T: +34 955 26 89 56 | M: +34 617 38 70 74 | lopd@talentoconsulting.es

Multa de 50 millones a Google LLC por vulneración del Reglamento de Protección de Datos

La fecha de 21 de enero de 2019 será recordada por la sanción de 50 millones de euros que la CNIL ha impuesto a Google LLC por vulneración del Reglamento de Protección de Datos. Esta sanción resulta relevante no solo por su importe, sino también por tratarse de la primera ocasión en que la CNIL aplica el régimen sancionador existente en el Reglamento de Protección de Datos.

Nos encontramos ante denuncias presentadas por NOYB y La Quadrature du Net en 25 de mayo de 2018, que argumentaban que Google realizaba un tratamiento de datos para ofrecer publicidad personalizada sin una de las bases legales contempladas en el RGPD.

En realidad, en su momento NOYB presentó cuatro denuncias muy similares ante cuatro autoridades de protección de datos:

  • Google Android: Denuncia ante la CNIL (Francia)
  • Instagram: Denuncia ante la DPA (Bélgica)
  • WhatsApp: Denuncia ante la HmbBfDI (Hamburgo)
  • Facebook: Denuncia ante la DSB (Austria)

En este caso, se ha entendido que se ha producido una vulneración del Reglamento de Protección de Datos en la forma en que Google trata datos personales de sus usuarios para ofrecerles publicidad dirigida acorde a sus intereses.

La Resolución es interesante, y podemos resumir sus elementos básicos en:

  • En este caso la responsable es Google LLC, y no Google Ireland. A este respecto, debemos recordar que a partir del 22 de enero de 2019 es posible que Google Ireland sí sea responsable por contar con capacidad descisoria
  • El consentimiento utilizado como base del tratamiento de datos no es válido en este caso, por estar viciado.
  • Falta transparencia e información al usuario antes de dar su consentimiento
  • El consentimiento no es específico ni inequívoco, agrupándose en paquetes y existiendo incluso una casilla premarcada no conforme al RGPD
  • Se trata de una infracción continuada, que no ha cesado

De acuerdo con el texto de la Resolución, esta importante suma, y su imposición a Google LLC, viene basada en los siguientes motivos:

¿Por qué a Google LLC?

Uno de los argumentos expuestos por Google era que la CNIL no era competente, basándose entre otros en el Art. 56.1 RGPD

Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo al procedimiento establecido en el artículo 60.

De acuerdo con el argumento de Google, su establecimiento principal en el ámbito territorial europeo es Google Ireland, razón por la cual la autoridad de control competente sería la irlandesa, y no la CNIL.

Si bien es cierto que Google Ireland cuenta con una serie de recursos humanos y materiales relevantes, este argumento fue rechazado tras analizar las circunstancias que se daban en el momento de la presunta infracción:

  • Google Ireland Limited no había designado un DPO para ser responsable de estos tratamientos en el ámbito comunitario
  • Que en una comunicación de 3 de diciembre de 2018, Google Ireland notificó que la transferencia de responsabilidad de Google LLC a Google Ireland por lo que respecta a ciertos tratamientos de datos transfronterizos se habría realizado con efectos de 31 de enero de 2019

Por todo lo anterior, la CNIL llega a la conclusión de que en dicho momento Google Ireland no contaba con un poder decisorio sobre los tratamientos teóricamente cubiertos por las políticas de privacidad que se mostraban al usuario que creaba una cuenta para configurar su terminal Android.

Sin transparencia e información, el consentimiento no es válido

La utilización del consentimiento como base para el tratamiento de datos que permite mostrar publicidad segmentada requiere que dicho consentimiento cumpla con una serie de requisitos. La CNIL, tras analizar cómo se facilitaba dicha información al usuario, concluye que no es conforme con el RGPD.

Así, se indica que elementos como las finalidades del tratamiento, la duración de la conservación de datos personales para la personalización de anuncios, o las categorías concretas de datos que se tratarán a dichos efectos no se encuentran claramente definidos en un único documento, sino que se encuentran diseminados en múltiples documentos legales, requiriendo diversas actuaciones por parte del usuario para acceder a dicha información complementaria. En algunos casos, la CNIL detectó la necesidad de realizar hasta 6 acciones por parte del usuario para acceder a la información necesaria.

Por lo tanto, lo que dice la CNIL no es tanto que no se muestre o exista en la documentación legal la información relevante para obtener dicho consentimiento, sino que utilizar múltiples documentos (junto con información que se ha entendido potencialmente confuso) dificulta que el usuario comprenda realmente a qué autoriza a Google, o que incluso llegue a acceder a dicho contenido en la práctica.

Tratándose de un tratamiento tan masivo, con múltiples servicios vinculados, y el gran número de tipos de datos del usuario que pueden llegar a manejarse (incluyendo geolocalización, por ejemplo), la información que se facilita al usuario debería simplificarse al máximo, permitiéndole ser consciente de qué datos se tratarán y cómo.

Es posible que parte del problema surja de una mala costumbre que algunas tecnológicas han llevado a cabo, como es la de remitir en muchos casos a políticas de privacidad y términos de uso genéricos, obligando posteriormente a ahondar más en ellos para conseguir la información que se busca.

Ni específico ni inequívoco

Otro elemento que ha sido tenido en cuenta, como se ha indicado anteriormente, es el gran número de servicios en los cuales se produce finalmente este tratamiento de datos. Estamos hablando de servicios como Google search, You tube, Google home, Google maps, Playstore, Google pictures… y a través de esta combinación, el tratamiento de datos cobra incluso mayor importancia.

Como había indicado, el remitir a textos excesivamente genéricos puede traer este problema, como indica la nota de prensa de la CNIL:

Therefore, the user gives his or her consent in full, for all the processing operations purposes carried out by GOOGLE based on this consent (ads personalization, speech recognition, etc.). However, the GDPR provides that the consent is “specific” only if it is given distinctly for each purpose.

Por otro lado, y sin perjuicio de que el usuario pueda acceder a la sección y cambiar la opción, se menciona expresamente que la casilla autorizando la personalización de anuncios se encontraba premarcada (es decir, si no se decía lo contrario, se aceptaba la personalización de anuncios). Recordemos que el RGPD nos definía como consentimiento:

toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

Una casilla que se encuentra premarcada difícilmente puede entenderse como una declaración o clara acción afirmativa, Además, de esta definición también debemos traer la característica de “específica” de dicha manifestación de voluntad, mientras que en realidad las casillas únicamente permiten el consentimiento general de las condiciones de servicio de Google, y de su política de privacidad, lo que dificulta más entender que nos encontramos realmente ante una actuación conforme al Reglamento.

Infracción continuada en el tiempo

Uno de los elementos que se ha usado para cuantificar la sanción es que no nos encontramos con una infracción concreta que haya limitado los derechos de uno usuario determinado, sino que se trata de una infracción continuada que no ha cesado en el momento de la imposición de la sanción, y que ha afectado a todos los usuarios que se hayan registrado.

Publi

¿Quieres conocer más sobre la nueva RGPD? ¿Aún tu empresa no esta adaptada al nuevo reglamento europeo de protección de datos? Desde TalentoProtec podemos ayudarte. Contáctanos!

#RGPD #sancionesprotecciondedatos #sanciongoogle #multaprotecciondedatos #denunciaprotecciondedatos #denunciagoogleprotecciondedatos #talentoprotec #protecciondedatossevilla

RelatedPost

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies