di Lorenzo Vittorio Labruna

Il 21 Gennaio 2019 la Commission Nationale de l’Informatique et des Libertés (Il Garante della Privacy nell’ordinamento francese) ha comminato, ai sensi dell’art. 83, comma 5, GDPR, una sanzione di cinquanta milioni di euro a Google LLC per violazione degli obblighi imposti dal Regolamento europeo sulla Privacy. Si tratta della prima applicazione della sanzione più incisiva prevista dal GDPR, la quale impone il pagamento di importi che possono arrivare a venti milioni di Euro, ovvero al quattro per cento del fatturato mondiale totale annuo dell’impresa colpita.

In particolare, il garante francese ha sanzionato Google per non aver rispettato gli obblighi di trasparenza imposti dal Regolamento e di aver utilizzato dati personali per la personalizzazione delle inserzioni pubblicitarie (c.d. ads) senza aver ottenuto prima un valido consenso. Con riferimento alla prima contestazione, Google avrebbe “disseminato” le informazioni relative alla finalità del trattamento, al periodo di conservazione ed alle categorie di dati trattati in molteplici documenti, sì da renderle difficilmente accessibili e conoscibili dall’utente. Ciò che invece ha rilevato la CNIL sul secondo profilo di illegittimità è che i consensi al trattamento dei dati per la personalizzazione degli “ads sarebbero invalidi (oltre che per la carenza informativa già citata) in quanto il relativo modulo per il consenso al trattamento dati predisposto dalla società consisterebbe di un segno di spunta preselezionato accessibile all’utente solo tramite un collegamento ipertestuale denominato “altre opzioni” situato sotto un modulo di consenso per altre finalità di trattamento. L’effetto evidente è che l’utente che non dovesse selezionare tale collegamento ipertestuale finirebbe per prestare inconsapevolmente il proprio consenso per più finalità di trattamento: ciò in violazione dell’art. 7 del GDPR ove prevede quali condizioni per la validità del consenso la chiarezza, l’accessibilità e la specificità.

Il provvedimento della commissione francese mostra ancora una volta come il Regolamento GDPR, lungi dall’essere un decalogo di rigide regole formali, introduca nel nostro ordinamento norme ispirate al principio di effettività. Si tratta, infatti, di un testo normativo che impone nuovi standard qualitativi che non possono essere soddisfatti con la mera adozione di sterili modelli formali, ma che necessitano l’effettivo perseguimento di obiettivi di carattere sostanziale.