Per Facebook e Google potrebbero cominciare i guai seri, quest’anno, sul fronte della privacy: forse vanno verso una resa dei conti, alla luce dell’entrata in vigore del Gdpr in Europa e a una presa di posizione più forte negli Usa da parte dell’Authority Ftc.
I primi segnali in questi giorni.
Il CNIL, il garante francese per la protezione dei dati personali, ha emesso la prima sanzione GDPR, per circa 50 milioni di euro, nei confronti di Google. L’ente francese afferma che la società non ha rispettato il Regolamento generale sulla protezione dei dati. La violazione è avvenuta nel momento in cui dei nuovi utenti Android hanno configurato un nuovo smartphone seguendo il processo di configurazione standard all’interno del sistema operativo.
Ma anche Facebook, questa volta negli Stati Uniti, affronta un redde rationem: l’Autorità americana FTC sta meditando di affibbiargli la prima multa milionaria. Comincerebbe quindi a svolgere un ruolo più forte sul piano della privacy, di fronte alle sfide epocali poste dal business digitale basato sui nostri dati personali (ed era ora, secondo molti critici che ne hanno parlato sulle pagine del New York Times)
La denuncia a Google (e non solo)
Due organizzazioni senza scopo di lucro denominate “None of your Business” (noyb) e “La Quadrature du Net” avevano congiuntamente presentato una denuncia nel maggio 2018 a pochi giorni dall’entrata in vigore del regolamento. Google non rispetterebbe il Gdpr.
Noyb aveva presentato quattro istanze contro altrettante web company: Google (Android), Facebook, WhatsApp e Instagram.
L’oggetto delle denunce si riferisce al tema del “consenso forzato” che di fatto viene richiesto all’interno del processo di configurazione rispetto alle condizioni di utilizzo dei dati. Inizialmente la denuncia era stata presentata con un reclamo formale sia contro Google che Facebook, quindi sarà interessante capire cosa succederà a Facebook sul quale ancora il CNIL non si è espresso.
Google si è difesa sostenendo che il suo quartier generale europeo è a Dublino ma, nella sentenza, il CNIL ha concluso per la prima volta, che Dublino non ha “voce in capitolo” in merito all’elaborazione dei dati per i nuovi utenti Android europei; secondo il CNIL infatti, la questione è regolamentata direttamente a Mountain View; da qui il motivo per cui l’inchiesta è continuata a Parigi nonostante le opposizioni dei legali della società californiana.
Il CNIL ha quindi concluso che Google non rispetta il GDPR quando si tratta di trasparenza e consenso.
Mancanza di trasparenza
Iniziamo con la presunta mancanza di trasparenza: “Le informazioni essenziali, come le finalità di elaborazione dei dati, i periodi di memorizzazione o le categorie di dati personali utilizzati per la personalizzazione degli annunci, sono eccessivamente diffuse tra diversi documenti, con pulsanti e collegamenti esterni sui quali è richiesto di fare clic per accedere a informazioni complementari di difficile lettura e comprensione” scrive il garante.
Ad esempio, se un utente desidera sapere come vengono elaborati i dati per personalizzare gli annunci, sono necessari 5 o 6 tocchi e passaggi su schermate differenti. Il CNIL afferma anche che è spesso troppo difficile capire come vengono utilizzati i dati e la lettura delle informazioni è di fatto impossibile per la maggior parte degli utenti: il testo proposto da Google è troppo ampio e articolato per essere compreso.
Troppa complessità per l’approvazione del consenso
In secondo luogo, il flusso per condurre l’utente all’approvazione del consenso non sarebbe conforme al GDPR secondo il CNIL. Per impostazioni predefinite infatti, Google ti spinge ad accedere o a iscriversi ad un account Google. La società motiva questa scelta dicendo che la l’esperienza d’uso del dispositivo, sarà di molto peggiore, se non avrà un account Google. Secondo il CNIL però, Google dovrebbe separare l’azione di creazione dell’account dall’azione di impostazione del dispositivo; di fatto, accoppiare queste azioni è illegale ai sensi del GDPR.
All’atto dell’iscrizione all’account, quando la società ti chiede di spuntare o deselezionare alcune impostazioni, in pratica non ci sarebbe una spiegazione sintetica e chiara di cosa significhi. Ad esempio, quando Google ti chiede se desideri annunci personalizzati, la società non ti dice esplicitamente che si tratta di molti servizi diversi, da YouTube a Google Maps e Google Foto e soprattutto che questa scelta non avrà ripercussioni solo sul dispositivo Android che stai configurando in quel momento.
