazione di volontà dell'utente stesso.

Né è sufficiente, a tal fine, la sola menzione di questa finalità tra quelle oggetto dell'informativa resa agli interessati per esimere Google dall'obbligo di acquisirne un valido consenso. Al riguardo, si consideri che la privacy policy disponibile sul sito reca l'indicazione per la quale "Richiediamo il consenso dell'utente per utilizzare le informazioni per scopi diversi da quelli stabiliti nelle presenti Norme sulla privacy"; con ciò lasciando, proprio, intendere che tutti i trattamenti relativi a finalità che sono, invece, esplicitate all'interno della privacy policy non necessitino di essere preventivamente ed espressamente approvati dall'utente con un esplicito atto di manifestazione della sua volontà.

Tale conclusione non è, naturalmente, in alcun modo condivisibile e, pertanto, l'Autorità ritiene che il trattamento in questione richieda una diversa disciplina e debba essere condotto secondo altre, diverse modalità.

3.3 Con riferimento, poi, alle attività poste in essere da Google e richiamate sub lett. c), punto B), del paragrafo 1) che precede (utilizzo di cookie e altri identificatori quali credenziali di autenticazione, fingerprinting etc.), si osserva che, analogamente a quanto già emerso in relazione alla profilazione effettuata mediante l'incrocio dei dati di cui si è detto in precedenza, la privacy policy di Google si limita ad affermare: "Utilizziamo i dati raccolti tramite i cookie e altre tecnologie, come i tag di pixel, per migliorare l'esperienza degli utenti e la qualità generale dei nostri servizi".

L'istruttoria ha consentito di accertare che nel mese di aprile 2013 Google ha reso disponibile una specifica sezione che informa gli utenti sull'installazione di cookie all'interno dei propri terminali. Vi si legge: "I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi, accetti l'utilizzo dei cookie da parte nostra". Tale sezione è corredata di un'area "attiva" (cd. "OK button") che consente all'utente esclusivamente di segnalare a Google la presa visione della frase ora menzionata. L'eventuale selezione del pulsante è tuttavia priva di alcuna concreta funzione in relazione alla scelta consapevole che la legge richiede venga rimessa all'interessato, dal momento che i cookie vengono comunque installati nel suo terminale, a prescindere dalla circostanza che questi abbia cliccato l'OK button o no.

Non è inoltre in alcun modo prevista l'acquisizione del consenso dell'interessato alla memorizzazione di tali identificatori all'interno del proprio terminale, se non - come appunto indicato nella breve informativa fornita - per fatti concludenti, i quali consistono nella passiva accettazione delle condizioni d'uso e nel cd. further browsing, cioè nella prosecuzione della navigazione all'interno del sito. In aggiunta a ciò, è anche emerso che nessuno strumento è reso disponibile al fine di consentire l'eventuale esercizio del diritto di opposizione al trattamento.

Quanto, invece, all'utilizzo di altri identificatori diversi dai cookie - menzionati, lo si è visto, nella privacy policy - non risulta che sia stato implementato alcun meccanismo per consentire una pur minima interazione dell'utente riguardo il loro utilizzo, se è vero che l'OK button, oggetto di descrizione, fa esplicito ed esclusivo riferimento ai cookie.

Giova pertanto precisare, al riguardo, che il ricorso a tecniche di identificazione diverse dai cookie si basa sul trattamento, da parte della società, di dati personali ovvero anche di informazioni o parti di informazioni (che non sono o non sono ancora dati personali ma che, poste in associazione tra loro ovvero con altre informazioni, possono diventarlo), con l'obiettivo di pervenire all'identificazione inequivoca (cd. single out) del terminale e, per il suo tramite, anche del profilo di uno o più utilizzatori di quel dispositivo. Tale tecnica, denominata fingerprinting, utilizzata da Google per il conseguimento delle medesime finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all'analisi e monitoraggio dei comportamenti dei visitatori di siti web, risulta anch'essa disciplinata, al pari dell'impiego dei cookie, dall'art. 122 del Codice; con ogni riflesso in ordine all'obbligo di acquisizione del consenso preventivo dell'interessato, tranne i casi di esenzione previsti (nella specie, trasmissione di una comunicazione su una rete di comunicazione elettronica o erogazione del servizio su richiesta dell'utente).

