Il CNIL condanna Google per operazioni di trattamento non conformi al GDPR. Sanzione record da 50 milioni di Euro

Con delibera del 21 gennaio 2019, l’autorità francese per la protezione dei dati personali (CNIL) ha sanzionato la società Google LLC con una multa pari a 50 milioni di Euro per la violazione del Regolamento UE n. 679/2016 (GDPR).

Il 25 ed il 28 Maggio 2018, il CNIL era stato interessato da due segnalazioni provenienti dalle associazioni None Of Your Business (“NOYB”) e La Quadrature du Net (“LQDN”), che avevano raccolto le doglianze di 9974 utenti di Android, noto sistema operativo sviluppato da Google per dispositivi mobili. Tali associazioni contestavano le modalità con cui Google chiedeva il consenso dei nuovi utenti al momento di configurare il loro profilo Android.

Riuniti i procedimenti, il CNIL ha valutato la condotta di Google LLC sotto tre diversi profili: a) la competenza dell’autorità francese a decidere del caso di specie (artt. 55-56 GDPR), b) la violazione degli obblighi di trasparenza e di adeguata informativa da parte di Google LLC (artt. 12-13 GDPR), 3) la base legale del trattamento posto in essere da Google LLC (art. 6 GDPR).

In relazione al primo profilo, il CNIL ha respinto la tesi di Google LLC secondo cui competente a sindacare la condotta avrebbe dovuto essere l’Autorità irlandese, nazione in cui ha sede Google Ireland Ltd, stabilimento principale di google LLC in Europa.  Secondo il CNIL “il résulte de ces dispositions [Artt. 4(16), 55(1) e 56(1), Considerando 36] que, pour pouvoir être qualifié d’établissement principal, l’établissement concerné doit disposer d’un pouvoir de décision vis-à-vis des traitements de données à caractère personnel en cause.” Criterio dunque essenziale per qualificare uno stabilimento come principale ai fini del Regolamento è dunque l’attribuzione a questo di “poteri decisionali in materia di dati personali“, che il CNIL non ha ravvisato in capo a Google Ireland Ltd, ma solo in capo alla società americana.

Con particolare riguardo al secondo profilo, nella procedura di creazione di un nuovo profilo Android, l’interessato non veniva adeguatamente informato, inter alia, delle finalità, delle modalità di conservazione dei propri dati, nonché della possibilità di non fornire alcuni propri dati personali. Il CNIL ha in particolare rilevato la difficoltà, per l’interessato, di reperire le informazioni necessarie a maturare un consenso specifico al trattamento, all’interno della procedura di registrazione predisposta dal titolare.

Di conseguenza, il consenso reso dagli interessati non poteva essere considerato lecito ai sensi dell’art. 6 GDPR, che richiede l’espressione di una volontà libera, specifica, informata ed inequivocabile.

Degno di nota è altresì il profilo sanzionatorio: nella quantificazione dell’ammenda, l’autorità ha tenuto conto della gravità e della ripetitività delle violazioni commesse da Google LLC.

Segnaliamo, infine, che la delibera in esame costituisce, a quanto ci è dato sapere, la prima applicazione in chiave sanzionatoria del GDPR.

(Il provvedimento integrale in lingua originale è consultabile al seguente link).”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *