La tutela dei dati e delle informazioni personali in Google

74

Con provvedimento web del 2014, n. 3283078, il Garante nazionale della Privacy, nel diagnosticare una serie di falle nel sistema di gestione dei dati personali da parte di Google, ne ha previsto e indicato la cura.

Per la verità, già negli anni precedenti, l’Autorità garante nazionale ed altri Garanti europei, si sono visti costretti ad intervenire, a causa delle assai numerose lamentele dei cittadini che avevano denunziato palesi violazioni alla loro sfera intima da parte del colosso di Mountain View.

A titolo meramente esemplificativo, il 21 settembre 2010, con provvedimento n. 1759972, a proposito di comunicazioni ‘captate’ su reti wi-fi, il Garante ha ordinato a Google Street View il blocco di qualsiasi trattamento sui cosiddetti ‘payload data, captati dalle vetture di Street View, inviando gli atti all’Autorità Giudiziaria affinché valutasse gli eventuali profili penali, derivanti dalla raccolta di quel tipo di dati.

L’Autorità aveva avviato l’istruttoria nei confronti di Google nel maggio 2010, quando era venuta a conoscenza della circostanza che le Google cars, girando sul territorio italiano, oltre a raccogliere immagini, avevano anche catturato, a partire dall’aprile 2008, tramite appositi software, frammenti di comunicazioni elettroniche – i payload data – trasmessi da utenti che utilizzavano reti wi-fi non protette. Nel corso del procedimento, Google, fornendo i riscontri richiesti dal Garante, ha confermato la raccolta dei dati durante il passaggio delle vetture Street View e, pur ammettendone l’errore, aveva aggiunto che i dati raccolti erano così frammentati, da non poter essere considerati informazioni personali, tanto da non essere mai stati utilizzati, né comunicati a terzi, ma solo conservati nei suoi server, negli Stati Uniti.

Ad avviso del Garante, invece, il motore di ricerca avrebbe violato il Codice Privacy ed anche alcune norme del Codice penale95_{, poiché una tale raccolta d’informazioni,}

effettuata in modo sistematico e per lungo periodo di tempo, aveva comportato la concreta possibilità che alcune delle informazioni ‘catturate’, avendo natura di dati personali, avrebbero potuto consentire di risalire a persone identificate o identificabili.

Alla luce di quanto riscontrato, il Garante ha ritenuto necessario trasmettere gli atti all’Autorità giudiziaria, ai fini dell’accertamento di eventuali profili penali dell’accaduto,

95 _{L’art. 617 quater c.p. punisce le intercettazioni fraudolente di comunicazioni effettuate su un sistema} informatico o telematico e l’art. 617 quinquies c.p. punisce l’installazione, fuori dei casi previsti dalla legge, di «apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema

75

e, imponendo al colosso dell’informazione la sospensione di qualunque trattamento, ha deliberato che i cittadini avrebbero dovuto essere informati della presenza delle Google Cars, al fine di poter decidere, in piena libertà, i loro comportamenti ed eventualmente scegliere di sottrarsi alla ‘cattura’ delle immagini, allontanandosi dai luoghi ripresi. I veicoli del servizio Street View, da parte loro, avrebbero dovuto essere facilmente individuabili, attraverso cartelli o adesivi ben visibili, che indicassero, in modo inequivocabile, l’acquisizione di immagini fotografiche per quella finalità. Alla società californiana è stato inoltre ordinato di pubblicare sul proprio sito web, tre giorni prima dell’inizio delle riprese, le località visitate dalle vetture Street View.

Altrettanto, il Garante per la Privacy francese, il 21 marzo 2011 ha sanzionato Google per il servizio di mappe on-line, per aver violato dati sensibili dei cittadini, a causa dei collegamenti alle reti wi-fi che avevano catturato password, indirizzi e-mail e informazioni private: il motore di ricerca, nonostante la promessa di cancellare tutti i dati privati, aveva continuato ad usare gli identificativi dei punti di accesso wi-fi all’insaputa dei titolari.

