Google Privacy Policy – US Background

Google Privacy Policy – US Background

di Marco R. Provvidera. Nonostante, già in passato, su alcune discutibili prassi di data storage del colosso di Brin si siano sollevate notevoli perplessità, la recente querelle sul link privacy sulla homepage di Google ha avuto inizio con un articolo del 30 maggio scorso, a firma dell’esperto IT Saul Hansell sul New York Times – “Is Google Violating a California Privacy Law?” – ove si faceva presente che il California Online Privacy Protection Act del 2003 pone un obbligo per chi opera un sito Web commerciale che raccoglie informazioni personali sugli utenti di “posizionare in modo evidente la politica privacy sul proprio sito Web” e che, di conseguenza, Google era in violazione di tale disposizione.

Che significa “in modo evidente”? La legge precisa che il link alla policy deve essere “situato sulla homepage, ovvero sulla prima pagina significativa che si incontra dopo l’accesso al sito”.

Il link di Google appariva soltanto cliccando “About Google”, cioè ben 3 clicks successivi all’accesso alla homepage.

In seguito al citato primo articolo di Hansell –che ha poi proseguito la campagna di stampa sino al risultato, del 4 luglio scorso, di ottenere, per gli utenti, il posting del link privacy sulla homepage di Google- ben quattro gruppi di privacy advocacy hanno chiesto a Google un mutamento di prassi. L’intera vicenda ha finito per attirare l’attenzione del California Office of Privacy Protection, agenzia statale incaricata di far applicare la legislazione vigente in materia, la quale ha iniziato un intervento, seguendo un approccio fermo ma cooperativo. Il Direttore dell’agenzia, Ms. Joanne McNabb, sentita da Hansell, aveva da subito espresso il punto di vista che Google avesse in effetti l’obbligo di collocare il link privacy sulla homepage.

Google ha inizialmente opposto resistenza. La posizione della compagnia consisteva nel ritenere la propria politica sufficiente ed in ottemperanza con la citata legge dello Stato della California, in particolare utilizzando, a supporto di tale posizione, proprio la citata precisazione, contenuta nella norma, della “prima pagina significativa”. Tuttavia, non soltanto un parere del 2004 dello studio legale specializzato Cooley Godward Kronish affermava che la sola opzione di “posizione evidente” del link sul sito è proprio quella sulla homepage, anche alla luce dell’interpretazione adottata da un’altra agenzia statale, il California Office of Information Security and Data Protection, ma anche Chris Hoofnagle, ricercatore al Berkley Center for Law and Technology, sempre intervistato per e-mail da Hansell del New York Times, pur ricostruendo la ratio della posizione iniziale di Google nelle eccezioni, previste nell’Act, per i cosiddetti online services –nel senso di un obbligo più mitigato sul punto, in quanto tali siti spesso aprono con splash pages e sarebbero dunque impossibilitati a collocare il link privacy sulla homepage – sostiene che, in ogni caso, Google mai rientrerebbe nella categoria degli online services, secondo l’interpretazione prevalente della norma in questione.

L’impatto italiano

A proposito delle puntuali perplessità, espresse dal presidente IIP Bolognini, sulla sufficienza del richiamo all’informativa privacy che ora appare cliccando il link sulla homepage – Google ha inteso evitare uno scontro legale sul punto ed ha, dunque, come sopra ricordato, finalmente acconsentito a posizionare il link privacy sulla homepage – si può preliminarmente osservare che, anche prescindendo dai complessi problemi di giurisdizione su Internet, è in effetti probabile che la homepage italiana del motore di ricerca, Google Italia, dovrebbe, anche brevemente, soffermarsi sul richiamo alla normativa applicabile (D.lgs. 196/2003).

Infatti, il trattamento dati in seguito a query su Google potrebbe addirittura concernere dati sensibili, oltre che personali, ove si rifletta sul contenuto di alcune possibili, ed in verità sicuramente diffuse, ricerche online, ad esempio in campo medico.

Inoltre è ipotizzabile che, essendo l’operazione di storage dei dati finalizzata negli USA, sorgano anche ulteriori e complessi problemi legali relativi alla trasmissione dei dati personali e sensibili al di fuori della UE, nonché alla normativa applicabile, in ambito comunitario e nazionale, sulla data retention.

L’IIP andrà a sottoporre con ogni probabilità entro qualche mese al Garante un’articolata richiesta di parere in merito all’intera questione, fornendo, naturalmente, sia una propria posizione iniziale sia un successivo feedback.

Marco R. Provvidera, avvocato, Responsabile Studi Internazionali IIP