Una multa senza precedenti. È successo in Francia dove il CNIL, l’autorità francese per la protezione dei dati, ha comminato al colosso digitale di Mountain View una multa da 50 milioni di euro per non aver fornito ai propri utenti, informazioni accessibili e trasparenti riguardo alle modalità di trattamento dei loro dati.
Un episodio che fa capire come il periodo di clemenza caratterizzato da multe relativamente blande - vedi gli episodi di Portogallo, Germania e Austria - sia finito. Dunque tutte le aziende, grandi o piccole, sono avvertite. Il momento di correre ai ripari è arrivato.
La violazione di Google
Le difformità che il Cnil ha rilevato nella gestione dei dati di Google riguardano principalmente due aspetti. Da una parte l’estrema frammentazione delle informazioni sulle modalità di trattamento dei dati e dall’altra, la mancanza di un consenso realmente informato.
Rispetto al primo punto l’autorità francese ha fatto notare come le informazioni siano presenti, ma difficilmente accessibili. Disseminate su una molteplicità di pagine Web sono raggiungibili dall’utente solo dopo una lunga serie di click con conseguente violazione dell’articolo 12 che prescrive la facile accessibilità delle informazioni.
I principi che regolano l’obbligo informativo del titolare verso l’interessato richiedono una comunicazione chiara, concisa e comprensibile delle informazioni. E’ evidente come una presentazione in forma frammentata, rappresenti una violazione diretta di questo principio.
La seconda difformità riguarda invece la modalità con cui Google ottiene il consenso al trattamento dei dati personali utilizzando un’informativa generica e valida per tutti i suoi differenti servizi.
Anche in questo caso le disposizione del GDPR sono molto chiare: il consenso dell’utente deve essere granulare, libero e informato per ogni finalità richiesta dal trattamento.
Multa esemplare ed avvertimento
La sanzione francese avrà sicuramente un peso rilevante nella gestione delle prossime sanzioni e concretizza il pericolo che, in questo momento, corrono diverse aziende, digitali e non.
Ad affermarlo, autorevoli voci come quella di Ryan Kalember, senior vice president cybersecurity strategy di Proofpoint che afferma. “La multa Gdpr comminata a Google rappresenta una lezione importante, anche per le altre aziende che osservano la crisi da lontano. Avendo ricevuto la sanzione più elevata dall’entrata in vigore del GDPR, Google costituisce oggi l’esempio di ciò che potrebbe accadere in caso di mancata conformità”.
Anche Gastone Nencini, country manager italiano di Trend Micro, sembra essere della stessa idea. “Questa multa rappresenta un campanello d'allarme per i giganti della tecnologia e qualsiasi altra società che raccoglie e accumula enormi quantità di dati personali senza applicare la dovuta cura e attenzione alla protezione, alla conservazione e allo smaltimento sicuro dei dati quando non più necessari”.
La multa a Google sta spaventando molte aziende che trattano dati personali. Se tu sei tra queste, contattaci. Verificheremo insieme il tuo stato di compliance.