GDPR

Published on giugno 29th, 2018 | by dirittodellinformatica.it

0

Regno Unito, prima class action contro Google per violazione della privacy

Brutte notizie in casa Google: il colosso di Moutain View è al centro di una class action nel Regno Unito per aver illecitamente registrato e analizzato i dati di circa 5 milioni e mezzo di utenti IPhone, di fatto aggirando le impostazioni privacy del browser Safari.

La vicenda

Nel novembre scorso, il gruppo guidato dall’ex direttore esecutivo dell’ente consumatore Which? nonché capo dell’associazione Google You Owe Us, Richard Lloyd, ha avviato un’azione legale collettiva allo scopo di ottenere un risarcimento in favore degli utenti Apple, i quali, tra l’agosto 2011 e il febbraio 2012, sarebbero stati illegalmente spiati tramite il cosiddetto “trucco Safari”.

Il “Safari Workaround”

Il tutto origina da un codice scoperto nel 2012 da un ricercatore dell’Università di Stanford (che nel linguaggio informatico si definisce “exploit”), il quale, sfruttando la vulnerabilità dei sistemi operativi e delle applicazioni installate sui dispositivi della Mela, agisce infiltrandosi a sua volta nel codice del browser Safari, bypassando così le impostazioni predefinite volte a bloccare preventivamente i contenuti di terze parti.

Tramite l’utilizzo di un cookie passivo quindi, tale codice consente il tracciamento dei dati di navigazione dell’utente, il quale, pur non compiendo materialmente nessuna azione, lo accetta inconsapevolmente.

Tuttavia, pare non essere la prima volta che questo genere di falle nei sistemi operativi vengano sfruttate per effettuare una vera e propria profilazione degli utenti: già nel 2012 Big G era stata costretta a versare 17 milioni di dollari di risarcimento agli utenti di 37 stati americani, oltre al pagamento della sanzione di 22 milioni e mezzo di dollari comminata dalla Federal Trade Commission, finora la più elevata che sia mai stata applicata dall’Ente ad una multinazionale.

La disciplina della profilazione nel GDPR

L’attività di profilazione viene presa seriamente in considerazione dal Regolamento Europeo sulla protezione dei dati personali (c.d. GDPR): si tratta di operazioni che possono mettere potenzialmente a rischio i diritti e le libertà dei soggetti interessati, in particolare quando sono realizzate tramite meccanismi totalmente automatizzati che si limitano ad inquadrare le persone fisiche, sulla base dei dati personali raccolti, in categorie generali e predefiniti e sono potenzialmente in grado, in questo modo, di influenzarne e, talvolta, limitarne, le scelte e le decisioni in molteplici ambiti.

Vista tale importanza, il Gruppo di lavoro Articolo 29 si è soffermato specificamente sulla profilazione, che viene definita come la raccolta di informazioni riguardanti un individuo o un gruppo di individui con lo scopo specifico di analizzarne le caratteristiche e successivamente inserirli in categorie o gruppi predeterminati, per effettuare delle valutazioni o delle previsioni in merito alle loro preferenze di consumo.

Seguendo lo schema del GDPR, la profilazione in senso tecnico avviene tramite un trattamento automatizzato sui dati delle persone fisiche con l’obiettivo di analizzarne il comportamento, le abitudini o lo stile di vita, senza che tuttavia essi ne abbiano effettiva percezione.

Alla luce di tale ultimo elemento, il Titolare deve quindi fornire un’informativa chiara, completa ed esaustiva all’interessato in modo tale da renderlo effettivamente consapevole circa il trattamento concretamente effettuato e dell’eventuale svolgimento di un’attività di profilazione. Il consenso dell’utente è peraltro necessario quando le aziende intendano profilare i dati dei destinatari interessati. La prestazione del consenso – è opportuno ricordarlo – dev’essere sempre espressa, concretizzandosi cioè in una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato” (art. 4 del GDPR).

L’udienza dinanzi al Tribunale di Londra

È la prima volta che nel Regno Unito viene affrontata una class action per una questione legata al trattamento dei dati personali di consumatori effettuato su larga scala da una multinazionale. Durante l’udienza tenutasi lo scorso 21 maggio, i legali di Google You Owe Us hanno esposto che, attraverso questo sistema, Google è stata in grado di raccogliere milioni di informazioni personali degli utenti, molte delle quali di carattere “sensibile”: tra i dati oggetto di profilazione rientravano infatti la razza, le condizioni di salute fisica, mentale e finanziaria o ancora le diverse inclinazioni politiche e sessuali dei soggetti tracciati.