La sola differenza apprezzabile, sulla quale l'Autorità intende comunque porre l'accento, tra l'impiego dei cookie e del fingerprinting, consiste nel fatto che mentre nel primo caso l'utente che non intenda essere profilato, oltre alle tutele di carattere giuridico connesse all'esercizio del diritto di opposizione, ha anche la possibilità pragmatica di rimuovere direttamente i cookie, in quanto archiviati all'interno del proprio dispositivo, con riguardo al fingerprinting il solo strumento nella sua disponibilità consiste nella possibilità di rivolgere una specifica richiesta al titolare, confidando che essa venga accolta. Ciò in quanto il fingerprinting non risiede nel terminale dell'utente, bensì presso i sistemi del provider, ai quali l'interessato non ha, ovviamente, alcun accesso libero e diretto.

In definitiva, appare allora evidente che le descritte modalità di trattamento adottate dalla società per finalità di profilazione tesa anche alla visualizzazione di pubblicità comportamentale personalizzata ed all'analisi e monitoraggio dei comportamenti dei visitatori di siti web, anche realizzata con diverse modalità, non soddisfano i requisiti degli artt. 23, 24 e 122 del Codice e pertanto se ne impone, anche in questo caso, una modifica.

In altri termini, il trattamento in esame, come emerso all'esito dell'istruttoria, può essere effettuato solo previo consenso dell'interessato; tale consenso deve inoltre rispondere, ai fini della sua validità, ai requisiti di legge e pertanto esso deve essere libero, acquisito in via preventiva rispetto al trattamento medesimo, riferibile a trattamenti che perseguono finalità esplicite e determinate, informato e documentato per iscritto.

È dunque necessario, in tal senso, che la sua espressione costituisca una inequivoca manifestazione di volontà da parte dell'interessato.

4. Google, nella sua autonomia imprenditoriale e nella qualifica di titolare del trattamento cui competono, tra l'altro, proprio "le decisioni in ordine alle … modalità del trattamento di dati personali" (art. 4, comma 1, lett. f) del Codice), può scegliere in ordine ai criteri ed alle misure da adottare per assicurare la necessaria conformità alla legge dei trattamenti di dati degli utenti volti alla loro profilazione, comunque effettuata.

Considerata la specificità dei servizi on-line offerti dalla società, il Garante propone comunque una soluzione idonea a soddisfare i menzionati requisiti previsti dalle disposizioni vigenti, segnatamente dagli artt. 7, 23 e 122 del Codice.
In questa prospettiva, si ritiene che debba necessariamente sussistere uno stadio ovvero un momento, nel corso dell'esperienza di navigazione dell'utente e ovviamente preliminare rispetto alla fruizione delle funzionalità, nel quale gli sia appunto consentito scegliere tra più, diverse alternative.

Considerata d'altro canto la distinzione, richiamata in premessa, tra utenti autenticati e non autenticati, le forme di acquisizione di tale consenso potranno, di riflesso, essere diversificate proprio in relazione alla tipologia di utente considerata.

4.1 In tal senso, con specifico riguardo agli utenti non autenticati, è stato possibile rilevare che, allo stato attuale, in nessun momento della fruizione di una o più diverse funzionalità esiste uno spazio, fisico ovvero virtuale, idoneo a consentire loro, da un lato, di esprimere un eventuale consenso al trattamento come più sopra identificato; dall'altro e allo stesso tempo a Google di prendere atto e tenere traccia delle scelte manifestate.

Nella delineata situazione, è dunque necessario che Google implementi un tale meccanismo, ad esempio facendo sì che l'utente non autenticato, accedendo alla home page (o ad altra pagina) del sito web, visualizzi immediatamente in primo piano un'area di idonee dimensioni, ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, contenente almeno le seguenti indicazioni:

i) che il sito effettua attività di trattamento dei dati per finalità di profilazione sia mediante trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, sia tramite incrocio dei dati tra funzionalità diverse, sia utilizzando cookie o altri identificatori anche al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente stesso nell'ambito dell'utilizzo delle funzionalità e della navigazione in rete nonché allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web;

ii) il link alla privacy policy, ove vengono fornite tutte le indicazioni di cui al paragrafo 2);

iii) il link ad una ulteriore area dedicata nella quale sia possibile negare il consenso alla profilazione ovvero selezionare, in modo esaustivamente analitico, soltanto la oppure le funzionalità e le modalità in relazione all'utilizzo delle quali l'utente sceglie di essere profilato;

iv) l'indicazione che la prosecuzione della navigazione mediante accesso o selezione di un elemento sottostante o comunque esterno all'area in primo piano (ad esempio, di un form di ricerca, di una mappa, di un'immagine o di un link) comporta la prestazione del consenso alla profilazione.