Viepiù, la quarta sezione penale del Tribunale di Milano96_{, nel febbraio 2010, ha}

condannato tre dirigenti di Google per non aver impedito la pubblicazione di un video che mostrava un minore affetto da sindrome di down, picchiato e insultato da quattro studenti in un Istituto tecnico di Torino. Il video girato con un videofonino era poi stato caricato su Google Video, piattaforma di hosting per la condivisione dei video97_.

I tre dirigenti, a parere dei giudici milanesi, avevano violato il Codice della Privacy in materia di trattamento dei dati, visto che l’informazione alla privacy “era talmente

96 _{Trib. Milano, sentenza del 24 febbraio 2010, n. 1972, in Giur. Merito, 2011, 1, 159 con nota di F.G.} CATULLO.

97 _{Verdetto poi ribaltato da App. Milano, sentenza del 27 febbraio 2013, n. 8611, in Giur. merito 2013, 7-} 8, 1577 che, nell’assolvere i tre manager ‘perché il fatto non sussiste’, ha riconosciuto «l’impossibilità

effettiva e concreta di esercitare un pieno ed efficace controllo sulla massa dei video caricati da terzi, visto l’enorme afflusso dei dati’ e ravvisando in un controllo preventivo da parte del provider, un restringimento ella libertà di espressione». Le conclusioni dei giudici di appello sono state poi confermate anche dai

giudici di legittimità, Cass. Pen., Sez. III, sentenza del 3 febbraio 2014, n. 5107, in Dir. giust., 2, 2014, i quali hanno ribadito che Google è «solo virtuale di un contenitore virtuale dove gli internauti possono

liberamente caricare i loro video, fornendo un mero servizio di Internet host provider, non essendo pertanto, titolare di alcun trattamento e che gli unici titolari del trattamento dei dati sensibili eventualmente contenuti nei video sono gli stessi utenti che li hanno caricati, ai quali soli possono essere applicate le sanzioni amministrative e penali previste per il titolare del trattamento dal Codice della Privacy». Per approfondimenti sulla sentenza definitiva Google-Vividown: M. IASELLI, Video offensivo on- line: nessuna responsabilità per l’Internet provider, in www.altalex.com, 26 marzo 2014; P. ZARZACA, Vividown, La fine ella caccia alle streghe, in www.leggioggi.it,11 febbraio 2014.

76

nascosta nelle condizioni generali di contratto, da risultare assolutamente inefficace per i fini previsti dalla legge”: si insinuava, così, il dubbio che Google, nascondendo le limitazioni legate alla privacy in un lunghissimo testo (che pochi leggono), in realtà puntasse ad allargare indiscriminatamente l’utenza, perseguendo un interesse commerciale prioritario rispetto a quello di fornire tutela ad un principio di libertà di espressione in Rete98_.

Ancora, nella sentenza n. 40356 dell’8 ottobre 2015, la terza sezione penale della Corte di Cassazione ha condannato per trattamento illecito di dati personali colui che aveva pubblicato su You Tube un video che ritraeva le pose oscene della vittima.

Inoltre, in materia di profilazione, il Garante (con provvedimento n. 161 del 19 marzo 2015 “Linee Guida in materia di trattamento di dati personali per profilazione on-line”) ha ribadito che il consenso dell’interessato, per ogni attività di profilazione on-line è obbligatorio e revocabile in ogni momento.

I numerosi e reiterati casi nei quali il primo colosso dell’informazione, Google, non solo a livello nazionale, è stato oggetto di lamentele e, come abbiamo visto di denunce sia in sede civile, che penale, hanno sollecitato il WP29 ad inviare, il 16 ottobre 2012, a Mister Page (Fondatore e CEO di Google),una missiva contenente contestazioni circa “l’omessa conformità dei trattamenti effettuati ai requisiti imposti dalla disciplina europea”, invitandolo all’adozione di misure idonee ad assicurare il rispetto di alcuni specifici principi e deliberando nel contempo, un’apposita task force, di cui sono state chiamate a far parte alcune delle Autorità di protezione dei dati personali degli Stati membri, tra cui l’Italia”, finalizzata a creare forme di controllo più penetranti sulle modalità di trattamento e conservazione dei dati.

