Estratto SIG – CNIL c. Google
Continua la striscia di contenziosi tra l’autorità di supervisione francese e il colosso californiano, per presunte violazioni della disciplina europea sulla protezione dei dati personali e sulla privacy nelle comunicazioni elettroniche.
Il 31 dicembre 2021 il CNIL ha irrogato sanzioni per complessivi 150 milioni di euro a due società del gruppo sull’assunto che gli utenti dei siti google.fr e youtube.com non possono rifiutare i cookie, tanto agevolmente come accettarli.
Principali contenziosi tra CNIL e Google.
Considerazioni complessive
“Non c’è due senza tre” – verrebbe da dire – considerate le tre vicende che hanno visto soccombente il colosso americano nei confronti dell’autorità di supervisione francese, a seguito dell’irrogazione di sanzioni per violazioni della disciplina europea in materia di dati personali e riguardo alla privacy nelle comunicazioni elettroniche, il cui totale complessivo ammonta ad oggi alla cifra considerevole di 300 milioni di euro.
La strada sembra ormai tracciata e consolidata, come testimoniano le due decisioni del Consiglio di Stato che hanno respinto gli appelli inoltrati da Google contro i primi due provvedimenti sanzionatori. Gli ingredienti di questa strategia di attacco del regolatore francese sono:
- ambito ePrivacy
- riconducibilità dell’attività online a Google LLC
- rilievo degli stabilimenti nella UE
- competenza dell’autorità francese
- esclusione del meccanismo di cooperazione previsto per i trattamenti transfrontalieri.
ePrivacy
Il primo ingrediente di questa strategia vincente è stato quello di muoversi nell’ambito applicativo della disciplina ePrivacy per due motivi principali, specificamente perchè:
- le regole ePrivacy, soprattutto una volta interpretate alla luce del sopravvenuto GDPR, risultano diffusamente disattese
- questa disciplina, ad oggi, è regolata dalle direttive 2002/58/CE e 2009/136/CE i cui principi sono stati recepiti nei singoli ordinamenti degli Stati membri, con competenza propria delle autorità di supervisione nazionali.
Riconducibilità delle attività a Google LLC
Ulteriore elemento della strategia di attacco dell’autorità francese è la dimostrazione della riconducibilità delle attività online di Google (come quelle per il sistema android e quelle della gestione dei cookie) alla società americana Google LLC, anzichè (o in aggiunta) alle ulteriori consociate europee del gruppo.
Caso del sistema operativo Android del 2019
Il primo provvedimento sanzionatorio, in ordine di tempo, ha riguardato alcuni profili significativi, specificamente l’accertamento che:
- sulle attività in oggetto la pertinente titolarità fosse in capo a Google LLC, in quanto quest’ultima esercitava sulle stesse un esclusivo potere decisionale in merito a finalità e mezzi del trattamento
- il GDPR fosse applicabile in quanto tali servizi erano indirizzati a individui che si trovano sul territorio francese e che alcuni di essi rappresentano un monitoraggio di individui sul territorio francese (art. 3.2, GDPR)
- le medesime attività risultassero strettamente connesse alle attività principali di Google France, su cui il CNIL ha competenza territoriale esclusiva.
Caso della gestione dei cookies del 2020
Nella vicenda dei cookie oggetto del provvedimento sanzionatorio del 2020 per complessivi 100 milioni di euro, il CNIL ha individuato una titolarità congiunta di Google LLC e Google Ireland Ltd, in quanto tali società determinano congiuntamente finalità e mezzi del trattamento riguardante i cookie.
Su tale base, l’autorità ha irrogato a ciascuna delle richiamate società, la sanzione rispettivamente di 60 milioni di euro a Google LLC e di 40 milioni di euro a Google Ireland Ltd.
Caso della maggiore onerosità per il rifiuto dei cookie del 2021
Nel provvedimento sanzionatorio del 2021, il CNIL ha ritenuto che nelle operazioni di deposito e di lettura delle informazioni dei cookie nei terminali degli utenti che si trovano in Francia, durante l’uso di Google Search e YouTube, entrambi Google LLC e Google Ireland Ltd agiscono in qualità di contitolari, in quanto ambedue determinano le finalità e i mezzi dei relativi trattamenti. Nel pervenire a questa conclusione, il CNIL richiama le posizioni assunte in proposito dalla CGUE, in particolare, nel caso Testimoni di Jeova (c-25/17, punti 65-66). Inoltre, sebbene i fatti considerati siano diversi nei due contesti, l’autorità francese richiama sul punto le considerazioni già espresse nel precedente provvedimento del 2020.
Stabilimenti di Google LLC nella UE
Caso del sistema operativo Android del 2019
Nel provvedimento del 2019, elemento strettamente connesso all’individuazione del trattamento in oggetto, ha riguardato l’accertamento dell’assenza di uno stabilimento di Google LLC nella UE.
