Una nuova iniziativa di Maximilian Schrems contesta l’utilizzo del sistema operativo Android, di Google. Nello specifico, un esposto all’autorità austriaca di tutela dei dati personali. Il quadro giuridico è offerto dal Gdpr e si innesta sulla ‘sostanza’ del consenso, ricercata dal giurista austriaco che contesta l’aspetto meramente ‘formale’ dello stesso.
Come incide il sistema operativo degli smartphone sulle nostre vite? Quali abitudini monitora? Se il New York Times, a fine dicembre aveva posto questioni di ordine generale in merito alla minaccia che gli smartphone pongono alla democrazia, in Europa la Commissione ha sanzionato il gigante di Mountain View per abuso di posizione dominante di Android.
Secondo Maximilian Schrems, che ha dato battaglia a Facebook riportando una prima importante vittoria, che ha condotto alla sostituzione del Safe Harbor con il Privacy Shield e che ha avviato anche un’altra azione volta a contestare quest’ultimo (si. v. quanto scritto in questo Osservatorio, Schrems procura ancora battaglia a Facebook), il sistema operativo Android di Google genera una profilazione che il singolo non è può fronteggiare o contrastare (all’interno dello stesso sistema operativo). In alcun modo. L’opt-out non è effettivo.
Si tratta, nello specifico, dell’Android Advertising AD (AAID) e dei “cookie banners”, che consentono di tenersi fuori dal sistema di rilevamento delle preferenze che poi vengono raccolte (anche da terzi) a fini pubblicitari. È un sistema che si basa specificamente su Android, ma essenziale per l’intero ecosistema di Google. Quest’ultima utilizza tali rilevazioni sia per i propri servizi sia a fini di rivendita a terzi di informazioni preziosissime a fini pubblicitari (dalle abitudini di navigazione agli interessi personali, dai siti maggiormente frequentati agli argomenti ricercati, ecc.).
Non è un argomento per soli informatici: vi è una precisa ricaduta giuridica che investe il sistema operativo dei telefoni targati Android. È in discussione, infatti, una possibile violazione del Gdpr (Regolamento Ue n, 679/2016).
Maximilian Schrems, in particolare, ha presentato un reclamo alla autorità austriaca della protezione dei dati personali (Cnil) proprio su questa base – sostenendo che il consenso che gli utenti devono fornire a Google per usare il sistema operativo sia forzato (o falsato, perché, in concreto, non vi è possibilità di fuoriuscire dalle forme di profilazione generate dal sistema operativo, come anticipato poco fa).
Nel reclamo si sostiene, tra l’altro, che il sistema di profilazione è generato “without any “opt-in” consent button that would activate the AAID. It is unclear what legal basis (if any) the Controller is using to generate the AAID” (§ 2.3). Vi sarebbe, quindi, un “invalid consent”, in contrasto con l’art. 6, par. 1, del Gdpr.
Vi è, poi, un ulteriore argomento. Google, su richiesta dall’interessato, che ha poi presentato il reclamo, ha sostenuto che “[i]n the case of non-account holders, Google does not have the means to verify the identity of data subjects from an Advertising ID, and therefore, we cannot take specific action on the basis of the content contained in your email”. Questo aspetto, che riguarda la possibility di esercitare i diritti in materia di privacy non dall’interno di Android, ma dall’esterno, ossia con richiesta tramite email personale a Google, è contestato in modo fermo: “[u]pon receipt of a data subject request, the controller cannot refuse to act unless it “demonstrates that it is not in a position to identify the data subject” (§ 2.4 del reclamo, in accordo con l’art. 12, par. 3, Gdpr). Si lamenta, pertanto, la violazione degli art. 7, par. 3, 21, par. 2 e 3, 17, par. 1, lett. b), del Regolamento n. 679, in quanto nessuna attività è stata posta in essere per cancellare le informazioni detenute da Google sull’identità del singolo.
Anche in base ad altre valutazioni giuridiche alternative a quella suesposta (per i dettagli, si v. il § 2.5 del reclamo), il reclamo conclude affermando come sia impossibile esercitare i diritti sanciti dall’art. 7 par. 3, del Gdpr e, in particolare: a) fermare la profilazione basata sull’analisi dei dati personali all’interno del sistema Android e b) esercitare una richiesta non tramite Android, ma tramite altro canale (come la propria email), perché in tal caso Google risponde di non poter verificare l’identità del soggetto (e, quindi, di non poter accordare a esso l’esercizio dei diritti).
Da segnalare che viene espressamente lamentata anche l’assenza di correttezza (fairness), sancita dall’art. 5, par. 1, lett. a), del Regolamento n. 679.
Il procedimento è appena iniziato e occorrerà seguirne gli esiti, anche con le prevedibili ricadute giurisdizionali.
Google potrebbe trovarsi in difficoltà, in quanto l’atro gigante del mercato dei telefonini, la Apple, consente invece di disattivare tale meccanismo (secondo lo schema dell’opting out).
Per ora, può trarsi una valutazione preliminare.
L’approccio seguito da Schrems (attraverso l’organizzazione My Privacy Is None Of Your Business) è quello di un approccio selettivo, che analizza in modo accurato le possibili violazioni della normativa. Nella galassia dell’informatica e dei sistemi offerti in modo massiccio al singolo è facile perdersi: una operazione di contrasto complessivo, prima che controproducente (non si vuole diventare novelli luddisti), sarebbe inefficace. La soluzione non è ricercata, in altri termini, attraverso una geometria definita, ma dall’introduzione stratificata di rimedi di volta in volta ritenuti applicabili. In questo scenario, l’Unione europea, con l’introduzione del regolamento sulla tutela della privacy, conferma di aver introdotto uno strumento in grado di fare fronte a sistemi globali la cui regolazione sfugge a una disciplina unitaria.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.