Garante per la protezione
    dei dati personali

Provvedimento prescrittivo nei confronti di Google Inc. sulla conformità al Codice dei trattamenti di dati personali effettuati ai sensi della nuova privacy policy

PROVVEDIMENTO DEL 10 LUGLIO 2014

Registro dei provvedimenti
 n. 353 del 10 luglio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTAla direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e delConsiglio, relativa alla tutela delle persone fisiche con riguardo altrattamento dei dati personali, nonché alla libera circolazione di tali dati;

VISTAla direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e delConsiglio, relativa al trattamento dei dati personali e alla tutela della vitaprivata nel settore delle comunicazioni elettroniche;

VISTAla direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e delConsiglio, recante modifica della direttiva 2002/22/CE relativa al serviziouniversale e ai diritti degli utenti in materia di reti e di servizi dicomunicazione elettronica, della direttiva 2002/58/CE relativa al trattamentodei dati personali e alla tutela della vita privata nel settore dellecomunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sullacooperazione tra le autorità nazionali responsabili dell'esecuzione della normativaa tutela dei consumatori;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito Codice);

VISTOil decreto legislativo 28 maggio 2012, n. 69 "Modifiche al decretolegislativo 30 giugno 2003, n. 196, recante codice in materia di protezione deidati personali in attuazione delle direttive 2009/136/CE, in materia ditrattamento dei dati personali e tutela della vita privata nel settore dellecomunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi dicomunicazione elettronica e del regolamento (CE) n. 2006/2004 sullacooperazione tra le autorità nazionali responsabili dell'esecuzione dellanormativa a tutela dei consumatori" (pubblicato nella Gazzetta Ufficialedel 31 maggio 2012 n. 126);

VISTAla pronuncia della Corte di Giustizia, del 13 maggio 2014, nella causaC-131/12;

VISTOil provvedimento del Garante n. 229,dell'8 maggio 2014, relativo alla "Individuazione delle modalitàsemplificate per l'informativa e l'acquisizione del consenso per l'uso deicookie", pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana del3 Giugno 2014, serie Generale, n. 126, del 3 giugno 2014;

VISTAl'Opinion del Gruppo di lavoro per la tutela dei dati personali ex art. 29 (diseguito, WP 29) n. 05/2014 sull'impiego delle tecniche di anonimizzazioneadottata il 10 aprile 2014 ;

VISTEl'Opinion del WP 29 n. 04/2012 in materia di Cookie Consent Exemption, adottata il 7 giugno 2012, ed il Working Document del medesimo WP 29 n. 02/2013providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013;

VISTAl'Opinion del WP 29 n. 2/2006 sugli aspetti di tutela della vita privatainerenti ai servizi di screening dei messaggi di posta elettronica adottata il21 febbraio 2006;

VISTAl'Opinion del WP 29 n. 10/2004 sulla maggiore armonizzazione della fornitura di informazioni adottata il 25 novembre 2004;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREil dott. Antonello Soro;

PREMESSO

1.La società Google Inc. (di seguito, Google), fondata nel settembre 1998, hasede legale in Mountain View, Stati Uniti e dispone di circa 70 sedi ed ufficiin 40 paesi in tutto il mondo. Sul territorio nazionale, e segnatamente aMilano, Google, per il tramite della propria controllata Google InternationalLLC, ha fissato la sede sociale della propria filiale Google Italy S.r.l. conunico socio, società costituita nel 2002 che gode di personalità giuridicaautonoma e, anche in adempimento del "marketing and serviceagreement" sottoscritto con Google Inc., si occupa principalmente dellapromozione, commercializzazione e vendita di spazi pubblicitari generati sulsito web www.google.it e su tutte le altre pagine web in lingua italianacomunque riconducibili alla società. Con atto di nomina del 2010 Google Inc. hadesignato Google Italy quale proprio rappresentante in Italia ai sensi e pergli effetti dell'art. 5 del Codice "in relazione all'applicazione delCodice Privacy e alla normativa sulla tutela dei dati personali".

Googleoffre ai propri utenti numerosissime funzionalità che variano dal motore diricerca sul web (Google search) alla posta elettronica (Gmail), dalle mappeonline (Street View su Google Maps) alla commercializzazione di spazipubblicitari (DoubleClick), dal browser (Google Chrome) al social network(Google +), dalla gestione di pagamenti online (Google Wallet) al negoziovirtuale per l'acquisto di applicazioni, musica, film, libri e riviste (GooglePlay), dalla ricerca, visualizzazione e diffusione di filmati (YouTube) aservizi di immagazzinamento, condivisione e revisione di testi (Google Docs eGoogle Drive), da software per la visualizzazione di immagini satellitari(Google Earth) o per la gestione di agende e calendari (Google calendar) afunzionalità per il controllo e la gestione dei profili dell'utente (GoogleDashboard), a strumenti di analisi statistica e di monitoraggio dei visitatoridi siti web (Google Analytics) e così via.

Sitratta, nella quasi totalità dei casi, di funzionalità offerte a titologratuito agli utenti finali, dal momento che il modello imprenditoriale dellasocietà si fonda innanzitutto sugli introiti ad essa derivanti dalla pubblicità.

Gliutenti di tali funzionalità possono essere distinti a seconda che dispongano diun account creato a seguito di una procedura di registrazione per l'accesso"autenticato" ai servizi di Google (cd. utenti autenticati), ovveroche utilizzino le medesime funzionalità in assenza di previa autenticazione(cd. utenti non autenticati).

Esistepoi un'ulteriore categoria di soggetti (cd. passive users) i cui dati, pur nonutilizzando tali soggetti direttamente le funzionalità di Google, possonocomunque essere acquisiti dalla società, come nel caso in cui navighinoall'interno di siti di terze parti ove vengono installati, tra gli altri, anchei cookie di Google. Sul punto si tornerà più avanti.

Il24 gennaio 2012 Google ha annunciato che dal successivo 1° marzo avrebbemodificato la propria privacy policy unificando in un solo documento le circa70 diverse policy fino ad allora in vigore, ciascuna relativa alla fornitura diun diverso servizio. Le nuove regole si applicano, pertanto, all'insieme deiservizi offerti dalla società e alle diverse tipologie di utenti che neusufruiscono.

Il2 febbraio 2012 il WP 29, per il tramite della CNIL (Commission Nationale del'informatique et des libertés), all'uopo delegata, ha comunicato a Googlel'intenzione di condurre un'analisi della nuova privacy policy alla luce dellarichiamata direttiva 95/46/CE; e ciò con specifico riferimento alla valutazionedella conformità dei trattamenti di dati effettuati dalla società alladisciplina in materia di tutela delle persone fisiche con riguardo al trattamentodei dati personali, nonché alla libera circolazione di tali dati.

Il16 marzo 2012 la CNIL, nella richiamata qualità, ha inviato a Google unquestionario, successivamente integrato da un'appendice, per il tramite delquale ha chiesto alla società di chiarire numerosi aspetti relativi aitrattamenti di dati effettuati; alle domande Google ha reso riscontro condiverse, successive comunicazioni.

IlWP 29 ha pertanto inviato, il 16 ottobre 2012, una comunicazione a firma ditutti i Presidenti delle Autorità di Protezione dei dati personali dell'Unionecon la quale, sulla base dei menzionati riscontri, si contestava alla societàl'omessa conformità dei trattamenti di dati effettuati ai requisiti impostidalla disciplina europea in materia e la si invitava all'adozione delle misureidonee ad assicurare il rispetto di alcuni, specifici principi. Il medesimo WP29 ha poi deliberato la costituzione di un'apposita task force di cui sonostate chiamate a far parte alcune delle autorità di protezione dei dati personalidegli stati membri facenti parte del gruppo, tra cui l'Italia.

Googlenon ha, tuttavia, dato seguito alle raccomandazioni espresse dal WP 29 neitermini da questo indicati.