La menzionata area deve essere parte integrante di un meccanismo idoneo a consentire l'espressione di una azione positiva nella quale si sostanzia la manifestazione del consenso dell'interessato. In altre parole, essa deve determinare una discontinuità, seppur minima, dell'esperienza di navigazione: il superamento della presenza dell'area visualizzata deve cioè essere possibile solo mediante un intervento attivo dell'utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante l'area stessa).

Ed è di tutta evidenza che, sia da un punto di vista giuridico, sia da un punto di vista tecnico, non sarà possibile attribuire il medesimo significato né all'azione, alternativa, che si sostanzia nell'accesso all'ulteriore area nella quale modulare le scelte né alla selezione, per il tramite dell'apposito link, della pagina che contiene la privacy policy.

È opportuno sottolineare che ciascuna delle possibili azioni nella disponibilità dell'utente genera uno specifico evento informatico il quale, per le descritte caratteristiche, è dunque inequivocamente riconoscibile dal fornitore del servizio che può pertanto agevolmente tenerne traccia.

Nel caso l'utente abbia acconsentito all'utilizzo dei propri dati per la finalità esplicitata, tale operazione soddisferà allora pienamente il requisito dell'art. 23 del Codice il quale esige che l'avvenuto consenso sia "documentato per iscritto".
La presenza di tale "documentazione" dell'avvenuta acquisizione del consenso dell'interessato consentirà poi a Google di non riproporre alcuna forma di discontinuità nella navigazione alle ulteriori visite dell'utente, che utilizzi il medesimo terminale, sui domini oggetto di questo provvedimento, ferma restando naturalmente la possibilità per quest'ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni (cfr. art. 7, comma 4 del Codice). Per consentire, proprio, l'effettività di tale diritto di autodeterminazione, è allora altresì necessario che tutte le pagine web oggetto del presente provvedimento rechino un collegamento all'area dedicata all'interno della quale l'utente potrà esercitare compiutamente i propri diritti.

Nel caso in cui, invece, l'utente si sia limitato a selezionare il collegamento alla privacy policy, proprio per ricevere maggiori informazioni al fine di compiere scelte ancor più consapevoli, il meccanismo in discussione gli dovrà essere riproposto alla prima azione successiva alla presa visione dell'informativa, per consentirgli di esprimere il proprio consenso o diniego al trattamento.

Qualora, infine, abbia scelto di accedere all'area dedicata alla modulazione delle scelte, poiché anche questa azione, al pari della selezione del link alla privacy policy - lo si è anticipato - non equivale ancora consenso, Google dovrà registrarla, integrando poi questa informazione con quelle, ulteriori, relative alle specifiche scelte poste in essere dall'utente, anche in modo dettagliatamente analitico.

Per realizzare il tracciamento delle azioni e delle scelte, anche di dettaglio (espressione ovvero negazione, in tutto o in parte, del consenso, come pure esercizio del diritto di opposizione alla profilazione) rimesse all'interessato, la società potrebbe avvalersi o di appositi cookie tecnici (in tal senso, si veda anche il considerando 25 della direttiva 2002/58/CE), oppure di altri identificatori diversi dai cookie.

Con l'ovvia, ulteriore avvertenza tuttavia che, qualora la menzionata "documentazione" sia stata effettuata da Google mediante utilizzo di cookie, se l'utente scegliesse, come è nella sua disponibilità, di rimuovere tutti quelli installati sul proprio dispositivo, incluso il menzionato marcatore "tecnico", poiché questa operazione, non coinvolgendo il titolare, non equivale esercizio del diritto di opposizione, Google dovrebbe nuovamente, anche in questo caso, far ricorso al meccanismo di acquisizione del consenso sopra rappresentato.

Qualora, invece, la società si sia avvalsa di altri identificatori diversi dai cookie, e dunque non archiviati all'interno del dispositivo nella disponibilità dell'utente, bensì presso i server nella disponibilità del fornitore, al mutare delle preferenze espresse dall'interessato, essenzialmente sempre revocabili, la società non dovrà fare ulteriormente ricorso al meccanismo di riproposizione della discontinuità, bensì procedere all'aggiornamento, proprio, delle indicazioni già registrate.

4.2 Il meccanismo descritto intende realizzare uno spazio fisico ovvero virtuale deputato alla raccolta ed alla gestione del consenso degli utenti non autenticati.
Anche agli utenti autenticati dovranno, naturalmente, essere garantite le stesse tutele; ed è opportuno che, con l'obiettivo di assicurare la medesima fruibilità dell'esperienza di navigazione (user experience), coloro che dispongono di un account Google siano posti nella condizione di utilizzare i meccanismi di espressione, negazione e revoca del consenso già descritti a proposito degli utenti non autenticati. La principale differenza tra le menzionate tipologie di interessati consiste nella diretta ovvero indiretta riconducibilità delle scelte effettuate a soggetti appartenenti all'una ovvero all'altra categoria, essendo l'utente autenticato, per così dire, già pienamente identificato in re ipsa.