Successivamente a tale missiva, il Garante italiano ha informato il colosso di Mountain View dell’avvio del procedimento amministrativo nei suoi confronti, finalizzato alla verifica della liceità e correttezza dei trattamenti effettuati, alla luce della nuova Privacy Policy che, dal 1° marzo 2012, ha unificato oltre 70 diverse Privacy Policy in un unico documento.

98 _{La sentenza Google-Vividown è importante anche in materia di responsabilità del provider, com’è} spiegato nel paragrafo 6.3. Per un approfondimento della sentenza, G. CAMERA- O. POLLICNO, La legge è uguale anche sul web, Milano 2010; E. MAGGIO, Sentenza Google – Vividown, Non esiste la sconfinata prateria di Interne dove tutto è permesso e niente può essere vietato, in www.dmt.it.

77

La società aveva infatti unificato in un unico documento le regole di gestione dei dati relativi alle numerosissime funzionalità offerte, dalla posta elettronica (G.Mail), ai social (Google Plus), alla gestione dei pagamenti on-line (Google Vallett), alla diffusione di filmati (You Tube), alle mappe on-line (Street View), all’analisi statistica (Google Analytics), procedendo all’integrazione e interoperabilità anche dei diversi protocolli e dunque all’utilizzo di più servizi.

Nonostante nel corso dell’istruttoria il motore di ricerca abbia adottato una serie di misure per rendere la propria Privacy Policy più conforme ai dettami della normativa, il Garante ha riscontrato diverse criticità riferibili al trattamento dei dati da parte di Big Google, relative soprattutto al contenuto dell’informativa resa agli interessati, all’omessa richiesta del loro consenso per trattamenti con finalità di profilazione e ai tempi di conservazione, tutte analiticamente descritte nel provvedimento del 10 luglio 2014, n. 3283078: documento di natura prescrittiva, nel quale l’Autorità amministrativa nazionale, oltre ad aver puntualmente individuato le criticità nel trattamento, ha suggerito direttamente al motore di ricerca quali accorgimenti adottare per potersi adeguare efficacemente ai dettami normativi vigenti.

Google è stata, quindi, invitata a predisporre un’informativa in modo chiaro, completo ed esaustivo, facilmente accessibile con un solo clic dalla pagina del dominio da cui l’utente accede, formulata in modo da consentire agli utenti di raffrontare le diverse Privacy Policy susseguitesi nel tempo e strutturata su più livelli (informativa per minori, adulti, imprese, professionisti, società), nel rispetto dell’opinione 10/2004 dei Garanti europei della privacy.

Richieste fin troppo puntuali ma ragionevoli, dal momento che tutto il mondo dei dati e del loro trattamento ruota intorno a Google e circola attraverso le app e i servizi che il colosso di Mountain View mette ‘generosamente’ a disposizione degli utenti. Lo stesso Internet quasi s’identifica con Google per cui, se da un lato oggi pensare al web senza quel motore di ricerca è impossibile, non per questo gli si deve consentire di potersi sottrarre alle norme che le Istituzioni europee e i diversi Stati membri hanno sottoscritto, a tutela di un patrimonio tanto prezioso, quanto sfuggente, quale quello dei nostri dati personali.

Il Garante nazionale ha svolto lodevolmente il suo compito, prima nel garantire e tutelare la sfera più intima dell’io dematerializzato che la persona evidentemente non è stata in

78

grado di proteggere da sola e, successivamente, nell’obbligare il motore di ricerca al rispetto delle indicazioni contenute nel provvedimento del luglio 2014 e disciplinate nel protocollo di verifica dallo stesso, sottoscritto nei primi mesi del 201599_{, contenente}

l’implementazione di una serie di misure atte a garantire la tutela dei dati personali degli utenti dei circa settanta diversi servizi offerti.

3) La sfida lanciata al diritto alla protezione dei dati dai nuovi servizi offerti dalla