Durante la propria deposizione, lo stesso Lloyd non ha esitato a definire l’utilizzo improprio dei dati personali degli utenti “gravemente abusivo della fiducia riposta in Google” circa i trattamenti da questa effettuati.

Dal canto suo, Google definisce insussistenti i presupposti per un’azione risarcitoria collettiva (che nel diritto anglosassone si definisce come “azione rappresentativa” ndr) stante l’impossibilità di risalire ai dati dei singoli utenti, la cui raccolta era avvenuta sei anni prima.

Il caso non ha mancato di riaccendere il dibattito scatenatosi attorno all’annosa vicenda della tutela dei dati personali da parte dei grandi colossi informatici, alla luce soprattutto del recente scandalo che ha visto coinvolti Facebook e la società di analisi Cambridge Analitycs.

Nel Regno Unito, diversi esperti legali ritengono che questo caso abbia concrete possibilità di proseguire il suo iter giudiziario, poiché in passato la questione era stata oggetto di un analogo procedimento riguardante però un soggetto singolo (causa Vidal Hall v. Google del 2015).

Nonostante questa causa sia stata definita in via stragiudiziale – dato che Google fu costretta a ritirare il proprio ricorso instaurato davanti alla Corte Suprema del Regno Unito –  risulta estremamente importante nel riconoscere i pregiudizi patrimoniali e non patrimoniali subiti da un soggetto a seguito del trattamento illecito dei propri dati da parte di una multinazionale e tali da cagionargli ingenti perdite economiche e notevoli sofferenze psicologiche.

Le problematiche dietro all’azione risarcitoria proposta da Google You Owe Us

Le difficoltà maggiori risiedono nel dimostrare l’omogeneità del pregiudizio subìto da 5 milioni e mezzo di utenti Apple, al fine di renderlo suscettibile di essere provato collettivamente. Contrariamente a quanto sostenuto dai legali dei consumatori, ovvero che la sola violazione della privacy degli utenti rappresenti una ragionevole “cartina al tornasole” per dimostrare la sussistenza di un danno comune a tutti gli interessati, Google contesta che la perdita e il conseguente utilizzo illecito dei dati sia avvenuto con modalità identiche per tutti gli utenti, il che dovrebbe necessariamente condurre al rigetto della richiesta di risarcimento.

Altrettanto difficoltosa risulta l’esatta quantificazione monetaria dell’entità di tale “perdita” di dati: nel caso in esame, Google You Owe Us sostiene che il risarcimento del danno sia di per sé riduttivo rispetto all’enorme guadagno realizzato da Google tramite la cessione a terzi delle informazioni, soprattutto considerando che l’entità reale del pregiudizio continuerà a manifestarsi anche a distanza di diversi anni.

In realtà, la richiesta di 3,2 miliardi di sterline a titolo di risarcimento è stata ottenuta sulla base di calcoli effettuati precedentemente da Apple, che, nel caso precedente a cui abbiamo fatto cenno sopra, ha stimato il pregiudizio del singolo in circa 727 sterline. Questa cifra, a sua volta, è stata ricavata probabilmente a partire dall’indennizzo di 750 sterline che nel 2013 era stato calcolato a favore di un utente nel caso simile Halliday v. Creazione Consumer Finance Ltd.

Altro aspetto critico riguarda il fatto che l’associazione dei consumatori dovrebbe riuscire a convincere il giudice dell’esistenza di un piano plausibile e realizzabile per contattare tutti gli utenti coinvolti, in modo tale da garantire a ciascun soggetto coinvolto il diritto ad un equo risarcimento. Dall’associazione peraltro assicurano di aver impostato un programma che, tramite i social media, permetterà di verificare se e quali utenti siano stati profilati tramite i dati personali detenuti da Google attraverso Apple. Ciò consentirebbe quindi di determinare anche quali utenti nel biennio 2011 – 2012 fossero in possesso di un ID Apple.

Conclusioni

Come si è avuto modo di esporre, la profilazione è considerata tra le attività di trattamento maggiormente critiche, costituendo una fonte di possibili pregiudizi per i diritti e le libertà dell’interessato, tanto più quando questi sia inconsapevole del trattamento di cui sono oggetto i propri dati e delle conseguenze che possono derivare da tali tipologie di trattamento. L’auspicio è che le nuove norme introdotte dal GDPR svolgano una funzione, da un lato, dissuasiva nei confronti di quei trattamenti abusivi in modo da non pregiudicare l’esperienza di navigazione degli utenti sul web e, dall’altro, di controllo e di regolamentazione delle operazioni di profilazione automatizzate.

Dott. Ercole Dalmanzio

Tags: , , , , , , ,


About the Author



Back to Top ↑