Protección de Datos sanciona a Google con 10 millones de euros por vulnerar el derecho al olvido
- Le multa por ceder datos a terceros sin legitimación para ello y obstaculizar el derecho a la supresión de los ciudadanos
- También sanciona a Vodafone España con 3,9 millones de euros por vulnerar la confidencialidad e integridad de datos personales
La Agencia Española de Protección de Datos (AEPD) ha impuesto 10 millones de euros a Google por vulnerar los artículos 6 y 17 del Reglamento de Protección de Datos (RGPD) que regulan el derecho al olvido. El RGPD es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos.
La resolución de la AEPD declara la existencia de dos infracciones "muy graves" por ceder datos a terceros sin legitimación para ello y obstaculizar el derecho a la supresión que tienen los ciudadanos.
Además, también ha sancionado con 3,9 millones de euros a Vodafone España por vulnerar los artículos 5.1 y 5.2 del RGPD y no asegurar el nivel de seguridad y confidencialidad necesarios a un cliente.
Ambas multas han sido publicadas este miércoles en el Boletín Oficial del Estado (BOE), en virtud de la Ley de Protección de Datos, que establece que cuando el infractor es una persona jurídica y la multa supera el millón de euros, la sanción se publicará en el boletín estatal.
Retirar los datos de búsqueda: un trámite "frustrante", según la Agencia
En la multa a Google, el texto explica que esta empresa, con domicilio social en California (Estados Unidos), ofrece sus productos a residentes en España (como búsquedas, maps, gmail, drive o youtube), desde una filial en Irlanda denominada Google Irland Limited que es responsable del tratamiento de datos personales de los usuarios que accedan a los productos y servicios de la compañía en el espacio europeo.
Por tanto, Google LLC es responsable del tratamiento de la información indexada y mostrada en servicios como la búsqueda de Google y Google Maps, y cuenta con un apartado específico para que las personas que quieran hacerlo, puedan solicitar -por motivos de privacidad- la retirada de resultados obtenidos en búsquedas.
Sin embargo, los usuarios deben rellenar un formulario y facilitar datos como país de residencia, nombre completo, correo electrónico, URL del contenido que incluye la información personal que debe ser retirada, la información personal que se quiere eliminar y los motivos. Esa solicitud (con toda la información que contiene) se incluye en otra base de datos accesible al público (lumendatabase.org).
Para la Agencia, que el ciudadano tenga que remitir la solicitud para que se incluya en otra base de datos y se divulgue a través de esa web, "frustra la finalidad del ejercicio del derecho de supresión".
Además, en la política de privacidad de Google, la empresa no hace mención a este tratamiento de datos personales, y tampoco aparece entre las finalidades la comunicación al Proyecto Lumen, critica la resolución.
La comunicación de datos por parte de Google al Proyecto Lumen es, además, un paso obligado para los usuarios que quieren retirar contenidos y al que no pueden oponerse, por tanto, un procedimiento que se lleva a cabo "sin que exista un consentimiento válido" por parte del usuario, denuncia la AEPD.
La resolución también critica el sistema diseñado por Google, que obliga al interesado a visitar diversas páginas para llegar a cumplimentar su solicitud en las que debe ir marcando las opciones que se ofrecen, un camino largo y confuso que puede hacer que el ciudadano se equivoque en su solicitud.
Además de la multa, reclama adecuar la normativa
Por todo ello, además de la sanción económica, la Agencia reclama a Google a que adecúe a la normativa de protección de datos personales, la comunicación de datos al Proyecto Lumen, los procesos de ejercicio y atención del derecho de supresión, y la información que ofrece a sus usuarios.
Asimismo, exige a Google que suprima todos los datos personales facilitados en todas las solicitudes del derecho de supresión que ha enviado al Proyecto Lumen, y le recuerda que tiene la obligación de instar a este último para que suprima y deje de usar los datos personales que le ha comunicado
Google está "revisando la ldecisión"
Un portavoz de Google ha trasladado a Europa Press que la compañía está revisando la decisión y seguirá interactuando con los reguladores en materia de privacidad para reevaluar las prácticas de la empresa.
"Siempre tratamos de encontrar un equilibrio entre el derecho a la privacidad y nuestra necesidad de ser transparentes y rendir cuentas sobre nuestro papel en la moderación de contenidos en línea. Ya hemos empezado a reevaluar y rediseñar nuestras prácticas de intercambio de datos con Lumen a la luz de las consideraciones de la AEPD", ha asegurado el portavoz.
También multa a Vodafone España
Además, la AEPD ha impuesto otra multa de 3,9 millones de euros a la compañía Vodafone España por vulnerar los artículos 5.1 y 5.2 del RGPD y no asegurar el nivel de seguridad y confidencialidad necesarios a un cliente.
En su resolución, sanciona a Vodafone España por no garantizar un nivel de seguridad y de confidencialidad adecuados a uno de sus clientes y por vulnerar el principio de responsabilidad proactiva que obliga a la empresa a poner en marcha las medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la protección de datos.
Hasta ahora, la multa más alta impuesta por la AEPD ha sido a Vodafone España por más de ocho millones de euros por incumplir varios artículos de la legislación española.
En virtud de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales, la Agencia Española de Protección de Datos está obligada a publicar en el BOE estas sanciones cuando afecten a personas jurídicas y su importe supere el millón de euros.