Oltre a ciò, Google non richiede un consenso specifico e univoco per alcune scelte: quando crei l’account infatti l’opzione per disattivare gli annunci personalizzati è nascosta dietro il link “Altre opzioni” che è però pre-selezionata, per impostazione predefinita su “accetto”.
Infine, per impostazione predefinita, Google pre-seleziona una casella con la scritta “Accetto il trattamento dei miei dati come descritto sopra e ulteriormente spiegato nell’informativa sulla privacy” quando viene creato l’account; anche questa scelta viene ritenuta “troppo ampia” e considerata vietata dal GDPR.
Il CNIL ricorda inoltre a Google che nulla è cambiato dalla sua indagine già avvenuta nel settembre del 2018.
Guai in vista anche per Facebook
Sarebbe sbagliato pensare che l’America, dove non è in vigore il regolamento GDPR per la protezione dei dati personali, non abbia delle regole in questo senso.
Anche negli Stati Uniti, proprio in queste ore, le autorità di regolamentazione (FTC) stanno prendendo in considerazione l’ipotesi di infliggere un’ammenda record al social network di Mark Zuckerberg, che potrebbe essere dell’ordine di decine di milioni di dollari.
Si parla addirittura che la pena sarà la più pesante nella sua storia negli Stati Uniti e superare quella imposta a Google nel 2012 (pari a 22,5 milioni di dollari). In ogni caso, questo è quello che vorrebbero molti regolatori americani.
La Federal Trade Commission (FTC) aveva già imposto a Facebook di intervenire dopo che aveva notato la sua inosservanza degli impegni presi per proteggere i dati personali dei suoi utenti.
Le indagini sono iniziate dopo il clamoroso scandalo di Cambridge Analytica dove il social network aveva violato un accordo legalmente vincolante su un decreto di autorizzazione del 2011 per proteggere la riservatezza dei dati personali. La FTC ha imposto a Facebook di non ingannare i suoi utenti in merito all’uso delle loro informazioni e ha costretto il social network a mettere in atto controlli esterni sull’utilizzo dei dati.
Per Facebook dunque una vera e propria “serie nera” dal caso di Cambridge Analytica. Altri casi infatti sono scoppiati ed è stata multata già più volte:
- 562.000 euro nel Regno Unito nell’ottobre 2018 per aver violato la legge sulla protezione dei dati, la sua pena più pesante fino ad oggi.
- 10 milioni di euro qui da noi in Italia nel dicembre scorso per l’utilizzo dei dati degli utenti a fini commerciali.
Mentre altre indagini sparse in tutta Europa gravano sul “colosso Blu” dei social network, più recentemente, anche le società che utilizzano i dati come “terze parti” hanno ricevuto sanzioni; la società madre di Cambridge Analytica, SCL Group, ad esempio, ha ricevuto una multa per 17.000 euro per la violazione della legge sulla protezione dei dati del Regno Unito.
Si pensa che, anche per queste società utilizzatrici dei dati concessi da Facebook, sia solo l’inizio di verifiche sempre più consistenti e generalizzate.
Google intanto corre ai ripari con i primi interventi
Per cercare di recuperare più in fretta possibile, ed evitare nuove sanzioni anche in altri stati europei, dal 22 gennaio 2019, Google dovrebbe introdurre modifiche alla opzioni relative alla privacy, che dovrebbero “riallineare” le procedure di richiesta e approvazione con il GDPR. Ad esempio sarà Google Irlanda, l’headquarter europeo di Big G e non più la Google Llc di Mountain View, ad essere il soggetto titolare del trattamento dei dati ma anche il soggetto responsabile delle informazioni degli utenti e del rispetto delle leggi vigenti in terra europea sulla privacy.
Nonostante il cambio di riferimento, la società dichiara che non verranno alterata l’esperienza d’uso degli utenti dei servizi di Google; resterà dunque tutto invariato anche per quanto riguarda le impostazioni sulla privacy e sulle modalità di trattamento dei dati e le finalità del trattamento.
Sarà sufficiente? Analizzando nel merito la sentenza del CNIL sembrerebbe proprio di no, ma certamente la società avrà fatto le sue attente valutazione in merito ad una tematica che sempre di più è sotto la lente dei garanti europei.
