La raccolta di dati non protetti ottenuti da reti Wireless da parte di Google, nell’ambito del proprio progetto Street View non costituisce violazione della Sez. 705(a) del Communication Act statunitense che proibisce l’intercettazione non autorizzata (ed ogni altro utilizzo) di comunicazioni radio.
La vicenda de qua traeva origine dalle attività compiute da Google nell’ambito del progetto Street View. Tale progetto implicava la creazione di mappe a 360° di paesi e città visualizzabili dagli utenti dei servizi Google Maps e Google Earth. A tal fine, la società di Mountain View ha inviato centinaia di autovetture provviste di fotocamere digitali allo scopo di realizzare fotografie a 360° di tutto ciò che circondava strade ed autostrade (es. abitazioni, parchi, negozi etc.).
Negli ultimi anni, le summenzionate vetture sono state, altresì, in grado di raccogliere dati wireless che, combinati con le informazioni GPS, potevano essere utilizzati, ad esempio, per localizzare attività imprenditoriali nei dintorni della residenza dell’utente dei servizi Google.
Nel 2010, in risposta alle indagini compiute dalle autorità Europee, Google ha ammesso che i suddetti dati includevano, altresì, frammenti del contenuto di messaggi di posta elettronica, di messaggi di testo e di altre tipologie di dati personali e nel mese di Ottobre 2010 ha, inoltre, ammesso che i dati raccolti ricomprendevano finanche password ed interi messaggi di posta elettronica.
Successivamente nel mese di Novembre 2010, la FCC ha richiesto a Google informazioni in merito alla raccolta dei dati ottenuti dai sopra indicati network wireless al fine di determinare se la suddetta operazione di trattamento costituisse o meno violazione della Section 705(a) del Communications Act statunitense che, come in precedenza ricordato, proibisce le intercettazioni non autorizzate di comunicazioni radio.
Comunque, con la decisione qui commentata, la FCC non ha considerato illecita la condotta di Google. In particolare, la FCC ha rilevato che Google avesse raccolto dati esclusivamente da reti senza fili prive di password di protezione (pertanto, si trattava di reti aperte) e, di conseguenza, ha dichiarato che il trattamento dei summenzionati dati dovesse considerarsi lecito. Ciò sulla base del Federal Wiretap Act che, infatti, esclude dal novero delle condotte illecite (e, quindi, vietate) l’intercettazione non autorizzata di comunicazioni elettroniche che sono accessibili al pubblico (vale a dire, deve trattarsi di una comunicazione che non sia protetta ovvero criptata).
Inoltre, la FCC ha, altresì, evidenziato che non vi era alcun elemento probatorio da cui si potesse desumere che Google avesse effettivamente utilizzato i suddetti dati, a fronte dell’impossibilità di interrogare il dipendente di Google a ciò preposto (perciò ha inflitto una sanzione pari a 25 mila dollari a Google per il difetto di cooperazione).
Al contrario in Italia, il Garante per la protezione dei dati personali è stato di tutt’altro avviso. Infatti, con la decisione del 9 Settembre 2010, ha imposto a Google di interrompere il trattamento dei dati così ottenuti e ha proceduto ad informare le competenti autorità giudiziarie.
In primo luogo, il Garante Italiano ha affermato che dal momento che alcuni dei suddetti dati costituissero dati personali a tutti gli effetti, comportando ciò, l’applicazione delle disposizioni del Codice Italiano sulla protezione dei dati personali (In particolare, l’art. 11 del Codice che stabilisce che i dati personali devono essere trattati secondo correttezza e raccolti per scopi determinati, espliciti e legittimi)
In secondo luogo, il Garante ha ritenuto che la condotta di Google potesse costituire violazione degli artt. 617-quater e 617-quinquies che, rispettivamente, puniscono l’intercettazione fraudolenta di comunicazioni telematiche e l’installazione di apparecchiature atte ad eseguire le suddette intercettazioni.
Di conseguenza, il Garante ha ordinato a Google di interrompere qualsivoglia operazione di trattamento dei dati così raccolti, in ottemperanza all’art. 11 secondo comma del Codice secondo cui i dati che sono trattati in violazione delle prescrizioni del Codice non possono essere utilizzati.
Inoltre, ha imposto a Google di non procedere alla cancellazione o distruzione dei summenzionati dati in quando potenziali elementi di prova in un eventuale procedimento penale.
In Francia, la “Commission nationale de l’informatique et des libertès” nella sua decisione n. 2011-035 (http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/D2011-035.pdf) ha inflitto a Google una sanzione amministrativa di 100.000 euro per mancata ottemperanza alle proprie prescrizioni. In particolare, la Commissione aveva ordinato a Google di procedere immediatamente alla distruzione dei dati identificanti punti di accesso di utenti individuali (che costituivano la base dei servizi di geolocalizzazione) ottenendo, tuttavia, un riscontro negativo.
In conclusione, la raccolta da parte della società americana di dati personali nell’ambito del progetto Street View ha rivelato l’esistenza di forti difformità tra le giurisdizioni di vari paesi che non ci sembra giustificata alla luce della natura a-territoriale dell’attuale società dell’informazione.
