Google introduce una nuova policy privacy dal primo marzo 2012

Google nuova policy privacyA fine gennaio Google ha annunciato la modifica delle regole in materia di privacy, per tutti i suoi prodotti e servizi. Tale modifica parte dal primo marzo 2012.

La prima novità riguarda la semplificazione. A fronte di circa 60 documenti, uno per ogni servizio fornito da Google Inc., verrà introdotto un documento sulla politica (policy) in materia di privacy, unico per tutti i servizi, quindi anche una regolamentazione unica. Ovviamente servizi particolari, che necessitano di norme specifiche, manterranno un documento differente, come Wallet (servizio finanziario), Chrome, Chrome OS e Books.
La novità sostanziale è, però, l'accorpamento di tutti i dati raccolti durante l'uso di tutti i servizi Google, in un unico insieme collegato ad un unico utente, cioè ad un account di Google. Prima, invece, i dati raccolti nell'uso dei singoli servizi erano mantenuti separati.

Tale accorpamento consentirà a Google di agevolare lo scambio di informazioni tra i vari servizi, migliorando ad esempio i suggerimenti nell'uso del motore di ricerca, adattandoli all'utente e personalizzando i risultati. Ad esempio, la nuova politica permetterà a Google di visualizzare annunci su YouTube legati all'attività dell'utente sul suo telefono Android e ai suoi dati di localizzazione. Quindi, nel caso di utenti che hanno effettuato l'accesso all'account Google i risultati della ricerca saranno adeguati ai gusti e alle preferenze degli utenti, grazie alla combinazione con i dati recuperati dagli altri servizi, ed addirittura affiancati da risultati relativi ai contatti del social Google+.
In sostanza se Google già da tempo ha avviato l'integrazione dei vari servizi offerti, adesso intende condividere tra i vari servizi tutti i dati personali degli utenti.

Ricordiamo che Google raccoglie dati attraverso il conferimento diretto, ad esempio al momento della creazione di un account, oppure a mezzo dell'utilizzo dei suoi servizi. Tali dati riguardano il dispositivo utilizzato (hardware, rete), le query di ricerca, l'Ip, ed altri dati compreso la posizione geografica se il relativo servizio è attivo.
Google nella sua informativa privacy si riserva il diritto di trasferire i dati raccolti a società affiliate, le quali però si impegnano a garantire il medesimo livello di protezione di Google. Si riserva inoltre il diritto di trasferire i dati agli amministratori di dominio, ed eventualmente a terze società non affiliate, ma in quest'ultimo caso solo col consenso degli utenti.

Google si è affrettata a precisare che a seguito del mutamento di policy la gestione dei dati personali rimarrà comunque invariata (a parte la condivisione tra i vari servizi), per cui non raccoglierà dati ulteriori rispetto a quanto faceva prima, né li cederà ad altri. L'integrazione dei dati tra i servizi renderà anche più semplice conoscere quali dati vengono raccolti e conservati, attraverso Google Dashboard, offrendo così un maggior controllo all'utente. Sarà comunque possibile, come già avveniva prima, modificare le preferenze relative agli annunci, impostare la condivisione delle informazioni, ed anche impostare il browser in modo da bloccare i cookie. Ovviamente anche una volta eseguito l'accesso all'account Google è sempre possibile disattivare la cronologia delle ricerche.

Questa nuova regolamentazione entra in vigore il primo marzo del 2012, per cui, come Google precisa, continuare ad  utilizzare i servizi Google dopo quella data sarà considerato accettazione automatica delle nuove regole sulla privacy. Chi non intende accettare la nuova policy potrà soltanto cancellare il proprio account Google.

