Google è stata accusata dal web browser rivale Brave di condividere i dati personali dei suoi utenti tra tutti i suoi servizi senza aver ottenuto consenso esplicito e specifico a tale data sharing, così violando la General data protection regulation dell’Unione europea (Gdpr). Lo sostiene la denuncia presentata alla Irish Data protection commission (Dpc), il regolatore irlandese che vigila sull’applicazione delle norme sulla privacy da parte delle aziende che operano in Ue, da parte della società Brave Software, che offre il web browser Brave.
I dati servono per le “esperienze personalizzate”
La società agisce dietro indicazione del suo Chief policy and industry relations officer Johnny Ryan, che accusa Google di prendere i dati dei suoi utenti da un servizio per il quale ha ottenuto il consenso all’utilizzo dei dati e li passa poi a tutti gli altri suoi servizi indiscriminatamente e senza necessariamente aver ottenuto l’autorizzazione.
Per esempio, Google potrebbe prendere il consenso dell’utente al tracciamento della posizione o all’accesso alla cronologia di YouTube e applicare tale consenso ad altri servizi cui l’utente è registrato ma che non sta usando in quel momento e per i quali non ha dato l’autorizzazione allo sfruttamento dei dati.
Il data sharing verrebbe usato da Google anche al fine di costruire nuovi servizi mirati, continua la denuncia. Questo comportamento “aiuta Google a darvi esperienze più personalizzate sia dentro che fuori Google”, si legge nel documento.
Il principio della “limitazione di trattamento”
Secondo Brave Google avrebbe violato gli articoli del Gdpr che richiedono alle aziende di fornire un preciso scopo per il quale i dati personali sono raccolti e elaborati e di garantire il principio di limitazione del trattamento dei dati. In pratica, Google verrebbe meno al principio secondo cui l’utilizzo dei dati personali deve avere uno scopo circoscritto e chiaro al consumatore. Secondo la denuncia, invece, Google “non specifica in modo esplicito e trasparente lo scopo per il quale i dati sono raccolti e utilizzati”.
Il detentore dei dati non ha un’idea chiara di che fine fanno i suoi dati e come vengono sfruttati e così non ha nemmeno la possibilità di esercitare pienamente il diritto all’opt-out, sostiene Brave.
Secondo l’accusa, il comportamento di Google ricade anche nella pratica ritenuta illecita da parte dell’Article 29 Working party nella sua opinione sulla limitazione di trattamento e le linee guida sulla trasparenza.
La politica del “Data free-for-all”
Brave ha accompagnato la sua denuncia con un altro documento, visibile sul sito della stessa Brave, intitolato “Inside the black box: a glimpse of Google’s internal data free-for-all”, in cui spiega come Google – secondo la società che la accusa – condivida i dati in modo indiscriminato, per esempio quando un utente scarica un’app dal Play Store, passando i dati dalla app scaricata ai cookie sullo stesso device. Brave contesta il linguaggio “vago” con cui Google illustra le sue policy e la presunta mancanza di giustificazione legale per ogni scopo di utilizzo.
La replica di Google
“Queste accuse ripetute che provengono da un concorrente commerciale non reggono a fronte di una seria analisi”, ha replicato un portavoce di Google. “Ogni giorno, venti milioni di utenti accedono al proprio account Google per scegliere come Google deve processare i loro dati. Le nostre norme sulla privacy e le spiegazioni che forniamo agli utenti spiegano chiaramente come i dati vengono conservati e quali sono le opzioni disponibili. Sappiamo che i nostri utenti vogliono questo tipo di controllo e investiamo fortemente per renderlo possibile”.
Dossier sul tavolo della Vestager
Come parte della denuncia Brave ha chiesto all’autorità irlandese della privacy di esigere da Google che fornisca una lista completa e specifica degli scopi per i quali i dati personali sono utilizzati e le basi legali che li giustificano. Brave afferma, riportando nella denuncia lo scambio di email con Google, che il colosso americano si è rifiutato di dare risposte soddisfacenti alle domande di Brave.
Secondo Ryan e i suoi legali il modo in cui Google tratta i dati rappresenterebbe anche una violazione delle norme antitrust e la denuncia alla Dcp è stata mandata anche agli uffici della commissaria europea alla concorrenza e al digitale Margrethe Vestager, nonché alle autorità nazionali di Regno Unito, Irlanda, Germania e Francia.
È la terza inchiesta su Google per la Dcp
La Dcp sta già conducendo due inchieste sulla gestione dei dati da parte di Google. Una riguarda i set di dati ricavati dalla posizione (Gps). L’authority sta valutando se Google ha le basi legali per tali utilizzi e i suoi processi siano trasparenti a sufficienza da rispettare il Gdpr. L’altra indagine è scaturita sempre da una denuncia di Brave che ha accusato Google di usare un sistema che aggira le regole del Gdpr e permette di fornire informazioni agli inserzionisti di pubblicità senza il consenso degli utenti, un’accusa ovviamente respinta da Google.