Occorre considerare inoltre che anche gli utenti autenticati - sia chi si accinga a creare un nuovo account sia chi già ne disponga e si appresti, nella prima sessione utile, a fruire delle funzionalità mediante autenticazione e relativa digitazione delle proprie credenziali - devono necessariamente attraversare una fase della navigazione nella quale, appunto preliminarmente rispetto alla creazione dell'account oppure all'accesso autenticato alle funzionalità, non sono ancora riconoscibili dal sistema. Pare allora opportuno che, appunto in tale fase preliminare, ad essi, al pari dei non autenticati, venga proposto il medesimo meccanismo di acquisizione del consenso come sopra ipotizzato; con la differenza, tuttavia, che se tali utenti accettano di proseguire nella navigazione e dunque esprimono il proprio consenso superando la discontinuità artificialmente indotta per approdare, alternativamente, o alla pagina di creazione dell'account (per i nuovi autenticati) ovvero a quella nella quale viene visualizzata la schermata in cui digitare le credenziali di autenticazione (per quelli che già dispongono di un account), questa fase della navigazione, che è il momento tipico nel quale il sistema è in grado, in modo diretto ed inequivoco, di attribuire comportamenti e scelte a soggetti determinati, non venga gravata di ulteriori complessità.

Anche in linea con il principio di finalità disciplinato dal Codice, si ritiene pertanto che nella delineata situazione l'ulteriore passaggio oggetto di descrizione, configurandosi come specificazione del precedente, possa essere gestito annettendo prioritaria rilevanza alle scelte già consapevolmente manifestate dall'utente non autenticato e dunque estendendo la validità di quelle stesse volontà anche al momento, logicamente e cronologicamente successivo, nel quale questi subisca un mutamento di status, da non autenticato ad autenticato; alla duplice, rigorosa condizione, tuttavia, che da un lato l'utente sia reso pienamente edotto della modalità, come indicata, di conferma delle manifestazioni di volontà già espresse in qualità di utente non autenticato e del fatto che, essendo talune funzionalità riferibili esclusivamente ad un utente autenticato, le relative scelte sono dunque nell'esclusiva disponibilità di quest'ultimo. Dall'altro lato, che gli siano sempre pienamente garantiti sia il diritto di revoca (del consenso o del diniego espressi in precedenza) sia quello di integrare le proprie preferenze anche con riguardo alle funzionalità fruibili solo da un utente autenticato (ad esempio, Gmail); e ciò mediante la predisposizione di apposito e ben visibile link all'area dedicata in cui esercitare tali diritti, anche in maniera esaustivamente analitica; includendo, pertanto, in tale area anche l'elencazione delle funzionalità che, essendo appunto utilizzabili solo previa sottoscrizione dell'account, possono costituire oggetto della scelta del solo utente autenticato.

Resta inteso che le scelte in ordine al trattamento dei propri dati per finalità di profilazione espresse da un utente non autenticato, proprio perché non legate ad un account, avranno validità esclusivamente con riferimento allo specifico dispositivo utilizzato, tanto nella prima quanto nelle successive sessioni, fino ad una eventuale revoca; non altrettanto può dirsi, invece, per la manifestazione di volontà espressa dall'utente autenticato, la quale, per l'essenziale, menzionata caratteristica di diretta riconducibilità delle scelte ad un soggetto individuato in re ipsa, è destinata ad estendere la propria validità anche nell'ipotesi nella quale l'utente autenticato fruisca delle funzionalità e dei servizi mediante utilizzo di più, diversi dispositivi.

In altri termini, mentre la documentazione delle scelte espresse dall'utente non autenticato è efficace soltanto con riferimento al dispositivo utilizzato, quella relativa alle scelte di chi dispone di un account Google permane, anche se tale utente faccia uso di più di un dispositivo.

