Aveva fatto scalpore la notizia della decisione dell’autorità di controllo francese del gennaio 2019 con cui il CNIL aveva irrogato una sanzione di 50 milioni di euro nei riguardi di Google LLC (cioè la casa madre di diritto statunitense) per violazioni del GDPR relative all’obbligo di trasparenza e sul consenso libero e informato riguardo agli utenti del sistema operativo Android (v. Editoriale del 31 gennaio 2019). Non di secondo piano risulta anche la conferma odierna di tale decisione che proviene dal Consiglio di Stato francese, al quale l’azienda americana era ricorsa in appello per ottenerne l’annullamento.

Rilievi del CNIL

Essenzialmente due erano stati i rilievi mossi dall’autorità francese alla società americana:

  • informativa di difficile comprensione, carente e disagevole
  • consenso non informato, condizionato e non specifico.

L’accertamento della fondatezza di tali rilievi aveva determinato l’irrogazione della sanzione pecuniaria di 50 milioni di euro che, a tutt’oggi, rappresenta la più elevata sanzione per violazione di prescrizioni al regolamento, irrogata in via definitiva a un’impresa privata.

Le conclusioni del CNIL sono state tutte confermate dal Consiglio di Stato.

Richieste di Google

Google ha chiesto mediante appello l’annullamento dell’ordinanza del CNIL che l’aveva sanzionato e, in subordine, l’inoltro di istanza di pronuncia pregiudiziale alla CGUE in merito ai seguenti due quesiti:

  1. Un titolare del trattamento stabilito in un paese al di fuori dell’Unione europea (cioè, Google LLC) con diversi stabilimenti nell’Unione europea e una sede europea designata nel territorio di uno Stato membro (come Google Irlanda), può avere uno “stabilimento principale” ai sensi dell’articolo 4, paragrafo 16, del GDPR in questo Stato membro (cioè, l’Irlanda) nel caso in cui le decisioni sulle finalità e i mezzi del trattamento siano prese in questo paese terzo extra-UE (cioè, gli USA)?
  2. Quando un titolare del trattamento pianifica un trattamento con molteplici scopi e cerca di ottenere il consenso dell’interessato ai sensi dell’articolo 6, paragrafo 1, lettera a), del GDPR per tutti questi scopi, l’articolo 7(2) e il considerando 32 del GDPR richiedono al titolare del trattamento di dare all’interessato la possibilità di precisare il proprio consenso specifico sin dal primo livello di informazione? Oppure l’interessato può dare il proprio consenso con atto positivo inequivocabile e unico a tutti gli effetti nel primo livello di informazione pur avendo accesso, tramite un link o qualsiasi altro mezzo, ad un secondo livello di informazione dove lo stesso interessato ha la possibilità di specificare il suo consenso?

Motivi di appello

Google ha strutturato il proprio appello sui seguenti motivi di impugnazione:

  • Carenza di competenza del CNIL
  • Adeguatezza dell’informativa multi-strato prendendo spunto dai suggerimenti dell’EDPB
  • Validità della pluralità di consensi richiesti e ottenuti
  • Sproporzione della sanzione.

Competenza del CNIL

Il primo motivo di appello avanzato da Google ha riguardato la competenza del CNIL a decidere sulla questione. La controversia sul punto verte sull’interpretazione degli articoli 55 e 56 del GDPR. L’articolo 55 indica che ogni autorità di controllo è competente nel territorio del rispettivo Stato membro; l’articolo 56 stabilisce che nel caso di trattamenti con impatti su interessati che si trovano in più Stati membri (cosiddetti “trattamenti transfrontalieri”), è competente l’autorità dello stabilimento principale, cosiddetta “autorità capofila”.