Sintetizzando, la differenza sostanziale sta nell'accorpamento dei dati raccolti durante l'uso di tutti i prodotti Google in un unico database per ogni singolo account. Chiaramente una semplificazione dei termini di servizio, riunendo in uno solo i vari documenti sulla privacy, è da salutare con favore, però qualche perplessità la desta la combinazione dei dati tra i vari servizi.
Si deve ricordare che in passato Google ebbe dei problemi con l'FTC (Federal Trade Commission) americana, l'autorità che si occupa della protezione dei consumatori, in relazione al servizio Buzz, un social network e microblogging incorporato nella mail di Google, che poi è stato dismesso.
Ebbene, quando fu lanciato Buzz nel 2010, Google utilizzò i dati provenienti da Gmail per popolare Buzz, senza prima chiedere il consenso agli utenti per tale tipo di trattamento che era ulteriore rispetto ai trattamenti indicati nella policy. Gli utenti di Gmail scoprirono di far parte del servizio di microblogging senza mai averne aderito, trovando i propri dati, mail ed altro, condivisi liberamente con altre persone. La policy sulla privacy affermava che l'uso dei dati raccolti per motivi differenti da quelli indicati all'origine era soggetto a nuovo consenso da parte degli utenti, consenso che però non venne mai richiesto. Per queste violazioni Google si accordò con l'FTC, impegnandosi a non distorcere le pratiche sulla privacy ed accettando la vigilanza della Commissione.
Adesso, con l'introduzione delle nuove regole, si porrà probabilmente il medesimo problema, in quanto i dati personali degli utenti subirebbero un trattamento differente ed ulteriore rispetto a quelli originariamente indicati nella policy, senza un preventivo consenso degli utenti.

L'Electronic Privacy Information Center (EPIC), organismo americano preposto alla protezione dei dati personali in rete, ha chiesto all'FTC di indagare sulla nuova policy sulla privacy, esprimendo preoccupazioni riguardo a tali cambiamenti, in particolare in relazione alla funzione Search Plus Your World di Google+, che propone tra i risultati delle ricerche anche ciò che viene pubblicato sul social di Google. EPIC sostiene che Google con la nuova policy ridurrebbe il controllo degli utenti sui propri dati, ma soprattutto amplierebbe enormemente la possibilità di fornire informazioni personali dettagliate agli inserzionisti, realizzando una più accurata profilazione.
Quindi EPIC sostiene che Google, con la nuova policy, si appresterebbe a violare l'accordo del 2011 su Buzz, in quanto la nuova policy implica un trasferimento dei dati personali tra i vari servizi di Google senza un preventivo consenso degli utenti a tale trasferimento. Secondo EPIC sarebbe necessario applicare il principio dell'opt-in, cioè occorrerebbe un consenso per ogni singolo utente prima dell'applicazione della nuova policy, consenso che non può ritenersi reso implicitamente continuando ad usare i servizi Google  dopo il primo marzo. Alcuni utenti, infatti, potrebbero non essere a conoscenza della variazione, nonostante l'ampia campagna informativa che l'azienda di Moutain View sta operando da oltre un mese.
Inoltre EPIC sostiene che gli utenti avrebbero anche il diritto di opporsi al trasferimento di cui sopra, cioè non accettare la variazione di policy, senza per questo dover smettere di usare i servizi Google.
Per il momento l'FTC ha risposto non entrando nel merito della questione, limitandosi a precisare che la competenza in materia è appunto dell'FTC. Il caso è stato portato dinanzi ad un giudice che ha statuito che EPIC non è legittimata ad imporre una qualche attività all'FTC. EPIC ha appellato il provvedimento.

Anche per quanto riguarda l'Europa la situazione non è affatto fluida. Infatti, analizzando la nuova politica in materia di privacy di Google, le autorità europee (in particolare la CNIL francese) hanno ritenuto che potrebbe non soddisfare i requisiti previsti dalla direttiva europea sulla protezione dei dati (95/46/CE). Le preoccupazioni riguardano le informazioni fornite agli utenti, ritenuti carenti, e la combinazione di dati tra servizi e prodotti diversi. Per questo motivo hanno inviato a Google Inc. una richiesta di sospendere momentaneamente l'introduzione della nuova policy in modo da consentire una analisi più approfondita.
Google ha risposto negativamente alla richiesta, sostenendo che il rinvio potrebbe causare confusione negli utenti, precisando che, a suo parere, il consenso degli utenti è richiesto solo in casi di trasferimento a terzi dei dati, e non nel caso di passaggio tra i servizi della medesima azienda.