Fino a ieri era noto come la Commissione Europea, a seguito delle indagini del Garante francese per la protezione dei dati personali (CNIL), aveva intimato a Google la rettifica delle proprie policy per la tutela della privacy. Quel che emerge ora è qualcosa di più dettagliato ed incisivo: la lettera inviata a Larry Page (co-fondatore e CEO Google) e firmata dai garanti europei intima in realtà 12 punti dettagliati per pilotare la rettifica Google ed impone soprattutto un tempo limite di 4 mesi entro cui adeguarsi alle normative.
Occorre sottolineare come la “scadenza” dei 4 mesi siano una indicazione proveniente dalle agenzie, qualcosa che dalle comunicazioni CNIL non trapela a titolo ufficiale. La roadmap sembra pertanto più una indicazione di indirizzo che non una scadenza vera e propria, un modo per indicare a Google l’urgenza di una risposta più che un ultimatum in forma di diktat.
Google da parte sua ha preso tempo: ha confidato piena convinzione nel proprio rispetto della legge comunitaria europea, ha confermato le proprie posizioni, ma ha chiesto tempo per poter verificare al meglio quanto recepito nella lettera ricevuta in queste ore.
La pubblicazione della lettera della CNIL a Google ha chiarito molti aspetti della vicenda. Anzitutto, l’autorità ritiene che le risposte del gruppo alle precedenti interrogazioni provenienti dall’Europa non abbiano soddisfatto i principi di protezione dei dati personali in tema di limitazione della raccolta e limitazioni degli scopi di sfruttamento del database: Google non avrebbe insomma rispettato i principi su cui l’UE basa la propria tutela dei dati ed ora si chiede invece piena aderenza a tale aspetto. Le preoccupazioni vertono anzitutto sull’incrocio dei dati provenienti dalle proprietà del gruppo, poiché su tale aspetto non sarebbero state rispettate tutte le normative e soprattutto non si sarebbe data piena e trasparente comunicazione agli utenti delle finalità per cui i dati vengono incrociati ed utilizzati i dati così aggregati. Ultimo motivo di preoccupazione è la mancanza di una tempistica di “data retention”, su cui l’UE intende avere indicazioni e limiti precisi.
A Google vengono forniti inoltre 12 punti specifici, 12 risposte necessarie di cui si chiede di rendere conto:
- sviluppare notifiche informative sulla privacy su tre livelli: all’interno delle pagine di prodotto, all’interno della nuova policy ed in relazione alle caratteristiche specifiche del prodotto;
- sviluppare presentazioni interattive che consentano di esplorare facilmente i contenuti della policy;
- aggiungere informazioni più precise circa l’uso dei dati con impatto significativo sugli utenti (localizzazione, carte di credito, identificatori univoci, telefonia, biometria);
- rendere accessibili i dati da mobile;
- assicurarsi che gli utenti passivi siano informati in modo appropriato;
- semplificare i meccanismi di opt-out per utenti autenticati e utenti non-autenticati e rendere il tutto disponibile da una postazione univoca;
- differenziare le finalità delle combinazioni dei dati con strumenti appropriati;
- raccogliere consensi espliciti sulla combinazione dei dati;
- offrire agli utenti autenticati la possibilità di controllare la raccolta dei dati sui servizi su cui effettuano il login;
- limitare la combinazione dei dati per gli utenti passivi;
- implementare l’art.5(3) della European ePrivacy Directive;
- estendere a tutti i paesi i processi progettati per Google Analytics in Germania.
L’UE incoraggia Google ad agire proattivamente in tempi rapidi e chiede conto delle novità non appena il gruppo avrà progettato la propria reazione alla lettera. L’Europa, insomma, pretende risposte.