Da ultimo, con specifico riguardo ai cd. passive users (e cioè, lo si ripete, quei soggetti che non utilizzano direttamente le funzionalità di Google, ma i cui dati possono tuttavia comunque essere acquisiti dalla società, ad esempio perché navigano su siti di terze parti diverse dalla società ove sono installati anche cookie di Google), l'Autorità richiama espressamente le prescrizioni già emanate nel provvedimento n. 229, dell'8 maggio 2014, relativo alla "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie" (in Gazzetta Ufficiale n. 126 del 3 Giugno 2014) il quale ha stabilito che, in tale situazione, sarà il publisher, e cioè il gestore del sito ove avviene la navigazione, a raccogliere il consenso anche per l'installazione dei cookie da parte di Google ed a farsi carico di acquisire, già in fase contrattuale, il collegamento (link) alla o alle pagine web contenenti le informative e i moduli per l'acquisizione del consenso relativo ai cookie di Google.

Pur ribadendo la facoltà per Google di adottare la procedura tecnica che ritiene preferibile per assicurare la conformità dei trattamenti di dati personali effettuati alla disciplina applicabile, l'Autorità ritiene che la soluzione illustrata sia qualificabile come quella che presenta, a tecnologia vigente su internet, il minor livello di discontinuità nell'esperienza di navigazione dell'utente.

5.  Quanto al punto C) del paragrafo 1, relativo al tempo di conservazione dei dati, l'art. 11, comma 1, lett. e) del Codice stabilisce che i dati debbano essere "conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati".

Con le comunicazioni del 16 e del 22 maggio 2012 il WP 29 ha richiesto alla società di chiarire per quanto tempo vengano conservati i dati degli utenti e, in particolare, la durata massima del tempo di conservazione di quelle informazioni in relazione alle finalità dei diversi trattamenti di dati personali effettuati. Questo aspetto è stato successivamente indagato anche nel corso della procedura nazionale. Il Garante ha specificamente chiesto a Google di integrare il riscontro reso al WP 29, ricevendone risposte non esaustive.

In effetti, nella comunicazione del 28 giugno 2013, Google ha richiamato quanto già affermato a proposito del solo tempo di archiviazione della cd. search history (indefinitamente o fin quando l'utente stesso non rimuova i dati della cronologia in caso di utenti non registrati e fino a 180 giorni per quelli registrati; 9 mesi per la conservazione degli indirizzi IP prima dell'anonimizzazione e 18 mesi per quella dei cookie). Per il resto, e sempre in via puramente esemplificativa, ha fatto riferimento alle ricerche parziali in Google Search, digitate nel Google instant service, che sarebbero cancellate "generalmente dopo due settimane" (cfr. le risposte alle domande 19 e 20 del questionario). Né è stata di grande ausilio l'affermazione, contenuta nel servizio di assistenza on-line per gli account di Google all'atto delle verifiche di carattere istruttorio che sono state condotte dall'ufficio, secondo cui è consentito all'utente eliminare dati dalla cronologia web utilizzando la funzione di rimozione. In tal modo, vi si leggeva, i dati verranno rimossi dal servizio: "Tuttavia, Google mantiene un sistema di log separato per motivi di controllo e per migliorare la qualità dei servizi offerti agli utenti" (cfr. https://support.google.com/accounts/answer/54052?hl=it); tale dicitura è stata peraltro oggetto di lievi modifiche nel corso dell'istruttoria, sì che risulta, al momento, del seguente, letterale tenore: "Gli elementi eliminati dalla cronologia web non sono più associati al tuo account Google. Tuttavia Google potrebbe memorizzare le ricerche in un sistema di log separato per impedire spam e utilizzi illeciti, oltre che per migliorare i suoi servizi".

S'impone, al riguardo, un duplice ordine di considerazioni: da un lato quella per la quale non pare sufficiente l'affermazione che, pur assicurando la dissociazione della cronologia web di un utente dal suo account, non chiarisce tuttavia in alcun modo se il risultato di tale operazione garantisca una effettiva ed efficace anonimizzazione del dato stesso, secondo i criteri ed i principi fissati dal WP 29 (cfr. l'opinion n. 05/2014 sull'impiego delle tecniche di anonimizzazione adottata il 10 aprile 2014)(2).

Dall'altro lato, permane comunque l'indicazione generica per la quale le informazioni personali in questione, pur a seguito della rimozione, restano nella disponibilità di Google per non meglio identificate ragioni di miglioramento dei servizi e per un tempo potenzialmente illimitato.

Pur considerata la modifica testuale alla privacy policy, allora, l'Autorità ritiene che anche tale aspetto non possa considerarsi conforme ai requisiti di liceità del trattamento fissati dal Codice; con l'effetto che appare necessario che, sullo specifico tema, Google implementi nuove misure di maggior tutela per gli interessati.

