Protección de Datos sanciona a Google con 900.000 euros por vulnerar derechos de usuarios
- Ha cometido tres infracciones graves de la LOPD
- La AEPD ha analizado la política de privacidad única de Google
- Consideran que Google trata de forma ilegítima los datos de los usuarios
- Google tomará una decisión cuando haya leído el informe de la AEPD
La Agencia Española de Protección de Datos (AEPD) ha constatado que Google recoge y trata "ilegítimamente" información personal de los usuarios. El director de la agencia, José Luis Rodríguez Álvarez, ha dictado una Resolución que declara la existencia de tres infracciones graves de la Ley Orgánica de Protección de Datos (LOPD), cada una de ellas con una sanción de 300.000 euros.
La AEPD considera que Google vulnera gravemente el derecho a la protección de los datos personales reconocido a todos los ciudadanos por el artículo 18 de la Constitución Española y regulado en la LOPD, según informa la AEPD en un comunicado.
Por ello, en junio la agencia española abrió un procedimiento contra el gigante estadounidense por su política de privacidad, como la falta de información clara, la ausencia de finalidades específicas para varios servicios, el tratamiento desproporcionado de los datos de los usuarios o la conservación de datos durante un tiempo.
Estas sanciones de la AEPD constituyen la primera decisión final recaída sobre Google derivada de las actuaciones de investigación y procedimientos sancionadores que pusieron en marcha en abril de 2013, además de España, las autoridades de Alemania, Francia, Holanda, Italia y Reino Unido.
Por su parte, Google ha enviado a los medios de comunicación una nota en la que anuncian que tomarán una decisión sobre las sanciones una vez hayan leído el informe de la AEPD.
"Hemos estado totalmente involucrados con la Agencia Española de Protección de Datos a lo largo de este proceso para explicar nuestra política de privacidad y cómo esta nos permite crear servicios más sencillos y efectivos, algo que continuaremos haciendo. Leeremos con atención su informe y tomaremos una decisión en cuanto a los siguientes pasos a dar", han manifestado.
Tratamiento ilegítimo de la información
La AEPD ha comprobado que Google trata de forma ilegítima la información de los usuarios autenticados (dados de alta en sus servicios) como de los no autenticados, e incluso de quienes son meros “usuarios pasivos” que no han solicitado sus servicios pero acceden a páginas que incluyen elementos gestionados por la compañía sin explicitarlo.
Las actuaciones de inspección han permitido comprobar que Google recopila información personal a través de casi un centenar de servicios y productos que ofrece en España, sin proporcionar en muchos casos una información adecuada sobre qué datos se recogen, para qué fines se utilizan y sin obtener un consentimiento válido de sus titulares.
Así, por ejemplo, no se informa con claridad a los usuarios del servicio de correo Gmail de que se realiza un filtrado del contenido del correo y de los ficheros anexos para insertar publicidad.
“Google tiene una política de privacidad indeterminada y poco clara“
Cuando se informa, se utiliza una terminología imprecisa, con expresiones genéricas y poco claras que impiden a los usuarios conocer el significado real de lo que se plantea. Es demostrativo que en ocho páginas Google emplea hasta en 30 ocasiones términos como “podremos”, “podrá”, “podrán” o “es posible”. Todo ello, sumado a otras expresiones sumamente ambiguas como “mejorar la experiencia del usuario”, da lugar a una política de privacidad indeterminada y poco clara.
La falta de información adecuada, particularmente sobre las finalidades específicas que justifican el tratamiento de los datos, impide que pueda considerarse que existe un consentimiento específico e informado y, en consecuencia, válido.
Uso de información personal con otros fines
Por otra parte, la AEPD afirma que Google combina la información personal obtenida a través de los diversos servicios o productos para utilizarla con múltiples finalidades que no se determinan con claridad. De esta manera vulnera la prohibición de utilizar los datos para fines distintos de aquellos para los que han sido recabados.
Google se sirve de una tecnología sofisticada que sobrepasa la capacidad de la mayoría de los usuarios para tomar decisiones conscientes sobre el uso de su información personal por lo que, en la práctica, pierden el control sobre la misma.
En contra de lo exigido por la legislación española, Google almacena y conserva datos personales por periodos de tiempo indeterminados o injustificados. Con ello la compañía contraviene el mandato legal de proceder a su cancelación cuando dejan de ser necesarios para la finalidad que determinó su recogida y constituye un tratamiento ilícito.
Finalmente, la AEPD concluye que Google obstaculiza -y en algunos casos impide- el ejercicio de los derechos de acceso, rectificación, cancelación y oposición con una obligada visita por un número indeterminado de páginas dispersas en varios enlaces.
La propia compañía ha reconocido que hay que ejecutar al menos siete procesos diferentes, reservándose incluso el derecho de no atender las solicitudes que supongan “un esfuerzo desproporcionado”.
Investigación europea de la política de privacidad
Google modificó la política de privacidad y las condiciones de uso de la mayoría de sus servicios en marzo de 2012. Creó un modelo de tratamiento de datos basado en la transversalidad, posibilitando que la información que una persona facilita para un servicio pueda combinarse con la de otros y utilizarse con cualquier finalidad, y generando un uso de los datos personales que, a juicio de la AEPD, excede ampliamente las expectativas que un usuario podría esperar de la utilización de un servicio.
Ante las múltiples dudas suscitadas, el Grupo de Autoridades Europeas de Protección de Datos (GT29) acordó iniciar una investigación conjunta coordinada por la Autoridad Francesa, la CNIL, que concluyó constatando la incompatibilidad de la nueva política de privacidad con la legislación europea de protección de datos.
En octubre de 2012, las autoridades de todos los Estados de la Unión Europea enviaron una carta a Google en la que se relacionaban los principales problemas y se hacían recomendaciones para cumplir con el derecho europeo, requiriendo que se adoptaran medidas en un plazo razonable.
Ante la falta de reacción de Google, el Grupo de autoridades acordó que cada Estado iniciarían acciones coercitivas para garantizar el respeto del derecho a la protección de datos.