Google dovrà pagare una multa record di 50 milioni di euro per non aver fornito agli utenti informazioni trasparenti e comprensibili sulle sue politiche di utilizzo dei dati. A deciderlo la Commission nationale de l’informatique et des libertés (CNIL),  l’autorità amministrativa indipendente francese che è incaricata di assicurare l’applicazione della legge sulla tutela dei dati personali nei casi in cui si effettuino raccolte, archiviazioni ed elaborazioni di dati personali.

È la prima volta che Google viene multata sulla base delle nuove condizioni stabilite nel GDPR (General Data Protection Regulation, regolamento generale sulla protezione dei dati). Ai sensi della nuova legge, l’ammenda massima prevista per le grandi aziende è pari al 4% del fatturato annuo. Il CNIL ha deciso di multare Google per l’importo massimo possibile perché le violazioni che ha rilevato sono continue e si verificano tuttora. In più, “il modello economico dell’azienda si basa in parte sulla personalizzazione degli annunci”, quindi è “sua massima responsabilità rispettare il GDPR”. La decisione è frutto di un’indagine sollecitata da due denunce, presentate a maggio 2018 dalle due associazioni europee per la tutela della privacy None Of Your Business (Noyb) e La Quadrature du Net.

Che cos’ha fatto in particolare Google? CNIL accusa l’azienda di avere reso troppo difficile agli utenti la ricerca di informazioni essenziali “quali le finalità di elaborazione dei dati, la durata del periodo di archiviazione dei dati e le categorie di dati personali finalizzati alla personalizzazione degli annunci”. Tali informazioni esistono, ma sono ripartite fra differenti documenti, pagine di aiuto e schermate delle impostazioni. La conseguenza è che gli utenti non possono esercitare a tutti gli effetti il proprio diritto di rifiutare l’elaborazione dei dati per la personalizzazione degli annunci.

Non è finita qui, perché sempre CNIL ha rilevato che Google incassa il consenso degli utenti agli annunci pubblicitari personalizzati mediante un testo informativo non conforme agli standard GDPR. In dettaglio, il contenuto non è “specifico” e “non ambiguo” come richiesto dalla normativa, perché agli utenti non viene chiesto specificamente di aderire alla visione di annunci personalizzati. Al contrario, viene chiesto solo di “accettare i termini e l’informativa sulla privacy” di Google.

Google ha commentato a caldo che “le persone si aspettano da noi elevati standard di trasparenza e controllo. Siamo profondamente impegnati a soddisfare tali aspettative e i requisiti del GDPR” e si riserva di annunciare successivamente le sue prossime mosse.

Sicuramente ci saranno sviluppi futuri di questa vicenda. Per adesso mettiamo agli annali che la sentenza di cui abbiamo parlato è la più grande sanzione al mondo per la protezione dei dati. A dirlo il professore Lukasz Olejnik, un ricercatore indipendente in materia di privacy, secondo cui “questa è una pietra miliare nell’applicazione della tutela della privacy e nella storia della privacy”.

Ricordiamo che solo un mese fa l’Autorità italiana garante della concorrenza e del mercato ha multato Facebook per 10 milioni di euro per perché forniva informazioni “generiche e incomplete” sull’utilizzo dei dati.