Al riguardo, è opportuno sottolineare che il rispetto dei principi in materia di conservazione dei dati può essere assicurato mediante ricorso a due modalità, l'una che si fonda sul rispetto del principio di finalità in base al quale i dati non possono essere conservati per un tempo ulteriore rispetto a quello necessario per il conseguimento dello scopo per il quale sono stati oggetto di trattamento (cd. retention policy); l'altra che prende invece in considerazione la scelta (e la conseguente azione positiva, ovvero la richiesta) dell'interessato di ottenere, a determinate condizioni, la cancellazione dei dati personali che lo riguardano nella titolarità di Google (cd. deletion policy).

L'archiviazione delle informazioni in questione è organizzata, nel modello adottato da Google, in funzione del tempo trascorso dal momento della loro acquisizione. È possibile distinguere, infatti, tra dati mantenuti su sistemi c.d. attivi (live-serving) e dati che invece siano successivamente archiviati sui sistemi di back-up. Occorre osservare, inoltre, che l'istruttoria non ha consentito di accertare con precisione quale sia la durata del periodo di conservazione dei dati sui sistemi del primo tipo e, di conseguenza, da quando decorra l'archiviazione dei dati sui sistemi di back-up. Né è stato chiarito dalla società il periodo massimo di conservazione delle informazioni personali degli interessati.

Il tema della cancellazione dei dati personali nella titolarità di Google è stato, di recente, interessato dalla nota decisione della Corte di Giustizia dell'Unione Europea del 13 maggio 2014 che, nella causa C-131/12, si è pronunciata, tra l'altro, proprio sulla cancellazione, al ricorrere dei presupposti per l'esercizio del diritto all'oblio, di dati personali nella titolarità di Google relativi ai risultati delle ricerche effettuate attraverso la funzionalità del motore di ricerca; stabilendo tra l'altro, per la prima volta, che tali richieste possono essere avanzate anche direttamente al gestore del motore di ricerca, ancorché le relative informazioni siano state originariamente pubblicate su altri siti e successivamente indicizzate da Google.

La pronuncia della Corte in materie di particolare complessità e delicatezza e le sue molteplici e significative implicazioni, comprese quelle sulle misure da adottare per la gestione delle menzionate richieste, hanno costituito oggetto di una prima riflessione anche nell'ambito del WP 29 il quale, nel corso della riunione plenaria del 2 e 3 giugno scorsi, ha deciso di analizzare, appunto, le conseguenze della sentenza e di "identificare delle linee guida al fine di sviluppare un approccio comune delle Autorità di protezione dei dati europee riguardo l'implementazione della decisione. Tali linee guida saranno di ausilio per le Autorità a stabilire una modalità di risposta alle richieste degli interessati nel caso in cui il motore di ricerca non proceda alla cancellazione dei contenuti la cui rimozione era stata oggetto di richiesta" (cfr. press release del WP 29 del 6 giugno 2014, disponibile al link http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/20140606_wp29_press_release_google_judgment_en.pdf).

Google, in adempimento delle prescrizioni della Corte, ha comunque sin dal 30 maggio u.s. reso disponibile un tool per consentire agli utenti di avanzare le relative istanze di cancellazione. Lo strumento predisposto è stato accolto con favore dal WP 29, che ha dichiarato al riguardo di considerare tale misura "un primo passo nella direzione dell'adeguamento della società alle disposizioni della normativa europea nel solco delle prescrizioni della Corte, sebbene sia prematuro, a questo stadio, valutare se esso sia da considerarsi interamente soddisfacente" (cfr. press release, cit.).

La particolare innovatività della materia e la complessità delle implicazioni connesse all'adempimento delle prescrizioni della Corte di giustizia in materia di richieste di cancellazione di dati personali relativi ai risultati delle ricerche effettuate attraverso la funzionalità del motore di ricerca al ricorrere dei presupposti per l'esercizio del diritto all'oblio rendono allora opportuno, a giudizio dell'Autorità, anche in linea con le dichiarazioni espresse dal WP 29 ora richiamate, astenersi in questa fase dall'imporre a Google prescrizioni non ancora vagliate né da una prima esperienza, né dal conseguimento di un assetto comune condiviso da tutte le Autorità di protezione dati interessate dalle nuove regole.

