El 21 de enero de 2019, la Comisión Nacional de Protección de Datos francesa (la “CNIL”) impuso a Google una multa de 50 millones de euros por infracción del Reglamento General de Protección de Datos (“RGPD”). Es la multa más elevada que se ha impuesto hasta la fecha por infracción del RGPD.

Las denuncias contra Google fueron presentadas a finales de mayo de 2018 por dos asociantes: None Of Your Business (“NOYB”) y La Quadrature du Net (“LQDN”).

El problema que originó la denuncia fueron una serie de infracciones del RGPD durante el proceso de creación de cuentas de Google en la configuración de los móviles de marca Android.

La CNIL detecto las siguientes infracciones:

1. Infracción del principio de transparencia y del derecho de información de los usuarios:

El RGPD recoge el principio de transparencia en su considerando número 58 y en el artículo 12.

Considerando 58: “El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice…”

Articulo 12.1: “El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño.”

La CNIL estima que se incumple este principio por razón de la dificultad del usuario para acceder a la información que ofrecía Google sobre aspectos importantes del tratamiento de datos, como por ejemplo su finalidad, el tipo de datos personales a tratar y por cuanto tiempo.

La dificultad radica en que esta información no se encontraba en un único documento, sino que estaba repartida en distintos documentos y páginas, a los que había que llegar pinchando en diversos links, creando una dificultad innecesaria al usuario para poder acceder a toda la información en su conjunto.

Asimismo, parte de la información era vaga y poco clara. Concretamente, las finalidades del tratamiento de datos, la base legal que legitima el tratamiento para la personalización de anuncios (que parece era el consentimiento), las distintas categorías de datos a procesar y el periodo de tiempo que se guardaría la información tratada.

2. Infracción de la obligación de tener una base legal para el tratamiento de personalización de anuncios:

Según Google, la licitud del tratamiento de datos para la personalización de anuncios se basaba en el consentimiento de los usuarios.

El RGPD define el consentimiento del interesado en su artículo 4.11 como: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Sin embargo, la CNIL explica en la sanción que el consentimiento no fue adquirido válidamente por tres razones:

En primero lugar, porque el consentimiento no estaba debidamente informado. Esto se debe, como hemos explicado antes, a que la información sobre el tratamiento de datos estaba diseminada en distintos documentos y páginas, que impedían al usuario entender debidamente el alcance del tratamiento.

En segundo lugar, porque el consentimiento prestado por los usuarios no era una clara acción afirmativa. Esto es debido a que cuando el usuario accedía a la configuración de la personalización de los anuncios, las opciones ya aparecían automáticamente con las casillas pre-marcadas afirmativamente, por lo que el usuario no podía tomar una “clara acción afirmativa”, que consistiría en pinchar en las casillas vacías para que estas quedaran marcadas afirmativamente.

En tercer lugar, porque el consentimiento prestado por los usuarios no era especifico. Google unificaba el consentimiento para el tratamiento de datos, sin especificar una a una las distintas finalidades de cada tratamiento, y sin buscar por tanto consentimiento específico para cada una de estas finalidades.

Argumentación de la CNIL para justificar la cuantía de la presente sanción:

En primer lugar y en palabras de la CNIL: “Las infracciones privan a los usuarios de garantías esenciales en cuanto al tratamiento de datos, el cual puede revelar partes importantes de la vida privada de los usuarios, dado el extenso número de datos personales que se tratan, la amplia variedad de servicios y las posibles combinaciones“.

Asimismo, la CNIL ha tenido también en consideración el hecho de que las infracciones han sido continuadas en el tiempo, hasta el punto de que todavía se daban cuando la CNIL impuso la presente sanción.

Por último, la CNIL ha valorado el hecho de que el sistema operativo Android es bastante utilizado por la población francesa, con ”miles de franceses creando cada día nuevas cuenta de Google a través de su móvil”.

Conclusión:

Con la cuantía de 50 millones de euros, estamos ante la multa más elevada hasta el momento por infracción del RGPD. Personalmente me parece un buen precedente para que las empresas en general, y las grandes multinacionales en particular, que tienen acceso a los datos personales de millones de usuarios, empiecen a tomar medidas reales para respetar y proteger los intereses de los usuarios en materia de protección de datos.

Sin embargo, la investigación de Google no es un caso aislado. Existen otras conocidas multinacionales que en la actualidad se encuentran bajo investigación por posibles infracciones del GDPR, como es el caso de Twitter o Facebook en Irlanda, donde tienen su sede europea. Será interesante ver cuánto tiempo tardará la agencia de protección de datos irlandesa en actuar.

En este sentido, en el caso de la infracción de Google que ha motivado la presente sanción, esta se denunció a finales de mayo de 2018 y la sanción ha llegado casi 8 meses después. Podemos por ahora usar este plazo para hacernos una idea del tiempo que requiere la investigación que lleva a una multa de estas características.

El tiempo dirá, pero el creciente número de denuncias por infracción del RGPD parece indicar que la sangría de multas no ha hecho más que empezar.

______

Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

Para más información sobre abc Compliance, pulse aquí.

Suscríbase aquí para recibir los últimos post del RGPD Blog en su correo electrónico.