Il 25 e 28 maggio 2018 la CNIL (Commission nationale de l’informatique et des libertés), l’Autorità per la Protezione dei Dati Personali francese, ha ricevuto la denuncia da parte di due associazioni dei consumatori (None of Your Business e Le Quadrature du net) che complessivamente rappresentano circa 10˙000 persone, in virtù di quanto previsto dall’articolo 80 comma 1 del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati, o GDPR). Nelle loro denunce le due associazioni hanno sostenuto che la società americana non disponesse di una valida base giuridica per trattare i dati personali degli utenti, in particolare a fini pubblicitari mirati.
La CNIL ha immediatamente iniziato a indagare sui due reclami e in data primo giugno 2018, in conformità con le disposizioni della cooperazione europea fissato dall’articolo 56 GDPR, ha anche presentato due richieste ai suoi omologhi europei per comprendere se fosse competente in materia. Come noto, infatti, il Regolamento europeo stabilisce un meccanismo di “sportello unico”, in base al quale è previsto che un’organizzazione stabilita nell’Unione europea debba avere come unico interlocutore l’Autorità del Paese in cui si trova la sua “sede principale di attività”.
In data 22 ottobre 2018 la CNIL ha notificato a Google LLC e Google France SARL la violazione degli articoli 6, 12 e 13 del GDPR, contestando a Google l’illegittimità dei trattamenti per mancanza della base giuridica (Articolo 6, “Liceità del trattamento”) e l’assenza di trasparenza nei confronti degli Interessati (articoli 12 e 13 GDPR, rispettivamente “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato” e “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”).
Google ha presentato una mozione di incompetenza, sostenendo che, ai sensi degli articoli 55 e 56 del GDPR, l’Autorità irlandese dovesse essere ritenuta Autorità Leader secondo il principio del “one stop shop” sopra richiamato (in quanto l’Irlanda è il Paese ove la società ha la sua sede principale sul suolo europeo). Google, inoltre, in virtù dell’articolo 60 del GDPR ha chiesto che la CNIL avviasse il processo di cooperazione con l’Autorità irlandese stessa.
La CNIL, tuttavia, ha rilevato come il Titolare del Trattamento indicato fosse Google LLC e non Google Ireland, pertanto la mozione di incompetenza e l’individuazione dell’Autorità leader nell’Autorità irlandese è stata ritenuta non applicabile.
Accertata la propria competenza, la CNIL ha ravvisato l’effettiva violazione degli articoli 6, 12 e 13 del GDPR e, in ragione di ciò, ha comminato a Google LLC la sanzione pecuniaria di 50 milioni di Euro e ha inoltre disposto che la decisione fosse resa pubblica.
[Fonte: Sito del CNIL]