Per questa ragione, e riservandosi comunque sin d'ora qualsiasi tipo di intervento che sarà ritenuto opportuno al fine di garantire agli utenti la più ampia tutela dei propri diritti nel solco della recentissima pronuncia di carattere interpretativo resa dalla Corte di giustizia, più volte menzionata, l'Autorità intende limitare in questa fase l'esplicazione dei propri poteri prescrittivi a tutti i casi nei quali le richieste di cancellazione dei dati personali nella titolarità di Google siano formulate da un utente registrato, cioè che dispone di un account. Ciò in quanto l'accoglimento, appunto, di una tale richiesta di cancellazione consente fin d'ora non soltanto l'identificazione certa, da parte della società, dell'identità del richiedente, ma anche l'individuazione specifica delle informazioni che possono costituirne oggetto, in quanto automaticamente riferibili all'account del richiedente e, di riflesso, non assoggettabili ad alcun processo di valutazione arbitraria.

Tenuto conto, inoltre, di quanto affermato in precedenza in ordine alla recente pronuncia della Corte di Giustizia, l'ambito di applicazione del presente provvedimento sarà, altresì, limitato alle richieste di cancellazione che interessino l'utilizzo di funzionalità diverse da quella relativa al motore di ricerca (Google search) la quale legittima, al ricorrere di determinati presupposti, l'esercizio del diritto all'oblio.

All'esito dell'istruttoria, il Garante ritiene pertanto che Google, per assicurare la conformità alla legge dei trattamenti di dati effettuati, come meglio specificati in precedenza, sia tenuta a dotarsi di una policy di data deletion, cioè di cancellazione dei dati su richiesta degli utenti autenticati, che rispetti le prescrizioni indicate nella parte dispositiva del presente provvedimento; nonché di una policy di data retention che tenga rigorosamente conto del rispetto del principio di finalità previsto dall'art. 11, comma 1, lett. e) del Codice.

6. Il Garante è consapevole delle difficoltà tecnico-operative connesse all'implementazione delle misure cui Google è tenuta ai fini dell'adempimento delle prescrizioni di cui al presente provvedimento, in quanto si tratta di modifiche relative ad una molteplicità di funzionalità rese disponibili su una pluralità di piattaforme tecnologiche e sistemi operativi, peraltro di non trascurabile complessità tecnica. In considerazione di quanto sopra, è dunque ipotizzabile un arco temporale di adeguamento sufficientemente ampio, quantificabile nell'ordine dei 18 mesi, nel corso del quale l'Autorità si riserva di valutare lo stato di avanzamento delle misure e la loro corrispondenza al piano operativo di sviluppo ed implementazione delle prescrizioni impartite che sarà predisposto da Google. In questa prospettiva, e considerata la specifica proposta avanzata in tal senso dalla società nel corso dell'istruttoria, il Garante intende accettare l'impegno vincolante ed irrevocabile assunto da Google di sottoscrivere un apposito protocollo di verifica volto a disciplinare le modalità ed i tempi relativi allo scambio di documentazione tra Google e l'Autorità, nonché le modalità di enforcement e, appunto, dei riscontri che l'Autorità effettuerà nel corso del summenzionato arco temporale anche presso Google medesima.

TUTTO CIÒ PREMESSO, IL GARANTE

considerata la complessità degli aspetti indotti dall'analisi della nuova privacy policy di Google tesa alla valutazione della conformità dei trattamenti di dati effettuati dalla società alla disciplina in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali e, pertanto, con espressa riserva di eventuali ulteriori approfondimenti e/o determinazioni che potranno rendersi necessari, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive a Google Inc., con sede in Mountain View, USA, con specifico riguardo ai trattamenti di dati personali relativi all'utilizzo delle funzionalità offerte per il tramite del sito web www.google.it e di tutte le altre pagine web in lingua italiana comunque riconducibili alla società:

1) in adempimento dell'art. 13 del Codice, di rendere un'informativa completa ed efficace agli utenti, secondo i criteri e le modalità indicate al paragrafo 2 del presente provvedimento;

2) ai sensi delle disposizioni di cui agli artt. 23 e 122 del Codice, di acquisire il consenso preventivo degli utenti, sia autenticati che non autenticati, in relazione al trattamento delle informazioni che li riguardano, anche derivanti dal trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi di posta elettronica veicolati attraverso Gmail, tramite incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità tra quelle messe a disposizione, nonché per l'utilizzo di cookie e di altri identificativi per finalità di profilazione tesa anche alla fornitura di pubblicità comportamentale nonché all'analisi e monitoraggio dei comportamenti dei visitatori di siti web, secondo i criteri e le modalità indicate al paragrafo 3 del presente provvedimento; e di garantire ai medesimi interessati la possibilità dell'esercizio del diritto di opposizione di cui all'art. 7 del Codice;

