Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROFONDIMENTO

Google e gestione dei dati di localizzazione degli utenti: quali impatti per la privacy

La gestione dei dati di localizzazione degli utenti svolta da Google risulta, secondo l’autorità privacy irlandese DPC, eccessivamente invasiva nella privacy degli utenti, soprattutto considerato che questi ultimi non sono effettivamente consapevoli dell’utilizzo che la società farà di questi dati. Facciamo chiarezza

23 Mar 2020
M
Flavia Maltoni

Data Protection Consultant


La Data Protection Commission (DPC), autorità privacy irlandese, ha di recente aperto un’indagine su Google Ireland Limited: questa volta, sotto la lente di ingrandimento della DPC è finita la politica di gestione dei dati di localizzazione degli utenti da parte della società che sembra violare le prescrizioni del Regolamento UE 2016/679, noto anche come GDPR.

Gestione dei dati di localizzazione degli utenti e GDPR

Prima di procedere all’analisi delle politiche di gestione dei dati di localizzazione da parte di Google, è opportuno precisare alcuni aspetti relativi all’intervento della DPC, nonché chiarire mediante quali strumenti vengano raccolti i dati di localizzazione ad opera di Google in virtù della creazione di un apposito account da parte dell’utente.

In particolare, al centro dell’indagine della DPC c’è la necessità di stabilire se Google rispetti gli obblighi previsti dal GDPR sotto il profilo dell’informativa privacy e se disponga di una valida base giuridica per trattare le informazioni relative alla posizione degli utenti.

I dati di localizzazione, infatti, costituiscono a tutti gli effetti “dati personali”. Ai sensi dell’art. 4 del GDPR, per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile e si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come, tra gli altri, i dati relativi all’ubicazione.

Come meglio vedremo di seguito, la società è accusata di disporre di una policy privacy poco chiara e lacunosa, di non richiedere tutti i dovuti consensi ai sensi del GDPR e di ingannare gli utenti allo scopo di indurli ad attivare specifiche funzionalità messe a disposizione da Google e destinate a localizzarli, in particolare modo allo scopo di sottoporgli pubblicità mirata.

Con riferimento a quest’ultimo profilo, è infatti chiaro che, tracciando la posizione degli utenti, è possibile dedurne gli interessi, le preferenze e le abitudini quotidiane, acquisendo, tra l’altro, anche c.d. dati personali “sensibili” ai sensi dell’art. 10 del GDPR, quali le credenze religiose, l’orientamento sessuale o l’appartenenza ad un partito politico di ciascun utente; questi dati, uniti peraltro a quelli raccolti mediante altri servizi offerti da Google, consentono di creare profili dettagliati degli utenti sulla cui base offrire servizi pubblicitari mirati.

Gli antecedenti all’intervento della Data Protection Commission

Preliminarmente è opportuno precisare che la DPC riveste un ruolo di primaria importanza nel panorama privacy internazionale e questo in virtù della localizzazione, proprio in Irlanda, delle sedi delle maggiori “hi-tech company” statunitensi che vogliono godere dei privilegi fiscali ivi garantiti.

Considerato quanto prescritto dall’art 56 del GDPR, ai sensi del quale “l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento”, l’autorità di controllo privacy irlandese riveste, in relazione a Google Ireland Limited, il ruolo di “Autorità di Controllo Capofila”.

In altri termini, il GDPR, per fronteggiare i casi in cui i dati personali siano trattati da un titolare o da un responsabile, nell’ambito di un’attività svolta in più stabilimenti ubicati in Stati membri diversi ovvero il caso in cui il relativo trattamento, benché connesso ad un’attività radicata presso un unico stabilimento dell’UE, possa incidere su interessati residenti in più di uno Stato membro, ha previsto il meccanismo dello “sportello unico”; tale meccanismo comporta l’individuazione di un’unica Autorità di controllo competente anche per tutte le altre Autorità di controllo coinvolte ed interessate al trattamento.

Ciò posto, va altresì chiarito che il tema della possibile violazione del GDPR da parte di Google in relazione ai meccanismi di tracciamento della posizione degli utenti, nonché alle modalità di trattamento dei relativi dati personali, è anteriore all’indagine dell’autorità privacy irlandese che ricordiamo, tra l’altro, al momento sta indagando su altre “big” del web come Twitter, LinkedIn e Facebook.

L’intervento della DPC, infatti, rappresenta l’ovvia evoluzione a quanto già accaduto più di un anno fa, a novembre 2018, quando sette associazioni di consumatori appartenenti al “Bureau Européen des Unions de Consommateurs” (anche noto come “BEUC”), organizzazione “ombrello” con sede a Bruxelles che ad oggi riunisce 45 associazioni europee di consumatori, avevano comunicato la presentazione ufficiale di una denuncia verso Google per violazione della privacy degli utenti.

