I dati relativi all'ubicazione possono rivelare molto sulle persone, comprese le credenze religiose (quando si va in luoghi di culto), le inclinazioni politiche (quando si partecipa ad una dimostrazione), le condizioni di salute (visite regolari in ospedale) e l'orientamento sessuale (quando si entra in determinati locali).

Questo monitoraggio è implementato e abilitato attraverso le funzionalità “Location history” e “Web & App activity”. Queste impostazioni sono presenti in tutti gli account Google come funzionalità di personalizzazione e vengono utilizzate anche per facilitare la pubblicità mirata.

La ricerca, ricalcando il titolo di una famosa canzone, si intitola “Every step you take” ed è stata pubblicata da Forbrukerrådet, un’associazione norvegese affiliata alla BEUC, l’organizzazione europea dei consumatori. Questa mostra come Google utilizzi vari trucchi e pratiche per spingere gli utenti ad abilitare queste funzionalità di monitoraggio senza fornire loro informazioni chiare ed efficaci su ciò che questo comporti.

In realtà, queste pratiche violano la legislazione europea sulla protezione dei dati, in quanto non conformi al GDPR. In particolare, il rapporto dimostra che il consenso degli utenti fornito in queste circostanze non è sempre ottenuto in base a un’autorizzazione esplicita, chiara, specifica e informata come invece la normativa richiede.

Sulla base di questa ricerca sette associazioni in difesa dei consumatori di diverse nazionalità (Norvegia, Grecia, Paesi Bassi, Slovenia, Polonia, Svezia, Danimarca) stanno presentando denunce contro Google con le rispettive autorità nazionali per la protezione dei dati, partendo dal presupposto che i dati sulla posizione possono identificare direttamente o indirettamente una persona fisica e, quindi, costituiscono dati personali ai sensi dell'articolo 4, paragrafo 1, del GDPR. Ne consegue che Google, attraverso “Location history” e “Web & App activity”, sta raccogliendo dati personali senza una base legale valida per la loro elaborazione.

D’altro canto, però, non si può dire che il colosso californiano non stia facendo dei passi da gigante qual è verso la GDPR compliance. E’ di pochi giorni fa la notizia dell’attivazione di un nuovo server ad alta capacità, valido e certificato – detto Transfer Appliance -  che garantirà il trasferimento corretto di rilevanti mole di dati, come archivi multimediali o set di dati scientifici, in un’ottica di adeguamento al GDPR europeo. Grazie al nuovo server il trasferimento dei dati avverrà, infatti, sempre all’interno del territorio dell’Unione Europea.  

FONTE: Forbrukerrådet  https://www.forbrukerradet.no/undersokelse/2018/every-step-you-take/