3) in osservanza del principio di cui all'art. 11 del Codice in materia di conservazione di dati e con esclusione delle richieste di cancellazione relative all'esercizio del diritto di oblio avanzate in ordine ai risultati delle ricerche rinvenibili nel web attraverso l'uso della specifica funzionalità del motore di ricerca (Google search):

- nel caso le informazioni si trovino sui sistemi cd. attivi, di provvedere alla cancellazione dei dati personali su richiesta dell'interessato autenticato entro il termine massimo di due mesi, ritenuto congruo tale periodo in ragione, da un lato, della possibile indeterminatezza della richiesta e, dall'altro, dell'accertamento, da parte della società, dell'identità del richiedente nonché dell'agevole, specifica individuazione delle informazioni oggetto della richiesta, in quanto automaticamente riferibili all'account di questi e, di riflesso, non assoggettabili ad alcun processo di valutazione arbitraria. Il menzionato termine massimo di due mesi è quantificabile, per ragioni legate al calendario, in 62 giorni solari e dunque le richieste dovranno essere accolte entro il compimento del 63° giorno, a seguito comunque di un periodo preliminare pari a 30 giorni nel corso del quale i dati si troveranno in stato di disattivazione; ritenuto necessario, tale periodo preliminare, a tutela dell'utente medesimo, in quanto idoneo a prevenire cancellazioni accidentali o fraudolente dei suoi dati personali;

-  qualora, invece, i dati siano stati archiviati nei sistemi di back- up, il tempo massimo per procedere alla relativa cancellazione sarà pari a sei mesi dalla richiesta dell'utente autenticato, quantificabili in 180 giorni solari e dunque entro il compimento del 181° giorno. Durante questo periodo è tuttavia necessario che la sola operazione consentita sui dati sia il recupero di informazioni perse e che esse siano protette da accessi non autorizzati mediante utilizzo di idonee tecniche di cifratura o, se del caso, di anonimizzazione dei dati stessi; ciò in accordo con i principi identificati dal WP 29 nell'Opinion n. 05/2014 sull'impiego delle tecniche di anonimizzazione del 10 aprile 2014;

- di adottare una policy di data retention conforme al principio di finalità fissato dal Codice.

4) L'implementazione delle misure di cui ai punti da 1 a 3 dovrà avvenire entro e non oltre 18 mesi dalla data della notifica del presente provvedimento.

5) Google dovrà proporre all'Autorità, entro il 30 settembre 2014, il testo del protocollo di verifica indicato nella parte motiva del presente provvedimento al fine di sottoporlo alla valutazione ed alla successiva approvazione del Garante medesimo. Tale protocollo disciplinerà l'espletamento delle attività di controllo e verifica ivi previste, secondo le modalità ed i tempi che saranno indicati nel protocollo medesimo. Dal momento dell'approvazione da parte dell'Autorità decorrerà un ulteriore periodo pari ad almeno 12 mesi per l'espletamento di tali attività.

Avverso il presente provvedimento può essere proposta opposizione ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011 con ricorso dinanzi all'autorità giudiziaria ordinaria, da presentarsi entro il termine di trenta giorni dalla data della sua comunicazione ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 10 luglio 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

___________________________________________

1) In un saggio di recente pubblicazione a firma di Hal R. Varian, capo economista di Google, dal titolo "Beyond Big Data", presentato il 10 settembre 2013 al NABE Annual Meeting in San Francisco, CA., si legge che "Google runs about 10,000 experiments a year in search and ads. There are about 1,000 running at any one time, and when you access Google you are in dozens of experiments. What types of experiments? There are many: user interface experiments, ranking algorithms for search and ads, feature experiments, product design, tuning experiments" (cfr. http://people.ischool.berkeley.edu/~hal/Papers/2013/BeyondBigDataPaperFINAL.pdf). L'affermazione fotografa un fenomeno di proporzioni enormi e fortemente strutturato all'interno della logica di business che connota la società, il quale tuttavia sfugge spesso alla consapevolezza degli utenti e, più ancora, alla loro capacità e ai loro diritti di autodeterminazione.

2) È, d'altro canto, noto nella letteratura scientifica di settore che la rimozione di dati direttamente identificativi, specie nei servizi on-line, non impedisce la successiva reidentificazione degli interessati, come mostrato chiaramente, negli ultimi anni, dai casi AOL e Netfix (cfr. Opinion WP 29 n. 05/2014 sull'impiego delle tecniche di anonimizzazione adottata il 10 aprile 2014, pgf. 2.2.3, 3.1.1.3 e Annex A.2, ivi con ulteriori riferimenti in nota).