In particolare, le associazioni di consumatori provenienti da Norvegia, Repubblica Ceca, Olanda, Svezia, Grecia, Slovenia e Polonia lamentavano l’adozione da parte di Google di “pratiche ingannevoli” volte a localizzare la posizione degli utenti sulla base di un “consenso forzato”, soprattutto al fine di veicolare pubblicità mirata.

Parallelamente le associazioni accusavano la società non fornire un’adegua informazione ai sensi del GDPR, in merito alle finalità e alle modalità di trattamento dei relativi dati personali. Accuse simili contro Google erano, peraltro, già state mosse alcuni mesi prima dalle associazioni None Of Your Business (NOYB) e La Quadrature du Net (LQDN); in virtù dei reclami presentati dalle due associazioni, il Comitato ristretto della Commission Nationale de l’Informatique et des Libertés (CNIL) aveva inflitto nei confronti della società una sanzione amministrativa pecuniaria di 50 milioni di euro per violazione delle prescrizioni del GDPR in tema di trasparenza, base giuridica e consenso.

Gli strumenti di tracciamento della posizione degli utenti

La “Cronologia delle posizioni” e “Attività web e app”, funzionalità implementate in tutti gli account Google, costituiscono le principali tecnologie di cui Google si avvale per monitorare la posizione degli utenti.

Entrambe le funzionalità possono essere abilitate e “messe in pausa” a discrezione dell’utente, accedendo alla relativa sezione del proprio account. Tuttavia, come vedremo di seguito, Google sembra utilizzare, tanto in fase di configurazione dell’account quanto in fase di suo successivo utilizzo, delle “strategie ingannevoli” affinché gli utenti attivino le impostazioni volte all’acquisizione dei dati di localizzazione.

La Cronologia delle posizioni consente a Google di avere una visione costante degli spostamenti fatti dagli utenti mediante il salvataggio dei luoghi da questi ultimi visitati. In particolare, l’attivazione della funzionalità consente di registrare la precisa ubicazione dell’utente (sia che esso si trovi all’interno di edifici che all’esterno) ma anche informazioni ulteriori quali, ad esempio, la modalità di trasporto (a piedi, in auto, in tram e così via) o la pressione barometrica (altitudine).

Stando alla descrizione di Google, la Cronologia delle posizioni è utilizzata non solo per registrare la posizione dell’utente mediante creazione di una mappa degli spostamenti dello stesso ma anche allo scopo di offrirgli informazioni utili, come “aggiornamenti sul tuo tragitto giornaliero, risultati di ricerca migliori e annunci pubblicitari più pertinenti su Google e servizi di terze parti”.

In fase di creazione dell’account, la scelta di attivare la funzionalità “Cronologia delle posizioni” è rimessa all’utente, essendo quest’ultima disabilitata di default. In realtà l’attivazione della relativa impostazione è funzionale all’utilizzo di ulteriori servizi forniti da Google e connessi all’account, con la conseguenza che l’utente è soggetto, a più riprese, alla richiesta di attivazione di questo meccanismo di tracciamento.

A titolo esemplificativo, in relazione a Google Foto, laddove l’utente desideri che le proprie foto vengano “organizzate” e archiviate in base alla posizione, dovrà necessariamente acconsentire all’attivazione della funzione in oggetto.

Allo stesso modo, l’utilizzatore di un dispositivo Android che non abbia abilitato la Cronologia della posizioni, sarà invitato ad attivare la relativa funzione al momento del primo accesso all’applicazione “Google Maps”.

Attività e App consiste in una funzione che consente di salvare nell’account Google informazioni relative all’attività dell’utente, quali le ricerche e altre operazioni eseguite su altri servizi Google, ivi inclusa la tua posizione e altri dati associati, la cronologia di Chrome o le attività svolte su siti, app e dispositivi che usano i servizi Google.

Anche in questo caso, la funzionalità è volta a fornire contenuti personalizzati all’utente sulla base delle informazioni registrate ma, a differenza che per la Cronologia delle posizioni, Attività e App risulta abilitata per impostazione predefinita; di conseguenza, in fase di configurazione dell’account, spetta all’utente cliccare su “Altre opzioni” allo scopo di accadere appositamente alla sezione tramite cui disabilitare la funzione in oggetto.

La policy privacy di Google

I timori di una possibile violazione del GDPR da parte di Google in sede di trattamento dei dati di localizzazione degli utenti raccolti principalmente attraverso le modalità già richiamate, appaiono fondati se si considera la scarsa trasparenza e chiarezza dell’informativa privacy che i soggetti interessati sono chiamati ad accettare in fase di creazione dell’account Google.