La precisa individuazione del trattamento e la sua imputabilità a Google LLC, ha escluso che potesse essere considerato come “stabilimento”, la stabile organizzazione di una delle consociate europee del gruppo, in particolare, Google Ireland Ltd. che Google LLC considera come suo principale stabilimento all’interno dell’Unione. Su questo punto, la difesa di Google LLC aveva sostenuto che i concetti di titolarità e di stabilimento (principale) sarebbero tra loro distinti e non necessariamente sovrapponibili.
L’autorità francese, di converso, ha contestato questa ricostruzione di Google LLC sulla considerazione che – come indicato dal Considerando (36) – «[l]o stabilimento principale di un titolare del trattamento nell’Unione dovrebbe essere determinato in base a criteri obiettivi e implicare l’effettivo e reale svolgimento di attività di gestione finalizzate alle principali decisioni sulle finalità e sui mezzi del trattamento nel quadro di un’organizzazione stabile.». Il ricorso a criteri oggettivi è necessario per evitare il rischio di fenomeni elusivi di “forum shopping”, cioè di selezione artificiosa della giurisdizione più conveniente.
Pertanto, lo stabilimento interessato deve avere potere decisionale in merito al trattamento dei dati personali in questione, circostanza che non trova riscontro tra le attività in oggetto e Google Ireland Ltd.
Caso della gestione dei cookies del 2020
Nel provvedimento del 2020, il CNIL ha concluso nel senso che Google LLC avesse uno stabilimento in Francia richiamando quanto indicato dalla CGUE.
Secondo la Corte europea la nozione di stabilimento deve essere valutata in modo estensivo e che a tal fine è opportuno valutare sia il grado di stabilità dell’impianto e della effettività dell’esercizio delle attività in un altro Stato membro, tenuto conto della specificità delle attività economiche e dei servizi in questione (cfr., ad esempio, CGUE, Weltimmo, 1 ottobre 2015, C-230 /14, punti 30 e 31). La CGUE ritiene inoltre che una società, persona giuridica autonoma, appartenente allo stesso gruppo del titolare del trattamento, possa costituire uno stabilimento del titolare del trattamento ai sensi di tali disposizioni (CGUE, 13 maggio 2014, Google Spagna, C-131/ 12, punto 48).
Il CNIL ha ritenuto che Google France rappresenta lo stabilimento di Google LLC e di Google Ireland Ltd in Francia in quanto la società francese ha il compito di promuovere la pubblicità online per conto di Google Ireland e partecipa attivamente alla promozione dei prodotti e servizi progettati e sviluppati da Google LLC.
Competenza dell’autorità francese
Le disposizioni nazionali di trasposizione delle direttive negli ordinamenti degli Stati membri, spesso prevedono la competenza dell’autorità di supervisione stabilita nel paese di riferimento.
Con l’avvento del GDPR, peraltro, questa competenza trova conforto nell’articolo 55 che prevede: «1. Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro.».
Fatto salvo quanto previsto dall’articolo 55, la competenza dell’autorità di controllo nazionale può essere superata dall’autorità di controllo capofila quando:
- si è in presenza di un trattamento transfrontaliero e
- il titolare ha uno stabilimento principale o uno stabilimento unico nella UE (art. 56, GDPR).
Caso del sistema operativo Android del 2019
La presenza di uno stabilimento di Google LLC nella Ue non veniva riscontrata nel caso riguardante il sistema operativo Android sottoposto al vaglio del CNIL, come confermato anche dal Consiglio di Stato francese. Da tale constatazione si faceva discendere la conclusione della competenza esclusiva dell’autorità di controllo francese.
Per principio generale, le decisioni eventualmente adottate dall’autorità di controllo di uno Stato membro non pregiudicano la competenza e le valutazioni da parte di autorità di controllo di altri Stati membri nei rispettivi territori.
Caso della gestione dei cookies del 2020
Nel caso del 2020, la competenza del CNIL veniva confermata sulla base del seguente ragionamento:
- la gestione dei cookie rientra nell’ambito applicativo delle direttive 2002/58/CE e 2009/136/CE
- queste direttive sono state trasposte nell’ordinamento giuridico francese nella legge sulla protezione dei dati, in particolare, nell’articolo 82 di quella norma
- l’uso dei cookie è effettuato entro l’ambito delle attività della società Google France che funge da stabilimento di Google LLC e di Google Ireland Ltd sul territorio francese e quest’ultima, in aggiunta, promuove loro prodotti e servizi, da cui una competenza anche territoriale da parte dell’autorità francese.
Caso della maggiore onerosità per il rifiuto dei cookie del 2021
Anche nell’ultimo provvedimento del 2021 il CNIL riconosce la propria competenza a decidere in materia in quanto esso è competente:
- a decidere sulle violazioni alle prescrizioni che rientrano nell’ambito ePrivacy
- in via materiale, a decidere sulle violazioni relative alle operazioni di scrittura e lettura dei cookie nei terminali degli utenti dei siti google.fr e youtube.come in Francia
- dal punto di vista territoriale, in quanto il trattamento riguarda utenti che si trovano in Francia quando utilizzano Google Seach e YouTube, specie per finalità pubblicitarie, e queste operazioni sono effettuate nel contesto delle attività di Google France, la quale rappresenta lo “stabilimento” sul territorio francese del Gruppo Google.