Concomunicazione del 2 aprile 2013 il Garante, analogamente alle altre Autorità diprotezione dei dati personali coinvolte, ha pertanto informato Googledell'avvio del procedimento amministrativo nei suoi confronti, teso ad uncontrollo, instaurato a seguito sia della ricezione di specifiche segnalazioni,sia delle risultanze dell'istruttoria condotta dal WP 29 (e, per esso, dallaCNIL), sulla liceità e la correttezza dei trattamenti effettuati dalla societàai sensi della nuova privacy policy.

Nelcorso del procedimento l'Autorità ha rivolto diverse richieste di informazionia Google, ha tenuto più audizioni con i suoi rappresentanti ricevendo svariati,ancorché parziali, riscontri ai quesiti posti. Anche in ragione dellespecifiche istanze avanzate dalla società, motivate innanzitutto nellacomplessità necessaria per rendere risposta alle domande e nella volontà diadottare alcune modifiche ed implementazioni nei processi che presiedono edeterminano le modalità di trattamento dei dati personali degli utenti, itermini del procedimento sono stati più volte prorogati a seguito di sospensione,per consentire l'acquisizione di tutti gli elementi necessari alla definizionedel caso di specie.

Googleha adottato, nel corso della procedura, una serie di misure e di modifichedella propria policy per rendere i trattamenti di dati personali più conformialle disposizioni di legge applicabili. Sono state infatti ad esempiomigliorate, rispetto alla fase di avvio dell'investigazione del WP 29,l'informativa presente sul sito relativa all'utilizzo di cookie e di altriidentificativi, sull'impiego di dati di localizzazione o dei numeri di carta dicredito, sono stati introdotti esempi esplicativi anche per il tramite dipop-up, semplificazioni nei meccanismi di gestione di account multipli,migliorata la comprensione dell'utente con riguardo alla terminologia dicarattere tecnico utilizzata etc.

All'esitodell'istruttoria il Garante, sulla base delle disposizioni del Codice, hatuttavia identificato le seguenti criticità, tuttora riscontrabili neitrattamenti di dati personali effettuati dalla società:

A)modalità e contenuto dell'informativa resa agli interessati, anche in relazioneall'esplicitazione delle diverse finalità e alle modalità del trattamento deiloro dati personali (cfr. Terms of service e privacy policy, vers. 31.3.14)(art. 13 del Codice);

B)omessa richiesta del consenso degli interessati per finalità di profilazionetesa anche alla visualizzazione di pubblicità comportamentale personalizzata edall'analisi e monitoraggio dei comportamenti dei visitatori di siti web, nonchémancato rispetto del diritto di opposizione degli interessati (artt. 7, 23, 24e 122 del Codice).

Laprofilazione in questione ed il relativo inoltro di comunicazioni commercialimirate ovvero l'analisi ed il monitoraggio dei comportamenti degli utentivengono effettuati essenzialmente mediante:

a)trattamento, in modalità automatizzata, dei dati personali degli utentiautenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezionedi messaggi di posta elettronica veicolati attraverso Gmail;

b) incrociodei dati personali raccolti in relazione alla fornitura ed al relativo utilizzodi più funzionalità diverse tra quelle messe a disposizione dell'utente;

c)utilizzo di cookie e altri identificatori (credenziali di autenticazione,fingerprinting etc.), necessari per ricondurre a soggetti determinati,identificati o identificabili, specifiche azioni o schemi comportamentaliricorrenti nell'uso delle funzionalità offerte (pattern);

C) tempo di conservazione dei dati (art. 11 del Codice).

2.Quanto al punto A) del paragrafo che precede, l'art. 13 del Codice stabilisceche "L'interessato o la persona presso la quale sono raccolti i datipersonali sono previamente informati oralmente o per iscritto circa: a) lefinalità e le modalità del trattamento cui sono destinati i dati; b) la naturaobbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di uneventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti aiquali i dati personali possono essere comunicati o che possono venirne aconoscenza in qualità di responsabili o incaricati, e l'ambito di diffusionedei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremiidentificativi del titolare e, se designati, del rappresentante nel territoriodello Stato ai sensi dell'articolo 5 e del responsabileŠ".

L'istruttoriacondotta ha accertato che l'attuale informativa resa agli utenti, sebbenemigliorata rispetto all'avvio del presente procedimento, non è ancora conformealla menzionata disposizione di legge.

Èdi tutta evidenza che la preventiva consapevolezza degli utenti circa ipossibili impieghi delle informazioni che li riguardano costituiscel'ineludibile presupposto per consentire agli interessati medesimi di esprimereo meno il proprio consenso ai trattamenti di dati come illustrati dalla società,a seguito della necessaria e personale valutazione sull'impatto che talitrattamenti potranno avere sul proprio diritto alla protezione dei datipersonali.

Ladisciplina di legge richiede allora che la privacy policy predisposta da Googleallo scopo di rendere l'informativa ai propri utenti sia facilmenteaccessibile, ad esempio con un solo click dalla pagina del dominio cui l'utenteaccede, formulata in modo chiaro, completo ed esaustivo.

Alpari è necessario che, a fronte di eventuali aggiornamenti o modifiche di taledocumento, gli interessati siano posti nella condizione di comprendere evalutare i cambiamenti apportati, anche eventualmente mediante raffronto tra lediverse versioni della privacy policy susseguitesi nel tempo.

Nelrimodulare la propria privacy policy Google potrà conformarsi alleraccomandazioni espresse dal WP 29 nell'Opinion n. 10/2004 sulla maggiorearmonizzazione della fornitura di informazioni, adottata il 25 novembre 2004, estrutturarla su più livelli, in quanto: "Le avvertenze multistrato possonocontribuire a migliorare la qualità delle informazioni sulla tutela dei dati;ciascuno strato privilegia le informazioni necessarie alla persona per capirela propria posizione e assumere decisioni. In caso di spazio/tempo dicomunicazione limitato, i formati multistrato possono migliorare la leggibilitàdelle avvertenze".

Èbene tuttavia precisare che una tale architettura dovrebbe essere comunqueconfigurata evitando un'eccessiva frammentazione in un numero troppo elevato dilivelli, pena la dispersione delle informazioni rese che ovviamente necomprometterebbe la fruibilità. Mantenendo, pertanto, la strutturadell'informativa su più livelli, il Garante ritiene opportuno che leinformazioni siano distribuite in accordo con il seguente criterio:

- unprimo livello all'interno del quale ospitare tutte le informazioni di caratteregenerale di maggiore importanza per gli utenti, relative tra l'altro aitrattamenti di dati personali effettuati, alle tipologie di dati personalioggetto di trattamento, anche per categorie (ad es. dati di localizzazione deiterminali degli utenti e dei punti di accesso wi-fi, indirizzi IP, MAC address,dati relativi a transazioni finanziarie e così via), alla qualifica di titolareche compete alla società ed ai suoi estremi identificativi, nonchél'indicazione del rappresentante designato nel territorio dello stato e di unindirizzo presso cui gli utenti possano esercitare in modo agevole ed in linguaitaliana i propri diritti.

Conspecifico riguardo alla sua qualifica di titolare, giova sottolineare che aseguito dell'acquisizione di Youtube da parte di Google avvenuta nell'ottobre2006, anche tale specifica funzionalità che consente la condivisione evisualizzazione in rete di video (video sharing) è divenuta parte integrantedel dominio Google. È emerso, tuttavia, che Google non informa con chiarezzagli utenti circa la propria identità di titolare dei dati personali raccoltianche attraverso l'uso di questo servizio e successivamente incrociati conquelli relativi ad altre funzionalità. Tale indicazione è pertanto necessariosia espressa in modo visibile sia nella privacy policy, sia nelle pagine difruizione di YouTube.