Al riguardo si ricorda che l’art. 5 del GDPR richiede che “i dati personali siano trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e che, parallelamente, l’art. 12, par. 1, del GDPR stabilisce che le informazioni relative alle finalità e modalità di trattamento dei dati personali vengano fornite “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.

In contrasto con quanto prescritto dal legislatore europeo, le informazioni relative al trattamento dei dati di localizzazione non vengono fornite in modo chiaro e diretto al soggetto interessato ma, anzi, risultano persino “celate” nel flusso di configurazione dell’account. In altri termini all’utente è mostrata solo una parte della politica relativa al trattamento dei dati personali, restando all’utente stesso l’onere di “reperire” le altre informazioni (relative in particolar modo alle finalità del trattamento dei dati personali in oggetto) cliccando su “Altre Opzioni” e su “Ulteriori Informazioni”.

A titolo esemplificativo, in relazione alla funzionalità Cronologia delle posizioni non vi è un’esplicita indicazione sul fatto che i dati di localizzazione saranno utilizzati anche per fini pubblicitari, salvo che l’utente non clicchi su “Ulteriori Informazioni”.

In seconda battuta, il testo dell’informativa, infatti, non chiarisce in modo del tutto inequivocabile né quali siano le finalità per cui i dati in oggetto sono trattati, né quale sia la base legale su cui si fonda il trattamento medesimo.

Per quanto concerne il profilo della base giuridica, l’art. 6 del GDPR, stabilisce che “il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  • l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.”

L’informativa privacy di Google richiama in via generica quattro delle sei basi legali individuate dal legislatore europeo, ovvero il consenso del soggetto interessato, l’interesse legittimo, gli obblighi legali e l’esecuzione del contratto, ma non associa ciascuna di queste basi giuridiche ad una determinata tipologia di trattamento effettivamente svolto.

In altri termini, considerata l’attuale formulazione dell’informativa privacy, Google non fornisce all’utente un’indicazione esplicita in merito a quale delle quattro basi legali faccia ricorso nel compiere le operazioni di trattamento sui dati di localizzazione.

Trattamento dati di localizzazione raccolti con “Cronologia delle posizioni”

Considerato che, ai sensi dell’art. 4 del GDPR, il consenso è definito come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento”, è possibile presumere che, con riferimento alla funzionalità Cronologia delle posizioni, il trattamento dei dati di localizzazione si fondi sul consenso dell’utente.

Quest’ultimo, infatti, in fase di configurazione dell’account, è chiamato a spuntare la casella di attivazione della Cronologia delle posizioni e quindi ad esprimere la sua autorizzazione al trattamento dei relativi dati di localizzazione mediante “un’azione positiva inequivocabile”.

Nonostante la scelta di attivare o meno la Cronologia delle posizioni sia rimessa all’utente, il consenso non può considerarsi, in realtà, “prestato liberamente”. Infatti, come già anticipato, ai fini dell’utilizzo di ulteriori servizi messi a disposizione da Google (come ad esempio Google Maps, Google Assistant, Google Search App e Google Foto), l’utente, anche in fasi successive alla configurazione dell’account, è soggetto ripetutamente alla richiesta di attivazione della funzionalità in oggetto, con la conseguenza che l’acquisizione del consenso del soggetto interessato al trattamento dei dati di localizzazione finisce con l’essere, nel più dei casi, il risultato di una vera e propria forzatura da parte di Google.

Parallelamente occorre precisare che, ai sensi del GDPR, il consenso prestato dall’utente dovrebbe essere specifico in relazione a ciascuna finalità per cui i dati personali sono trattati. In sostanza, stando all’impostazione del legislatore europeo, il soggetto interessato dovrebbe avere la possibilità di esprimere il proprio consenso in relazione a ognuna delle finalità per cui i dati di localizzazione acquisiti mediante la funzionalità in oggetto sono trattati da Google.

Nel caso in esame, invece, il soggetto interessato, attivando la Cronologia delle posizioni, acconsente contestualmente non solo alla creazione di una mappa delle posizioni registrare tramite la funzione in oggetto ma anche ad una serie ulteriore di finalità, ivi inclusa la ricezione di annunci pubblicitari mirati.

Trattamento dati di localizzazione raccolti con “Attività web e App”

Per quel che concerne, invece, la funzionalità Attività web e App, è escluso che il trattamento dei dati di localizzazione possa avvenire sulla base del consenso dell’utente espresso in virtù di un’azione positiva inequivocabile in quanto, in fase di creazione dell’account Google, la casella di attivazione della relativa impostazione è spuntata di default.

