skip to Main Content

Google Ue

Perché la Francia ha multato Google sul Gdpr (privacy)

L'analisi di Riccardo Puglisi, professore associato in economia politica all'Università di Pavia, per Lavoce.info

Google France è la prima vittima delle sanzioni previste dalla nuova legislazione europea sulla protezione dei dati personali (General Data Protection Regulation: la cosiddetta Gdpr), entrata in vigore a maggio 2018. Le sanzioni arrivano fino a un massimo del 4 per cento del fatturato globale e la Commission nationale de l’informatique et des libertés (Cnil), l’autorità francese per la protezione dei dati personali, ha pubblicamente imposto alla società di Mountain View una multa di 50 milioni di euro a motivo di una perdurante violazione dei principi base della regolamentazione, cioè la trasparenza, la chiarezza sull’informazione detenuta dalle imprese che utilizzano i dati personali e le modalità attraverso cui gli utenti prestano il consenso a tale utilizzo (qui sul sito della Cnil una descrizione più estesa della decisione presa, insieme con la sentenza stessa).

La Gdpr, infatti, estende l’ampiezza dei “dati identificabili con la persona” (personally identifiable data), così da includere anche informazioni sulla geolocalizzazione e sulla storia della navigazione su internet, come si racconta più estesamente in questo pezzo. E vale altresì il principio secondo cui gli utenti devono dare il loro consenso esplicito all’utilizzo di questi dati da parte dei soggetti per scopi di pubblicità personalizzata (motori di ricerca, social network, siti di e-commerce).
Nel caso in questione, su sollecitazione di due diversi enti no profit (“None of your business” – noyb- e “La Quadrature Du Net – Lqdn), la Cnil si è focalizzata sul modo in cui un utente può creare un account Google su un telefono cellulare o un tablet che siano basati sul sistema operativo Android. Alla fine del processo investigativo, l’Autorità ha riconosciuto la rilevanza di due diverse lamentele.

In primo luogo, sotto il profilo della trasparenza, gli utenti non possono facilmente accedere alle informazioni relative all’uso specifico che Google France fa dei loro dati personali: sono necessarie cinque o sei azioni diverse per arrivare alle informazioni, che sono “disperse” qua e là sulle diverse pagine. Poco chiari risultano pure gli scopi precisi per i quali Google utilizza tali informazioni.

In secondo luogo, la Cnil ritiene che Google France abbia violato il dovere di avere una base legale solida per ottenere dall’utente il consenso per personalizzare la pubblicità mostrata. Prendiamo ad esempio il caso concreto di un utente che voglia decidere sulla presenza e sull’ammontare di pubblicità personalizzata in modo diverso rispetto alla “scelta di default”. L’economia comportamentale dà molta enfasi al tema di quali siano le caratteristiche standard di un certo contratto se l’utente decide di non fare esplicitamente scelte diverse, in quanto l’utente medio tende ad accettarle senza pensare a scelte alternative. In certi casi l’inerzia può essere usata a fin di bene, come per l’opzione di default di aderire a un piano pensionistico integrativo (uno dei principali motivi per il premio Nobel a Richard Thaler nel 2017). Nel caso di Google France, il reclamo accolto dalla Cnil è che – in violazione della Gdpr, che sembra fare tesoro degli insegnamenti dell’economia comportamentale – il consenso prestato dall’utente non è privo di ambiguità e non è specifico per il singolo servizio. L’utente deve fare “una certa fatica” per configurare diversamente la visualizzazione della pubblicità personalizzata, cioè cliccare il pulsante “più opzioni”, e – una volta fatto ciò – il consenso per la scelta standard è già contrassegnato con il segno della spunta, come se si volesse insistere con l’opzione di default, che non necessariamente è quella più vantaggiosa per l’utente. Non solo. Google prevede un consenso generale al trattamento dei dati al fine di personalizzare le pubblicità, invece che un consenso specifico per ogni singolo servizio prestato.

GOOGLE CONCILIANTE

È la stessa Cnil a sottolineare tre aspetti importanti della sua decisione: (i) la multa a Google France è la prima a essere comminata sulla base della Gdpr, (ii) non è leggera dal punto di vista economico, e (iii) è pubblica. Naturalmente il fatto che la multa sia stata resa pubblicamente nota ha fatto sì che sia immediatamente diventata una notizia globale, ripresa dai mass media di quasi tutti i paesi, non solo europei. Secondo la Cnil il comportamento di Google France è grave perché tutti e tre i principi fondamentali della Gdpr sono stati violati (chiarezza dell’informazione, trasparenza e consenso) e in una maniera estesa e continuativa, in quanto l’apertura di nuovi account Google su dispositivi Android avviene ogni giorno sulla base di un meccanismo di adesione che fino a oggi non è stato cambiato.

D’altro canto, è interessante notare come le prime dichiarazioni ufficiali di Googlea seguito della multa siano state “democristianamente concilianti”: la società sottolinea come gli utenti si aspettino “standard elevati di trasparenza e controllo da parte nostra”: dal momento che il business di Google si basa largamente sui ricavi da pubblicità più o meno personalizzata, non dovrebbe stupirci un approccio negoziale con le autorità europee competenti, finalizzato a una “convergenza parallela” verso un meccanismo di consenso da parte degli utenti che tenga conto dello spirito della riforma Gdpr, cioè un ampliamento dei diritti dei cittadini rispetto ai loro dati personali.
Scopriremo con il tempo se l’allargamento dei diritti di proprietà dei cittadini sui dati personali si porterà dietro un aumento del loro potere negoziale nei confronti di motori di ricerca, social network e siti di vendite online. Quel che è sicuro è che nella negoziazione le autorità europee non vogliono e non vorranno essere semplici spettatori.

 

Articolo pubblicato su Lavoce.info

Back To Top