Inquesto primo livello di informativa è inoltre necessario riportare i link allespecifiche policy delle singole funzionalità, ove esistenti, nonché almenol'indicazione della finalità di profilazione, tesa anche alla visualizzazionedi pubblicità comportamentale personalizzata ed all'analisi e monitoraggio dei comportamentidei visitatori di siti web, perseguita attraverso le diverse modalità di:trattamento, in modalità automatizzata, dei dati personali degli utentiautenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezionedi messaggi di posta elettronica veicolati attraverso Gmail, incrocio dei datipersonali raccolti in relazione alla fornitura ed al relativo utilizzo di piùfunzionalità diverse tra quelle messe a disposizione dell'utente, utilizzo dicookie e altri identificatori (credenziali di autenticazione, fingerprintingetc.), necessari per ricondurre a soggetti determinati, identificati oidentificabili, specifiche azioni o schemi comportamentali ricorrenti nell'usodelle funzionalità offerte (pattern).

In lineacon l'indicazione della menzionata finalità di profilazione e delle modalitàattraverso cui la società la persegue, il primo livello dovrà inoltre indicaredettagliatamente le modalità di acquisizione del consenso al trattamento, ovenecessario. Sul punto si tornerà nel prosieguo.

- Ilsecondo livello può essere invece destinato a contenere la policy relativa allespecifiche funzionalità ovvero diversi esempi per chiarire le modalità deltrattamento delle informazioni personali. Tale livello è già esistente, almomento, per funzionalità selezionate (ad esempio Google Wallet, Chrome (OS),Books e Fiber), ma non per tutte. In questo secondo livello potrebbero ancheessere archiviate le precedenti versioni della privacy policy, ancorché non piùin vigore, l'indicazione dei rischi specifici che possono derivare per gliinteressati dall'utilizzo dei servizi (ad esempio in caso di scelta di passwordnon sufficientemente sicure poiché di agevole identificazione etc.) e tutte lealtre indicazioni di dettaglio idonee a consentire il più efficace eserciziodei diritti riconosciuti agli utenti.

Leregole che determinano l'efficacia e la correttezza dell'informativa resaall'utente devono applicarsi in modo identico per ciascun tipo di terminale(mobile, tablet, desktop computer, dispositivi portatili e TV plug-in) e perogni applicazione resa disponibile agli utenti.

3.Quanto al punto B) del paragrafo 1, è necessario preliminarmente richiamare ilprincipio di carattere generale di cui all'art. 23 del Codice, ai sensi delquale "Il trattamento di dati personali da parte di privati Š è ammessosolo con il consenso espresso dell'interessato"; inoltre tale consenso èvalido solo "se è espresso liberamente e specificamente in riferimento adun trattamento chiaramente individuato, se è documentato per iscritto, e sesono state rese all'interessato le informazioni di cui all'articolo 13".Il successivo art. 24 disciplina, poi, una serie di presupposti consideratiequipollenti al consenso, al ricorrere dei quali il trattamento può esserepertanto effettuato anche in assenza di esso. Tra questi, a titoloesemplificativo, l'adempimento di obblighi di legge, l'esecuzione di obblighicontrattuali, il perseguimento di un legittimo interesse del titolare o di unterzo destinatario dei dati etc.

Laportata generale di questo principio trova poi specificazione nelladisposizione dell'art. 122 contenuto nella parte speciale del Codice, esegnatamente nel suo titolo X relativo alle comunicazioni elettroniche, capo I("Servizi di comunicazione elettronica"), ai sensi del quale"L'archiviazione delle informazioni nell'apparecchio terminale di uncontraente o di un utente o l'accesso a informazioni già archiviate sonoconsentiti unicamente a condizione che il contraente o l'utente abbia espressoil proprio consenso dopo essere stato informato con le modalità semplificate dicui all'articolo 13, comma 3. Ciò non vieta l'eventuale archiviazione tecnica ol'accesso alle informazioni già archiviate se finalizzati unicamente adeffettuare la trasmissione di una comunicazione su una rete di comunicazioneelettronica, o nella misura strettamente necessaria al fornitore di un serviziodella società dell'informazione esplicitamente richiesto dal contraente odall'utente a erogare tale servizio".

3.1. Se si esamina la specifica attività di fornitura del servizio di postaelettronica per l'inoltro e la ricezione di messaggi veicolati attraversoGmail, di cui alla lett. a), punto B), del paragrafo 1) che precede, nonché leinformazioni rese al riguardo da Google anche nel corso dell'istruttoria, se netrae che la società, al pari di tutti i maggiori provider, effettua attività ditrattamento, in modalità automatizzata, dei dati personali degli utentiautenticati che utilizzano tale servizio; e ciò per il conseguimento di diversefinalità. Alcune di esse, anche di carattere strettamente tecnico, sonodirettamente riconducibili alla fornitura del servizio in questione secondospecifiche modalità, quali ad esempio l'impiego di filtri antispam, larilevazione di virus, la possibilità, garantita all'utente, di effettuarericerche testuali, utilizzare il controllo ortografico, far ricorso all'inoltroselettivo di messaggi o di risposte automatiche in caso di assenza, gestire lepreferenze e la creazione di regole per l'assegnazione del messaggio a cartelledeterminate in base al suo contenuto, fare uso di flag per marcare messaggisegnati da carattere di urgenza, consentire la lettura vocale dei messaggi persoggetti non vedenti, la conversione delle e-mail in entrata in messaggi di testoper telefoni cellulari etc.

Inquesto caso, il trattamento dei dati degli interessati per le richiamatefinalità - effettuato, come ha precisato la società, in modo del tuttoautomatizzato e dunque senza alcun intervento umano -, come pure persalvaguardare la sicurezza dei servizi offerti all'utente, è, ai sensi delledirettive 95/46/CE e 2002/58/CE prima, e del Codice poi, sottratto all'obbligodella preventiva acquisizione del loro consenso, dal momento che rientranell'ipotesi di deroga che attiene l'esecuzione di obblighi derivanti dalcontratto di fornitura del servizio di posta elettronica.

Peril conseguimento, invece, di finalità ulteriori rispetto a quelle direttamentee strettamente inerenti la messa a disposizione della specifica funzionalità delservizio di posta elettronica, ed in particolare per la visualizzazione, daparte dell'utente autenticato, di messaggi di testo tesi alla fornitura dipubblicità comportamentale personalizzata, è invece necessario che Googleprovveda ad acquisire il preventivo ed informato consenso dei propri utenti.

Atale riguardo, si richiamano anche le conclusioni del WP 29 nel parere n.2/2006 sugli aspetti della vita privata inerenti ai servizi di screening deimessaggi di posta elettronica, del 21 febbraio 2006 che, nell'indagare proprioil delicato bilanciamento tra le esigenze di tutela della riservatezza dellecomunicazioni e quelle della fornitura di servizi connessi all'utilizzo dellaposta elettronica, ed in linea con il dichiarato obiettivo di "promuoveretecnologie che integrino i requisiti di protezione dei dati e tutela dellaprivacy nella realizzazione di infrastrutture e sistemi di informazione, ivicomprese le apparecchiatura terminali", ha espressamente invitato glioperatori del settore a "progettare e mettere a punto sistemi rispettosidella vita privata, riducendo al minimo il trattamento di dati personali elimitandolo a quanto strettamente necessario e proporzionato alle finalità deltrattamento". Nella medesima Opinion il Gruppo si è, peraltro, espressoanche in ordine alla possibilità di ricercare una linea di demarcazione tra leattività di trattamento dei dati effettuate per finalità di gestione delservizio o di sicurezza delle reti, che non necessitano di esserepreventivamente autorizzate dall'interessato, e quelle tese invece alconseguimento di finalità ulteriori, stabilendo peraltro che quando iltrattamento non trova legittimazione nella necessità del provider disalvaguardare la sicurezza del servizio, in forza dell'art. 5, paragrafo 1 delladirettiva e-privacy, deve intendersi fatto divieto ai provider procedere inaltre operazioni del trattamento "senza il consenso degli utenti".

Cosìdelineato il quadro giuridico di riferimento se ne induce allora, con specificoriguardo alla presente istruttoria, che, per le attività di profilazione tesealla fornitura di pubblicità comportamentale mirata mediante trattamento, inmodalità automatizzata, dei dati personali degli utenti autenticati inrelazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi diposta elettronica veicolati attraverso Gmail, è necessario, lo si ribadisce,che Google ne acquisisca il preventivo ed informato consenso.