Come chiarito dal Gruppo di Lavoro ex art. 29 (sostituito, il 25 maggio 2018, dal Comitato europeo per la protezione dei dati personali) nelle Linee guida elaborate in materia di consenso, l’uso delle caselle preselezionate non è valido ai sensi del GDPR.

Di conseguenza, anche laddove l’intento di Google fosse effettivamente quello di utilizzare la base giuridica del consenso per legittimare il trattamento in oggetto, la preselezione della casella anzidetta risulterebbe in contrasto con le prescrizioni del GDPR, compromettendo la liceità del trattamento stesso.

Del pari si può escludere che fonte legale del trattamento dei dati di localizzazione raccolti mediante la funzionalità Attività ed App sia costituita dall’esecuzione del contratto di cui il soggetto interessato sia parte.

Stando infatti alle interpretazioni del Gruppo di Lavoro ex articolo 29, il ricorso a questa base giuridica andrebbe relegato alle sole ipotesi in cui il Titolare del trattamento sia in grado di dimostrare l’effettiva imprescindibilità del trattamento stesso ai fini dell’erogazione del servizio.

Nel caso di specie, posta la facoltà attribuita all’utente di abilitare e “mettere in pausa” le funzioni in oggetto tramite il proprio account, è da escludere che il trattamento dei dati di localizzazione sia necessario ai fini dell’esecuzione del contratto.

Considerato che nella policy privacy Google fa rientrare nel novero dei propri interessi legittimi il “fornire pubblicità” e il “capire come le persone utilizzano i nostri servizi al fine di garantire e migliorare il rendimento dei nostri servizi”, è plausibile ritenere che la base legale utilizzata dalla società in relazione al trattamento dei dati personali raccolti mediante la funzione Attività e App sia proprio l’interesse legittimo. Tuttavia, anche in tal caso, non sembra che Google abbia rispettato la normativa europea in materia di protezione dei dati personali.

Ai sensi dell’art. 6, par. 1, lett. f), la base giuridica in oggetto consente al titolare del trattamento che abbia un legittimo interesse a procedere al trattamento anche in assenza del consenso da parte del soggetto interessato o comunque di diversa base giuridica, a condizione che “non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”.

Di conseguenza, il ricorso a questa base legale impone l’esecuzione di un test di bilanciamento fra il legittimo interesse e i diritti e le libertà fondamentali del soggetto interessato, svolto tenendo conto della natura e origine dell’interesse legittimo, dell’eventualità che il trattamento sia necessario per il perseguimento di tali interessi e dell’impatto sui soggetti interessati.

Il considerando n. 47 del GDPR, che tra l’altro menziona il marketing diretto quale esempio di interesse legittimo, precisa che “gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali”.

Inoltre, il Gruppo di Lavoro ex art. 29 nel Parere 6/2014 sul concetto di interesse legittimo chiarisce che un interesse legittimo deve essere lecito (ossia conforme al diritto nazionale e dell’Unione Europea), articolato in maniera sufficientemente chiara e rappresentare un interesse concreto ed effettivo.

In particolare, la seconda delle condizioni menzionate implica che chi tratti i dati personali sulla base di un legittimo interesse di fornisca ai soggetti interessati lo faccia in maniera trasparente, fornendo quindi tutte le informazioni relative al trattamento stesso.

Con riferimento al caso in esame la condizione della “trasparenza” non sembra essere rispettata; si è già detto, infatti, che Google, nella propria policy, non fornisce in modo chiaro le dovute informazioni, soprattutto con riferimento alle finalità del trattamento ma le cela dietro “clic extra” che impongono all’utente un comportamento proattivo.

Allo stesso modo, in fase di creazione dell’account, all’utente sarà noto che la funzione Attività ed App è attiva di default esclusivamente laddove si premuri di cliccare su “Altre opzioni”.

È quindi difficile ritenere che, per quanto possa essere comunemente noto che la pubblicità costituisca il core business di Google, l’utente sia del tutto consapevole del fatto che i propri dati personali, raccolti tramite le funzionalità esaminate, vengano utilizzate dalla società per le finalità di marketing.

Conclusioni

Si è visto come il monitoraggio svolto da Google attraverso le funzionalità Attività Web e App e Cronologia delle posizioni risulti eccessivamente invasivo nella privacy degli utenti, soprattutto considerato che questi ultimi, nella maggior parte dei casi, non sono effettivamente consapevoli dell’utilizzo che la società farà dei propri dati di localizzazione.

Indipendentemente dall’esito dell’indagine avviata dalla DPC, è certo che Google tende ad avere un approccio “indisciplinato” quando si tratta di dati personali, i quali, ovviamente, rivestono un’importanza strategica per una società il cui business è rappresentato proprio dalla pubblicità on-line.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5