Protección de Datos impone una multa de 10 millones de euros a Google
Estima que la multinacional ha cometido dos infracciones muy graves
Protección de Datos impone una multa de 10 millones de euros a Google
Estima que la multinacional ha cometido dos infracciones muy graves
La Agencia Española de Protección de Datos (AEPD) ha dictado resolución en la que declara que Google LLC ha cometido dos infracciones muy graves de la normativa de protección de datos, por lo que le impone una sanción de 10 millones de euros por ceder datos a terceros sin legitimación para ello y obstaculizar el derecho de supresión de los ciudadanos, según los artículos 6 y 17 del Reglamento General de Protección de Datos (RGPD).
La multa impuesta por la AEPD es el resultado de una investigación que comenzó en septiembre de 2018 a raíz de la denuncia de un particular que se quejaba del uso que hacía Google de sus datos personales.
En el caso de la comunicación de datos a terceros, la Agencia ha constatado que Google envía al Proyecto Lumen información de solicitudes que le realizan los ciudadanos, incluida su identificación, dirección de correo electrónico, los motivos alegados y la URL reclamada.
Según explica la propia Google, el Proyecto Lumen tiene por objeto la recogida y puesta a disposición de solicitudes de retirada de contenido. Protección de Datos considera que, dado que se remite toda la información contenida en la solicitud del ciudadano para que se incluya en otra base de datos accesible al público, además de para que se divulgue a través de una web, “supone en la práctica frustrar la finalidad del ejercicio del derecho de supresión”.
Imposición al usuario
La resolución recoge que esta comunicación de datos por parte de Google al Proyecto Lumen se impone al usuario que pretenda utilizar sus formularios, sin opción de oponerse a la misma y, por tanto, sin que exista un consentimiento válido para que esa comunicación se lleve a cabo. “Establecer esta condición en el ejercicio de un derecho reconocido a los interesados no está amparado por el Reglamento General de Protección de Datos al generarse un tratamiento adicional de los datos sobre los que versa la solicitud de supresión al comunicarlos a un tercero”, resalta la AEPD. “Además, en la política de privacidad de Google, no se hace mención a este tratamiento de datos personales de los usuarios, y tampoco aparece entre las finalidades la comunicación al Proyecto Lumen”, recuerda la Agencia.
A este respecto, en la resolución de la AEPD se recuerda que una vez presentada la solicitud de retirada de contenido y atendido el derecho, es decir, acordada la supresión de los datos personales, “no cabe un tratamiento posterior de los mismos, como es la comunicación que Google LLC realiza al Proyecto Lumen”.
En cuanto al ejercicio de derechos de los ciudadanos, la AEPD detalla en su resolución que “es difícil deducir si la solicitud se formula invocando la normativa de protección de datos personales, sencillamente porque esta normativa no se menciona en ninguno de los formularios, con independencia del motivo que el interesado seleccione de entre las opciones propuestas, salvo en el formulario denominado Retirada en virtud de la ley de privacidad de la UE, el único disponible que contiene una referencia expresa a esta normativa”.
Otra de las cuestiones motivo de crítica por parte de Protección de Datos es el sistema desarrollado por Google para permitir que los usuarios puedan proteger sus datos personales.
En este sentido, en la resolución aprobada por este organismo se explica que el sistema diseñado por Google, que conduce al interesado a través de diversas páginas para llegar a cumplimentar su solicitud, obligándole previamente a marcar las opciones que se ofrecen, “puede provocar que este termine marcando una opción que se adapte a los motivos que considera apropiados a su interés, pero que le aparta de su intención originaria, que puede estar claramente vinculada a la protección de sus datos personales, desconociendo que estas opciones le sitúan en un régimen normativo distinto porque así lo ha querido Google o que su solicitud se resolverá según las políticas internas establecidas por esta entidad”.
La resolución de la Agencia recoge que este sistema es un equivalente a “dejar a criterio de Google la decisión sobre cuándo aplica y cuándo no el RGPD, y esto supondría aceptar que esta entidad pueda eludir la aplicación de la normativa de protección de datos personales y, más concretamente para este caso, aceptar que el derecho de supresión de datos personales quede condicionado por el sistema de eliminación de contenidos diseñado por la entidad responsable”.
Adicionalmente a la sanción económica, la Agencia también ha requerido a la multinacional para que adecúe a la normativa de protección de datos personales la comunicación de datos al Proyecto Lumen. Asimismo, reclama a Google que suprima todos los datos personales que hayan sido objeto de una solicitud del derecho de supresión comunicada al Proyecto Lumen, y le recuerda que tiene la obligación de instar a este último para que suprima y cese en la utilización de los datos personales que le haya comunicado.