Conriferimento all'utilizzo della specifica funzionalità di posta elettronica,l'Autorità si riserva comunque l'adozione di ogni iniziativa ritenuta opportunaa tutela degli interessati.

3.2 Con riguardo a quanto indicato alla lettera b) del punto B) che precede,l'istruttoria in questione ha evidenziato che Google procede all'incrocio deidati personali degli interessati anche relativi all'utilizzo di più funzionalitàdiverse tra quelle messe a disposizione (come dichiarato dalla società sianella lettera del 20 aprile 2012 alla CNIL in replica al richiamatoquestionario inviatole, cfr. risposta alla domanda n. 30, sia nella privacypolicy, da ultimo vers. 31.3.14, "Modalità di utilizzo dei datiraccolti") ed ha motivato questa specifica modalità di trattamentoaffermando: "Utilizziamo le informazioni raccolte da tutti i nostriservizi per offrirli, gestirli, proteggerli e migliorarli, per svilupparne dinuovi e per proteggere Google e i suoi utenti. Utilizziamo queste informazionianche per offrire contenuti personalizzati, ad esempio per mostrare risultatidi ricerca e annunci più pertinenti.

Potremmounire le informazioni personali derivanti da un servizio a quelle (comprese leinformazioni personali) di altri servizi Google"(1) .

Talecondotta, seppure in linea con la filosofia imprenditoriale della società laquale ha a più riprese affermato di voler offrire ai propri utenti un serviziounificato mediante l'integrazione e l'interoperabilità di diversi prodotti efunzionalità, anche al fine di fornire agli interessati una migliore esperienzadi utilizzo, appunto, di tali funzionalità (cfr. comunicazione da Google alGarante del 6 dicembre 2013), non appare tuttavia conforme al richiamatodettato normativo, dal momento che le operazioni di trattamento tese allaprofilazione dell'utente anche per scopi di analisi e di monitoraggio deivisitatori di siti web nonché all'invio di pubblicità personalizzata realizzateanche attraverso l'incrocio di dati raccolti in relazione a funzionalitàdiverse, non rientrando in alcuno dei casi di esonero dall'obbligo diacquisizione del consenso di cui all'art. 24 del Codice, possono essereeffettuate soltanto previa espressa manifestazione di volontà dell'utentestesso.

Néè sufficiente, a tal fine, la sola menzione di questa finalità tra quelleoggetto dell'informativa resa agli interessati per esimere Google dall'obbligodi acquisirne un valido consenso. Al riguardo, si consideri che la privacypolicy disponibile sul sito reca l'indicazione per la quale "Richiediamoil consenso dell'utente per utilizzare le informazioni per scopi diversi daquelli stabiliti nelle presenti Norme sulla privacy"; con ciò lasciando,proprio, intendere che tutti i trattamenti relativi a finalità che sono,invece, esplicitate all'interno della privacy policy non necessitino di esserepreventivamente ed espressamente approvati dall'utente con un esplicito atto dimanifestazione della sua volontà.

Taleconclusione non è, naturalmente, in alcun modo condivisibile e, pertanto,l'Autorità ritiene che il trattamento in questione richieda una diversadisciplina e debba essere condotto secondo altre, diverse modalità.

3.3Con riferimento, poi, alle attività poste in essere da Google e richiamate sublett. c), punto B), del paragrafo 1) che precede (utilizzo di cookie e altriidentificatori quali credenziali di autenticazione, fingerprinting etc.), siosserva che, analogamente a quanto già emerso in relazione alla profilazioneeffettuata mediante l'incrocio dei dati di cui si è detto in precedenza, laprivacy policy di Google si limita ad affermare: "Utilizziamo i datiraccolti tramite i cookie e altre tecnologie, come i tag di pixel, permigliorare l'esperienza degli utenti e la qualità generale dei nostriservizi".

L'istruttoriaha consentito di accertare che nel mese di aprile 2013 Google ha resodisponibile una specifica sezione che informa gli utenti sull'installazione dicookie all'interno dei propri terminali. Vi si legge: "I cookie ci aiutanoa fornire i nostri servizi. Utilizzando tali servizi, accetti l'utilizzo deicookie da parte nostra". Tale sezione è corredata di un'area"attiva" (cd. "OK button") che consente all'utenteesclusivamente di segnalare a Google la presa visione della frase oramenzionata. L'eventuale selezione del pulsante è tuttavia priva di alcunaconcreta funzione in relazione alla scelta consapevole che la legge richiedevenga rimessa all'interessato, dal momento che i cookie vengono comunqueinstallati nel suo terminale, a prescindere dalla circostanza che questi abbiacliccato l'OK button o no.

Nonè inoltre in alcun modo prevista l'acquisizione del consenso dell'interessatoalla memorizzazione di tali identificatori all'interno del proprio terminale,se non - come appunto indicato nella breve informativa fornita - per fatticoncludenti, i quali consistono nella passiva accettazione delle condizionid'uso e nel cd. further browsing, cioè nella prosecuzione della navigazioneall'interno del sito. In aggiunta a ciò, è anche emerso che nessuno strumento èreso disponibile al fine di consentire l'eventuale esercizio del diritto diopposizione al trattamento.

Quanto,invece, all'utilizzo di altri identificatori diversi dai cookie - menzionati,lo si è visto, nella privacy policy - non risulta che sia stato implementatoalcun meccanismo per consentire una pur minima interazione dell'utente riguardoil loro utilizzo, se è vero che l'OK button, oggetto di descrizione, faesplicito ed esclusivo riferimento ai cookie.

Giovapertanto precisare, al riguardo, che il ricorso a tecniche di identificazionediverse dai cookie si basa sul trattamento, da parte della società, di datipersonali ovvero anche di informazioni o parti di informazioni (che non sono onon sono ancora dati personali ma che, poste in associazione tra loro ovverocon altre informazioni, possono diventarlo), con l'obiettivo di pervenireall'identificazione inequivoca (cd. single out) del terminale e, per il suotramite, anche del profilo di uno o più utilizzatori di quel dispositivo. Taletecnica, denominata fingerprinting, utilizzata da Google per il conseguimentodelle medesime finalità di profilazione tesa anche alla visualizzazione dipubblicità comportamentale personalizzata ed all'analisi e monitoraggio deicomportamenti dei visitatori di siti web, risulta anch'essa disciplinata, alpari dell'impiego dei cookie, dall'art. 122 del Codice; con ogni riflesso inordine all'obbligo di acquisizione del consenso preventivo dell'interessato,tranne i casi di esenzione previsti (nella specie, trasmissione di unacomunicazione su una rete di comunicazione elettronica o erogazione delservizio su richiesta dell'utente).

Lasola differenza apprezzabile, sulla quale l'Autorità intende comunque porrel'accento, tra l'impiego dei cookie e del fingerprinting, consiste nel fattoche mentre nel primo caso l'utente che non intenda essere profilato, oltre alletutele di carattere giuridico connesse all'esercizio del diritto diopposizione, ha anche la possibilità pragmatica di rimuovere direttamente icookie, in quanto archiviati all'interno del proprio dispositivo, con riguardoal fingerprinting il solo strumento nella sua disponibilità consiste nellapossibilità di rivolgere una specifica richiesta al titolare, confidando cheessa venga accolta. Ciò in quanto il fingerprinting non risiede nel terminaledell'utente, bensì presso i sistemi del provider, ai quali l'interessato nonha, ovviamente, alcun accesso libero e diretto.

Indefinitiva, appare allora evidente che le descritte modalità di trattamentoadottate dalla società per finalità di profilazione tesa anche allavisualizzazione di pubblicità comportamentale personalizzata ed all'analisi emonitoraggio dei comportamenti dei visitatori di siti web, anche realizzata condiverse modalità, non soddisfano i requisiti degli artt. 23, 24 e 122 delCodice e pertanto se ne impone, anche in questo caso, una modifica.

