Contesto. A seguito di un reclamoda noyb e da un'analoga reclamo dall'ONG francese "La Quadrature du Net" la CNIL (l'autorità francese per la protezione dei dati personali) ha inflitto una sanzione pecuniaria di 50 milioni di euro su Google a causa dell'opaca politica sulla privacy dell'azienda e della mancanza di una base giuridica per gli annunci personalizzati. Questo è finora il più alto multa adottata da una DPA come decisione finale. Tuttavia è ben al di sotto della sanzione massima prevista dal GDPR del 4% del fatturato globale di Google (si tratterebbe di 3,7 miliardi di euro) La decisione della CNIL si è concentrata principalmente su due specifiche violazioni del GDPR: la mancanza di informazioni sufficienti agli utenti e la mancanza di una base giuridica per il trattamento dei dati personali a fini pubblicitari
Max Schrems, presidente onorario di noyb:"L'importo è minuscolo per Google, ma è comunque un simbolo importante per dimostrare che le multe del GDPR possono raggiungere importi seri".
La decisione è stata impugnata da Google dinanzi al Conseil d'Etat francese (il più alto tribunale amministrativo) con la motivazione che la DPA francese non ha giurisdizione sulla sede europea di Google. Google ha sostenuto, tra l'altro, che l'autorità irlandese per la protezione dei dati dovrebbe condurre qualsiasi caso o indagine sulle sue pratiche. Il Conseil d'Etat conferma la decisione della CNIL in tutti i punti
Google non può scegliere l'autorità di regolamentazione irlandese In oggi decisioneIl Conseil d'Etat ha confermato la sanzione e la giurisdizione della DPA francese su Google. Google ha cercato di fuggire in Irlanda, poiché l'autorità di regolamentazione irlandese ("DPC") non ha finora emesso una sola multa ai sensi del GDPR contro un attore privato. A differenza dell'autorità di regolamentazione irlandese, che ha impiegato più di 18 mesi per completare una rapporto su reclami depositata contro Facebook, Instagram e Whatsapp, la CNIL ha emesso il suo rapporto entro 5 mesi il 22 ottobre 2018 e ha emesso una decisione finale entro otto mesi.
Max Schrems: "È molto importante che aziende come Google non possano semplicemente dichiararsi "irlandesi" per sfuggire alla supervisione delle autorità di regolamentazione della privacy"
Lotta per le competenze nazionali All'interno dell'UE, lo "stabilimento principale" definisce quali Stati membri sono responsabili dell'applicazione del GDPR. Se non esiste una "istituzione principale", qualsiasi autorità può decidere da sola. Il Conseil d'Etat ha confermato che, anche se la sede europea di Google si trovava in Irlanda, lo stabilimento irlandese non aveva potere decisionale sulle operazioni di trattamento in questione al momento della decisione. Poiché il meccanismo dello "sportello unico" non era quindi applicabile, la CNIL era competente a prendere qualsiasi decisione in merito alle operazioni di trattamento effettuate da Google, come qualsiasi altra autorità di protezione dei dati nell'UE
Informazioni non facilmente accessibili. Il Conseil d'Etat ha confermato la valutazione della CNIL: le informazioni contenute nell'informativa sulla privacy di Google non erano facilmente accessibili agli utenti. Le informazioni di base da fornire sono diffuse in troppi documenti e sono accessibili solo dopo diverse fasi (a volte fino a 5 o 6 azioni). Non era quindi conforme al GDPR
Le informazioni non sono chiare. La CNIL ha anche concluso che alcune informazioni non sono sempre chiare e complete. L'utente non è in grado di capire realisticamente cosa fa Google con i suoi dati personali: ad esempio, i motivi per cui Google utilizza i dati, le basi legali per il loro trattamento o le categorie di dati trattati sono stati giudicati troppo vaghi
Nessun consenso valido per annunci personalizzati. Mentre Google ritiene di aver ottenuto il consenso dell'utente per il trattamento dei dati ai fini della personalizzazione degli annunci, la CNIL ha concluso che tale consenso non è valido per due motivi
(1) il consenso se non sufficientemente informato e non può essere né "specifico" né "univoco" considerando che le informazioni sono diluite in diversi documenti
(2) inoltre, il GDPR prevede che il consenso sia "specifico" solo se è dato distintamente per ogni scopo. Google ha tuttavia richiesto il consenso a tutte le operazioni di trattamento.
Conseguenze. Max Schrems: "Questa decisione richiede sostanziali miglioramenti da parte di Google. La loro politica di tutela della privacy deve ora rendere cristallino ciò che fanno con i dati degli utenti. Gli utenti devono anche avere la possibilità di accettare solo alcune parti di ciò che Google fa con i loro dati e di rifiutare altre cose".