Inaltri termini, il trattamento in esame, come emerso all'esito dell'istruttoria,può essere effettuato solo previo consenso dell'interessato; tale consenso deveinoltre rispondere, ai fini della sua validità, ai requisiti di legge epertanto esso deve essere libero, acquisito in via preventiva rispetto altrattamento medesimo, riferibile a trattamenti che perseguono finalitàesplicite e determinate, informato e documentato per iscritto.

Èdunque necessario, in tal senso, che la sua espressione costituisca unainequivoca manifestazione di volontà da parte dell'interessato.

4.Google, nella sua autonomia imprenditoriale e nella qualifica di titolare deltrattamento cui competono, tra l'altro, proprio "le decisioni in ordinealle Š modalità del trattamento di dati personali" (art. 4, comma 1, lett.f) del Codice), può scegliere in ordine ai criteri ed alle misure da adottareper assicurare la necessaria conformità alla legge dei trattamenti di datidegli utenti volti alla loro profilazione, comunque effettuata.

Consideratala specificità dei servizi on-line offerti dalla società, il Garante proponecomunque una soluzione idonea a soddisfare i menzionati requisiti previstidalle disposizioni vigenti, segnatamente dagli artt. 7, 23 e 122 del Codice.
Inquesta prospettiva, si ritiene che debba necessariamente sussistere uno stadioovvero un momento, nel corso dell'esperienza di navigazione dell'utente eovviamente preliminare rispetto alla fruizione delle funzionalità, nel qualegli sia appunto consentito scegliere tra più, diverse alternative.

Consideratad'altro canto la distinzione, richiamata in premessa, tra utenti autenticati enon autenticati, le forme di acquisizione di tale consenso potranno, diriflesso, essere diversificate proprio in relazione alla tipologia di utenteconsiderata.

4.1In tal senso, con specifico riguardo agli utenti non autenticati, è statopossibile rilevare che, allo stato attuale, in nessun momento della fruizionedi una o più diverse funzionalità esiste uno spazio, fisico ovvero virtuale,idoneo a consentire loro, da un lato, di esprimere un eventuale consenso altrattamento come più sopra identificato; dall'altro e allo stesso tempo aGoogle di prendere atto e tenere traccia delle scelte manifestate.

Nelladelineata situazione, è dunque necessario che Google implementi un talemeccanismo, ad esempio facendo sì che l'utente non autenticato, accedendo allahome page (o ad altra pagina) del sito web, visualizzi immediatamente in primopiano un'area di idonee dimensioni, ossia di dimensioni tali da costituire una percettibilediscontinuità nella fruizione dei contenuti della pagina web che sta visitando,contenente almeno le seguenti indicazioni:

i) cheil sito effettua attività di trattamento dei dati per finalità di profilazionesia mediante trattamento, in modalità automatizzata, dei dati personali degliutenti autenticati in relazione all'utilizzo del servizio per l'inoltro e laricezione di messaggi di posta elettronica veicolati attraverso Gmail, siatramite incrocio dei dati tra funzionalità diverse, sia utilizzando cookie oaltri identificatori anche al fine di inviare messaggi pubblicitari in lineacon le preferenze manifestate dall'utente stesso nell'ambito dell'utilizzodelle funzionalità e della navigazione in rete nonché allo scopo di effettuareanalisi e monitoraggio dei comportamenti dei visitatori di siti web;

ii) illink alla privacy policy, ove vengono fornite tutte le indicazioni di cui alparagrafo 2);

iii) illink ad una ulteriore area dedicata nella quale sia possibile negare ilconsenso alla profilazione ovvero selezionare, in modo esaustivamenteanalitico, soltanto la oppure le funzionalità e le modalità in relazioneall'utilizzo delle quali l'utente sceglie di essere profilato;

iv)l'indicazione che la prosecuzione della navigazione mediante accesso oselezione di un elemento sottostante o comunque esterno all'area in primo piano(ad esempio, di un form di ricerca, di una mappa, di un'immagine o di un link)comporta la prestazione del consenso alla profilazione.

Lamenzionata area deve essere parte integrante di un meccanismo idoneo aconsentire l'espressione di una azione positiva nella quale si sostanzia lamanifestazione del consenso dell'interessato. In altre parole, essa devedeterminare una discontinuità, seppur minima, dell'esperienza di navigazione:il superamento della presenza dell'area visualizzata deve cioè essere possibilesolo mediante un intervento attivo dell'utente (appunto attraverso la selezionedi un elemento contenuto nella pagina sottostante l'area stessa).

Edè di tutta evidenza che, sia da un punto di vista giuridico, sia da un punto divista tecnico, non sarà possibile attribuire il medesimo significato néall'azione, alternativa, che si sostanzia nell'accesso all'ulteriore area nellaquale modulare le scelte né alla selezione, per il tramite dell'apposito link,della pagina che contiene la privacy policy.

Èopportuno sottolineare che ciascuna delle possibili azioni nella disponibilitàdell'utente genera uno specifico evento informatico il quale, per le descrittecaratteristiche, è dunque inequivocamente riconoscibile dal fornitore delservizio che può pertanto agevolmente tenerne traccia.

Nelcaso l'utente abbia acconsentito all'utilizzo dei propri dati per la finalitàesplicitata, tale operazione soddisferà allora pienamente il requisitodell'art. 23 del Codice il quale esige che l'avvenuto consenso sia"documentato per iscritto".
La presenza di tale"documentazione" dell'avvenuta acquisizione del consensodell'interessato consentirà poi a Google di non riproporre alcuna forma didiscontinuità nella navigazione alle ulteriori visite dell'utente, che utilizziil medesimo terminale, sui domini oggetto di questo provvedimento, fermarestando naturalmente la possibilità per quest'ultimo di negare il consenso e/omodificare, in ogni momento e in maniera agevole, le proprie opzioni (cfr. art.7, comma 4 del Codice). Per consentire, proprio, l'effettività di tale dirittodi autodeterminazione, è allora altresì necessario che tutte le pagine weboggetto del presente provvedimento rechino un collegamento all'area dedicataall'interno della quale l'utente potrà esercitare compiutamente i propridiritti.

Nelcaso in cui, invece, l'utente si sia limitato a selezionare il collegamentoalla privacy policy, proprio per ricevere maggiori informazioni al fine dicompiere scelte ancor più consapevoli, il meccanismo in discussione gli dovràessere riproposto alla prima azione successiva alla presa visionedell'informativa, per consentirgli di esprimere il proprio consenso o diniegoal trattamento.

Qualora,infine, abbia scelto di accedere all'area dedicata alla modulazione dellescelte, poiché anche questa azione, al pari della selezione del link allaprivacy policy - lo si è anticipato - non equivale ancora consenso, Google dovràregistrarla, integrando poi questa informazione con quelle, ulteriori, relativealle specifiche scelte poste in essere dall'utente, anche in mododettagliatamente analitico.

Perrealizzare il tracciamento delle azioni e delle scelte, anche di dettaglio(espressione ovvero negazione, in tutto o in parte, del consenso, come pureesercizio del diritto di opposizione alla profilazione) rimesseall'interessato, la società potrebbe avvalersi o di appositi cookie tecnici (intal senso, si veda anche il considerando 25 della direttiva 2002/58/CE), oppuredi altri identificatori diversi dai cookie.

Conl'ovvia, ulteriore avvertenza tuttavia che, qualora la menzionata"documentazione" sia stata effettuata da Google mediante utilizzo dicookie, se l'utente scegliesse, come è nella sua disponibilità, di rimuoveretutti quelli installati sul proprio dispositivo, incluso il menzionatomarcatore "tecnico", poiché questa operazione, non coinvolgendo iltitolare, non equivale esercizio del diritto di opposizione, Google dovrebbenuovamente, anche in questo caso, far ricorso al meccanismo di acquisizione delconsenso sopra rappresentato.

Qualora,invece, la società si sia avvalsa di altri identificatori diversi dai cookie, edunque non archiviati all'interno del dispositivo nella disponibilitàdell'utente, bensì presso i server nella disponibilità del fornitore, al mutaredelle preferenze espresse dall'interessato, essenzialmente sempre revocabili,la società non dovrà fare ulteriormente ricorso al meccanismo di riproposizionedella discontinuità, bensì procedere all'aggiornamento, proprio, delleindicazioni già registrate.

4.2Il meccanismo descritto intende realizzare uno spazio fisico ovvero virtualedeputato alla raccolta ed alla gestione del consenso degli utenti nonautenticati.
Anche agli utenti autenticati dovranno, naturalmente, esseregarantite le stesse tutele; ed è opportuno che, con l'obiettivo di assicurarela medesima fruibilità dell'esperienza di navigazione (user experience), coloroche dispongono di un account Google siano posti nella condizione di utilizzarei meccanismi di espressione, negazione e revoca del consenso già descritti aproposito degli utenti non autenticati. La principale differenza tra lemenzionate tipologie di interessati consiste nella diretta ovvero indirettariconducibilità delle scelte effettuate a soggetti appartenenti all'una ovveroall'altra categoria, essendo l'utente autenticato, per così dire, giàpienamente identificato in re ipsa.

Occorreconsiderare inoltre che anche gli utenti autenticati - sia chi si accinga acreare un nuovo account sia chi già ne disponga e si appresti, nella primasessione utile, a fruire delle funzionalità mediante autenticazione e relativadigitazione delle proprie credenziali - devono necessariamente attraversare unafase della navigazione nella quale, appunto preliminarmente rispetto allacreazione dell'account oppure all'accesso autenticato alle funzionalità, nonsono ancora riconoscibili dal sistema. Pare allora opportuno che, appunto intale fase preliminare, ad essi, al pari dei non autenticati, venga proposto ilmedesimo meccanismo di acquisizione del consenso come sopra ipotizzato; con ladifferenza, tuttavia, che se tali utenti accettano di proseguire nellanavigazione e dunque esprimono il proprio consenso superando la discontinuitàartificialmente indotta per approdare, alternativamente, o alla pagina dicreazione dell'account (per i nuovi autenticati) ovvero a quella nella qualeviene visualizzata la schermata in cui digitare le credenziali diautenticazione (per quelli che già dispongono di un account), questa fase dellanavigazione, che è il momento tipico nel quale il sistema è in grado, in mododiretto ed inequivoco, di attribuire comportamenti e scelte a soggettideterminati, non venga gravata di ulteriori complessità.

Anchein linea con il principio di finalità disciplinato dal Codice, si ritienepertanto che nella delineata situazione l'ulteriore passaggio oggetto didescrizione, configurandosi come specificazione del precedente, possa esseregestito annettendo prioritaria rilevanza alle scelte già consapevolmentemanifestate dall'utente non autenticato e dunque estendendo la validità diquelle stesse volontà anche al momento, logicamente e cronologicamentesuccessivo, nel quale questi subisca un mutamento di status, da non autenticatoad autenticato; alla duplice, rigorosa condizione, tuttavia, che da un latol'utente sia reso pienamente edotto della modalità, come indicata, di confermadelle manifestazioni di volontà già espresse in qualità di utente non autenticatoe del fatto che, essendo talune funzionalità riferibili esclusivamente ad unutente autenticato, le relative scelte sono dunque nell'esclusiva disponibilitàdi quest'ultimo. Dall'altro lato, che gli siano sempre pienamente garantiti siail diritto di revoca (del consenso o del diniego espressi in precedenza) siaquello di integrare le proprie preferenze anche con riguardo alle funzionalitàfruibili solo da un utente autenticato (ad esempio, Gmail); e ciò mediante lapredisposizione di apposito e ben visibile link all'area dedicata in cuiesercitare tali diritti, anche in maniera esaustivamente analitica; includendo,pertanto, in tale area anche l'elencazione delle funzionalità che, essendoappunto utilizzabili solo previa sottoscrizione dell'account, possonocostituire oggetto della scelta del solo utente autenticato.

Restainteso che le scelte in ordine al trattamento dei propri dati per finalità diprofilazione espresse da un utente non autenticato, proprio perché non legatead un account, avranno validità esclusivamente con riferimento allo specificodispositivo utilizzato, tanto nella prima quanto nelle successive sessioni,fino ad una eventuale revoca; non altrettanto può dirsi, invece, per lamanifestazione di volontà espressa dall'utente autenticato, la quale, perl'essenziale, menzionata caratteristica di diretta riconducibilità delle sceltead un soggetto individuato in re ipsa, è destinata ad estendere la propriavalidità anche nell'ipotesi nella quale l'utente autenticato fruisca dellefunzionalità e dei servizi mediante utilizzo di più, diversi dispositivi.

Inaltri termini, mentre la documentazione delle scelte espresse dall'utente nonautenticato è efficace soltanto con riferimento al dispositivo utilizzato,quella relativa alle scelte di chi dispone di un account Google permane, anchese tale utente faccia uso di più di un dispositivo.

Daultimo, con specifico riguardo ai cd. passive users (e cioè, lo si ripete, queisoggetti che non utilizzano direttamente le funzionalità di Google, ma i cui datipossono tuttavia comunque essere acquisiti dalla società, ad esempio perchénavigano su siti di terze parti diverse dalla società ove sono installati anchecookie di Google), l'Autorità richiama espressamente le prescrizioni giàemanate nel provvedimento n. 229, dell'8 maggio 2014, relativo alla"Individuazione delle modalità semplificate per l'informativa el'acquisizione del consenso per l'uso dei cookie" (in Gazzetta Ufficialen. 126 del 3 Giugno 2014) il quale ha stabilito che, in tale situazione, saràil publisher, e cioè il gestore del sito ove avviene la navigazione, araccogliere il consenso anche per l'installazione dei cookie da parte di Googleed a farsi carico di acquisire, già in fase contrattuale, il collegamento(link) alla o alle pagine web contenenti le informative e i moduli perl'acquisizione del consenso relativo ai cookie di Google.

Purribadendo la facoltà per Google di adottare la procedura tecnica che ritienepreferibile per assicurare la conformità dei trattamenti di dati personalieffettuati alla disciplina applicabile, l'Autorità ritiene che la soluzioneillustrata sia qualificabile come quella che presenta, a tecnologia vigente suinternet, il minor livello di discontinuità nell'esperienza di navigazionedell'utente.

5. Quanto al punto C) del paragrafo 1, relativo al tempo di conservazione deidati, l'art. 11, comma 1, lett. e) del Codice stabilisce che i dati debbanoessere "conservati in una forma che consenta l'identificazionedell'interessato per un periodo di tempo non superiore a quello necessario agliscopi per i quali essi sono stati raccolti o successivamente trattati".

Conle comunicazioni del 16 e del 22 maggio 2012 il WP 29 ha richiesto alla societàdi chiarire per quanto tempo vengano conservati i dati degli utenti e, inparticolare, la durata massima del tempo di conservazione di quelleinformazioni in relazione alle finalità dei diversi trattamenti di datipersonali effettuati. Questo aspetto è stato successivamente indagato anche nelcorso della procedura nazionale. Il Garante ha specificamente chiesto a Googledi integrare il riscontro reso al WP 29, ricevendone risposte non esaustive.

Ineffetti, nella comunicazione del 28 giugno 2013, Google ha richiamato quanto giàaffermato a proposito del solo tempo di archiviazione della cd. search history(indefinitamente o fin quando l'utente stesso non rimuova i dati dellacronologia in caso di utenti non registrati e fino a 180 giorni per quelliregistrati; 9 mesi per la conservazione degli indirizzi IP prima dell'anonimizzazionee 18 mesi per quella dei cookie). Per il resto, e sempre in via puramenteesemplificativa, ha fatto riferimento alle ricerche parziali in Google Search,digitate nel Google instant service, che sarebbero cancellate"generalmente dopo due settimane" (cfr. le risposte alle domande 19 e20 del questionario). Né è stata di grande ausilio l'affermazione, contenutanel servizio di assistenza on-line per gli account di Google all'atto delleverifiche di carattere istruttorio che sono state condotte dall'ufficio,secondo cui è consentito all'utente eliminare dati dalla cronologia webutilizzando la funzione di rimozione. In tal modo, vi si leggeva, i dativerranno rimossi dal servizio: "Tuttavia, Google mantiene un sistema dilog separato per motivi di controllo e per migliorare la qualità dei serviziofferti agli utenti" (cfr.https://support.google.com/accounts/answer/54052?hl=it); tale dicitura è stataperaltro oggetto di lievi modifiche nel corso dell'istruttoria, sì che risulta,al momento, del seguente, letterale tenore: "Gli elementi eliminati dallacronologia web non sono più associati al tuo account Google. Tuttavia Googlepotrebbe memorizzare le ricerche in un sistema di log separato per impedirespam e utilizzi illeciti, oltre che per migliorare i suoi servizi".

S'impone,al riguardo, un duplice ordine di considerazioni: da un lato quella per laquale non pare sufficiente l'affermazione che, pur assicurando la dissociazionedella cronologia web di un utente dal suo account, non chiarisce tuttavia inalcun modo se il risultato di tale operazione garantisca una effettiva edefficace anonimizzazione del dato stesso, secondo i criteri ed i principifissati dal WP 29 (cfr. l'opinion n. 05/2014 sull'impiego delle tecniche dianonimizzazione adottata il 10 aprile 2014)(2).

Dall'altrolato, permane comunque l'indicazione generica per la quale le informazionipersonali in questione, pur a seguito della rimozione, restano nelladisponibilità di Google per non meglio identificate ragioni di miglioramentodei servizi e per un tempo potenzialmente illimitato.

Purconsiderata la modifica testuale alla privacy policy, allora, l'Autoritàritiene che anche tale aspetto non possa considerarsi conforme ai requisiti diliceità del trattamento fissati dal Codice; con l'effetto che appare necessarioche, sullo specifico tema, Google implementi nuove misure di maggior tutela pergli interessati.

Alriguardo, è opportuno sottolineare che il rispetto dei principi in materia diconservazione dei dati può essere assicurato mediante ricorso a due modalità,l'una che si fonda sul rispetto del principio di finalità in base al quale idati non possono essere conservati per un tempo ulteriore rispetto a quellonecessario per il conseguimento dello scopo per il quale sono stati oggetto ditrattamento (cd. retention policy); l'altra che prende invece in considerazionela scelta (e la conseguente azione positiva, ovvero la richiesta)dell'interessato di ottenere, a determinate condizioni, la cancellazione deidati personali che lo riguardano nella titolarità di Google (cd. deletionpolicy).

L'archiviazionedelle informazioni in questione è organizzata, nel modello adottato da Google,in funzione del tempo trascorso dal momento della loro acquisizione. Èpossibile distinguere, infatti, tra dati mantenuti su sistemi c.d. attivi(live-serving) e dati che invece siano successivamente archiviati sui sistemidi back-up. Occorre osservare, inoltre, che l'istruttoria non ha consentito diaccertare con precisione quale sia la durata del periodo di conservazione deidati sui sistemi del primo tipo e, di conseguenza, da quando decorral'archiviazione dei dati sui sistemi di back-up. Né è stato chiarito dallasocietà il periodo massimo di conservazione delle informazioni personali degliinteressati.

Iltema della cancellazione dei dati personali nella titolarità di Google è stato,di recente, interessato dalla nota decisione della Corte di Giustiziadell'Unione Europea del 13 maggio 2014 che, nella causa C-131/12, si èpronunciata, tra l'altro, proprio sulla cancellazione, al ricorrere deipresupposti per l'esercizio del diritto all'oblio, di dati personali nellatitolarità di Google relativi ai risultati delle ricerche effettuate attraversola funzionalità del motore di ricerca; stabilendo tra l'altro, per la primavolta, che tali richieste possono essere avanzate anche direttamente al gestoredel motore di ricerca, ancorché le relative informazioni siano stateoriginariamente pubblicate su altri siti e successivamente indicizzate daGoogle.

Lapronuncia della Corte in materie di particolare complessità e delicatezza e lesue molteplici e significative implicazioni, comprese quelle sulle misure daadottare per la gestione delle menzionate richieste, hanno costituito oggettodi una prima riflessione anche nell'ambito del WP 29 il quale, nel corso dellariunione plenaria del 2 e 3 giugno scorsi, ha deciso di analizzare, appunto, leconseguenze della sentenza e di "identificare delle linee guida al fine disviluppare un approccio comune delle Autorità di protezione dei dati europeeriguardo l'implementazione della decisione. Tali linee guida saranno di ausilioper le Autorità a stabilire una modalità di risposta alle richieste degliinteressati nel caso in cui il motore di ricerca non proceda alla cancellazionedei contenuti la cui rimozione era stata oggetto di richiesta" (cfr. pressrelease del WP 29 del 6 giugno 2014, disponibile al link http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/20140606_wp29_press_release_google_judgment_en.pdf).

Google,in adempimento delle prescrizioni della Corte, ha comunque sin dal 30 maggiou.s. reso disponibile un tool per consentire agli utenti di avanzare lerelative istanze di cancellazione. Lo strumento predisposto è stato accolto confavore dal WP 29, che ha dichiarato al riguardo di considerare tale misura"un primo passo nella direzione dell'adeguamento della società alledisposizioni della normativa europea nel solco delle prescrizioni della Corte,sebbene sia prematuro, a questo stadio, valutare se esso sia da considerarsiinteramente soddisfacente" (cfr. press release, cit.).

Laparticolare innovatività della materia e la complessità delle implicazioniconnesse all'adempimento delle prescrizioni della Corte di giustizia in materiadi richieste di cancellazione di dati personali relativi ai risultati dellericerche effettuate attraverso la funzionalità del motore di ricerca alricorrere dei presupposti per l'esercizio del diritto all'oblio rendono alloraopportuno, a giudizio dell'Autorità, anche in linea con le dichiarazioniespresse dal WP 29 ora richiamate, astenersi in questa fase dall'imporre aGoogle prescrizioni non ancora vagliate né da una prima esperienza, né dalconseguimento di un assetto comune condiviso da tutte le Autorità di protezionedati interessate dalle nuove regole.

Perquesta ragione, e riservandosi comunque sin d'ora qualsiasi tipo di interventoche sarà ritenuto opportuno al fine di garantire agli utenti la più ampiatutela dei propri diritti nel solco della recentissima pronuncia di carattereinterpretativo resa dalla Corte di giustizia, più volte menzionata, l'Autoritàintende limitare in questa fase l'esplicazione dei propri poteri prescrittivi atutti i casi nei quali le richieste di cancellazione dei dati personali nellatitolarità di Google siano formulate da un utente registrato, cioè che disponedi un account. Ciò in quanto l'accoglimento, appunto, di una tale richiesta dicancellazione consente fin d'ora non soltanto l'identificazione certa, da partedella società, dell'identità del richiedente, ma anche l'individuazione specificadelle informazioni che possono costituirne oggetto, in quanto automaticamenteriferibili all'account del richiedente e, di riflesso, non assoggettabili adalcun processo di valutazione arbitraria.

Tenutoconto, inoltre, di quanto affermato in precedenza in ordine alla recentepronuncia della Corte di Giustizia, l'ambito di applicazione del presenteprovvedimento sarà, altresì, limitato alle richieste di cancellazione cheinteressino l'utilizzo di funzionalità diverse da quella relativa al motore diricerca (Google search) la quale legittima, al ricorrere di determinatipresupposti, l'esercizio del diritto all'oblio.

All'esitodell'istruttoria, il Garante ritiene pertanto che Google, per assicurare laconformità alla legge dei trattamenti di dati effettuati, come megliospecificati in precedenza, sia tenuta a dotarsi di una policy di data deletion,cioè di cancellazione dei dati su richiesta degli utenti autenticati, cherispetti le prescrizioni indicate nella parte dispositiva del presenteprovvedimento; nonché di una policy di data retention che tenga rigorosamenteconto del rispetto del principio di finalità previsto dall'art. 11, comma 1,lett. e) del Codice.

6.Il Garante è consapevole delle difficoltà tecnico-operative connesseall'implementazione delle misure cui Google è tenuta ai fini dell'adempimentodelle prescrizioni di cui al presente provvedimento, in quanto si tratta dimodifiche relative ad una molteplicità di funzionalità rese disponibili su unapluralità di piattaforme tecnologiche e sistemi operativi, peraltro di nontrascurabile complessità tecnica. In considerazione di quanto sopra, è dunqueipotizzabile un arco temporale di adeguamento sufficientemente ampio,quantificabile nell'ordine dei 18 mesi, nel corso del quale l'Autorità si riservadi valutare lo stato di avanzamento delle misure e la loro corrispondenza alpiano operativo di sviluppo ed implementazione delle prescrizioni impartite chesarà predisposto da Google. In questa prospettiva, e considerata la specificaproposta avanzata in tal senso dalla società nel corso dell'istruttoria, ilGarante intende accettare l'impegno vincolante ed irrevocabile assunto daGoogle di sottoscrivere un apposito protocollo di verifica volto a disciplinarele modalità ed i tempi relativi allo scambio di documentazione tra Google el'Autorità, nonché le modalità di enforcement e, appunto, dei riscontri chel'Autorità effettuerà nel corso del summenzionato arco temporale anche pressoGoogle medesima.

TUTTO CIO' PREMESSO, IL GARANTE

consideratala complessità degli aspetti indotti dall'analisi della nuova privacy policy diGoogle tesa alla valutazione della conformità dei trattamenti di datieffettuati dalla società alla disciplina in materia di tutela delle personefisiche con riguardo al trattamento dei dati personali e, pertanto, conespressa riserva di eventuali ulteriori approfondimenti e/o determinazioni chepotranno rendersi necessari, ai sensi degli artt. 143, comma 1, lett. b) e 154,comma 1, lett. c), del Codice, prescrive a Google Inc., con sede in MountainView, USA, con specifico riguardo ai trattamenti di dati personali relativiall'utilizzo delle funzionalità offerte per il tramite del sito webwww.google.it e di tutte le altre pagine web in lingua italiana comunquericonducibili alla società:

1)in adempimento dell'art. 13 del Codice, di rendere un'informativa completa edefficace agli utenti, secondo i criteri e le modalità indicate al paragrafo 2del presente provvedimento;

2)ai sensi delle disposizioni di cui agli artt. 23 e 122 del Codice, di acquisireil consenso preventivo degli utenti, sia autenticati che non autenticati, inrelazione al trattamento delle informazioni che li riguardano, anche derivantidal trattamento, in modalità automatizzata, dei dati personali degli utenti autenticatiin relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggidi posta elettronica veicolati attraverso Gmail, tramite incrocio dei datipersonali raccolti in relazione alla fornitura ed al relativo utilizzo di piùfunzionalità tra quelle messe a disposizione, nonché per l'utilizzo di cookie edi altri identificativi per finalità di profilazione tesa anche alla fornituradi pubblicità comportamentale nonché all'analisi e monitoraggio deicomportamenti dei visitatori di siti web, secondo i criteri e le modalitàindicate al paragrafo 3 del presente provvedimento; e di garantire ai medesimiinteressati la possibilità dell'esercizio del diritto di opposizione di cuiall'art. 7 del Codice;

3)in osservanza del principio di cui all'art. 11 del Codice in materia diconservazione di dati e con esclusione delle richieste di cancellazionerelative all'esercizio del diritto di oblio avanzate in ordine ai risultatidelle ricerche rinvenibili nel web attraverso l'uso della specifica funzionalitàdel motore di ricerca (Google search):

- nelcaso le informazioni si trovino sui sistemi cd. attivi, di provvedere allacancellazione dei dati personali su richiesta dell'interessato autenticatoentro il termine massimo di due mesi, ritenuto congruo tale periodo in ragione,da un lato, della possibile indeterminatezza della richiesta e, dall'altro,dell'accertamento, da parte della società, dell'identità del richiedente nonchédell'agevole, specifica individuazione delle informazioni oggetto della richiesta,in quanto automaticamente riferibili all'account di questi e, di riflesso, nonassoggettabili ad alcun processo di valutazione arbitraria. Il menzionatotermine massimo di due mesi è quantificabile, per ragioni legate al calendario,in 62 giorni solari e dunque le richieste dovranno essere accolte entro ilcompimento del 63° giorno, a seguito comunque di un periodo preliminare pari a30 giorni nel corso del quale i dati si troveranno in stato di disattivazione;ritenuto necessario, tale periodo preliminare, a tutela dell'utente medesimo,in quanto idoneo a prevenire cancellazioni accidentali o fraudolente dei suoidati personali;

- qualora, invece, i dati siano stati archiviati nei sistemi di back- up, iltempo massimo per procedere alla relativa cancellazione sarà pari a sei mesidalla richiesta dell'utente autenticato, quantificabili in 180 giorni solari edunque entro il compimento del 181° giorno. Durante questo periodo è tuttavianecessario che la sola operazione consentita sui dati sia il recupero diinformazioni perse e che esse siano protette da accessi non autorizzatimediante utilizzo di idonee tecniche di cifratura o, se del caso, dianonimizzazione dei dati stessi; ciò in accordo con i principi identificati dalWP 29 nell'Opinion n. 05/2014 sull'impiego delle tecniche di anonimizzazionedel 10 aprile 2014;

- diadottare una policy di data retention conforme al principio di finalità fissatodal Codice.

4)L'implementazione delle misure di cui ai punti da 1 a 3 dovrà avvenire entro enon oltre 18 mesi dalla data della notifica del presente provvedimento.

5)Google dovrà proporre all'Autorità, entro il 30 settembre 2014, il testo delprotocollo di verifica indicato nella parte motiva del presente provvedimentoal fine di sottoporlo alla valutazione ed alla successiva approvazione delGarante medesimo. Tale protocollo disciplinerà l'espletamento delle attività dicontrollo e verifica ivi previste, secondo le modalità ed i tempi che sarannoindicati nel protocollo medesimo. Dal momento dell'approvazione da partedell'Autorità decorrerà un ulteriore periodo pari ad almeno 12 mesi perl'espletamento di tali attività.

Avversoil presente provvedimento può essere proposta opposizione ai sensi degli artt.152 del Codice e 10 del d.lg. n. 150/2011 con ricorso dinanzi all'autoritàgiudiziaria ordinaria, da presentarsi entro il termine di trenta giorni dalladata della sua comunicazione ovvero di sessanta giorni se il ricorrente risiedeall'estero.

Roma, 10 luglio 2014

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia

___________________________________________

1) In un saggiodi recente pubblicazione a firma di Hal R. Varian, capo economista di Google,dal titolo "Beyond Big Data", presentato il 10 settembre 2013 al NABEAnnual Meeting in San Francisco, CA., si legge che "Google runs about10,000 experiments a year in search and ads. There are about 1,000 running atany one time, and when you access Google you are in dozens of experiments. Whattypes of experiments? There are many: user interface experiments, rankingalgorithms for search and ads, feature experiments, product design, tuningexperiments" (cfr. http://people.ischool.berkeley.edu/~hal/Papers/2013/BeyondBigDataPaperFINAL.pdf). L'affermazione fotografa un fenomeno di proporzionienormi e fortemente strutturato all'interno della logica di business checonnota la società, il quale tuttavia sfugge spesso alla consapevolezza degliutenti e, più ancora, alla loro capacità e ai loro diritti diautodeterminazione.



2) È, d'altrocanto, noto nella letteratura scientifica di settore che la rimozione di datidirettamente identificativi, specie nei servizi on-line, non impedisce lasuccessiva reidentificazione degli interessati, come mostrato chiaramente,negli ultimi anni, dai casi AOL e Netfix (cfr. Opinion WP 29 n. 05/2014sull'impiego delle tecniche di anonimizzazione adottata il 10 aprile 2014, pgf.2.2.3, 3.1.1.3 e Annex A.2, ivi con ulteriori riferimenti in nota).