El pasado 18 de mayo de 2022 en su procedimiento sancionador PS/00140/2020 (el “Procedimiento”), la AEPD impuso a Google LLC (“Google”), con domicilio social en Estados Unidos, una multa de 10.000.000 euros por infringir los artículos artículo 6 y 17 del RGPD relativos a la base jurídica del tratamiento y al derecho de supresión de datos.

La multa es consecuencia de una investigación iniciada por la AEPD a raíz de dos denuncias presentadas en septiembre y octubre de 2018.

Hechos

Según la política de privacidad de Google LLC, esta entidad es la responsable del tratamiento de la información indexada y mostrada en servicios como la Búsqueda de Google y Google Maps, con independencia de la ubicación del usuario.

Con el fin de solicitar la retirada de resultados obtenidos en búsquedas de Google al utilizar el nombre de la persona como criterio, Google ponía a disposición de los usuarios más de 20 tipos de formularios distintos, en función del motivo por el que se buscaba la desindexación de los resultados.

En 14 de esos formularios se mencionaba que las solicitudes de retirada de resultados podían ser comunicadas al “Proyecto Lumen”. Google utilizaba el siguiente texto para informar de dicha comunicación:

“Ten en cuenta que es posible que enviemos una copia de cada una de las notificaciones legales que recibamos al proyecto Lumen (…) para su publicación y anotación. Lumen retirará la información de contacto personal del remitente (es decir, el número de teléfono, la dirección de correo electrónico y el domicilio) (…)”

Según el Procedimiento, el Proyecto Lumen es “un proyecto de la entidad Berkman Klein Center for Internet & Society de la Universidad de Harvard, con sede en la ciudad de Cambridge (Massachusetts, Estados Unidos), nacido en el año 2002, cuya principal misión radica en la recogida y puesta a disposición, tanto de investigadores como de personas interesadas, de solicitudes de retirada de contenido de páginas web de dentro y fuera de Estados Unidos”.

Según el Procedimiento, a finales de 2021, el Proyecto Lumen poseía una base de datos con más de dieciocho millones de solicitudes de retirada de contenido, referenciando cerca de cuatro mil quinientos millones de URL, y durante el 2021 fue visitado más de diecinueve millones de veces por más de un millón de usuarios únicos de prácticamente todos los países del mundo.

Dicha base de datos del Proyecto Lumen esta accesible al público en general, e incluye una herramienta de búsqueda.

En definitiva, las solicitudes de los usuarios a Google para la retirada de un resultado indexado en su buscador paradójicamente acababan en la base de datos de otra entidad (Proyecto Lumen), accesibles libremente por terceros a través de otra herramienta de búsqueda.

El procedimiento de la AEPD ha buscado analizar (i) la validez de la base jurídica en la comunicación de datos personales relacionados con las retiradas de contenidos en línea que realizaba Google al Proyecto Lumen en aquellas solicitudes realizadas por españoles con posterioridad al 25 de mayo de 2018, y (ii) una posible infracción del derecho de supresión de datos personales.

Falta de base jurídica para la comunicación de datos personales al “Proyecto Lumen”

Google comunicaba al Proyecto Lumen las solicitudes de retirada de contenido indexado, y delegaba en el Proyecto Lumen el proceso de anonimización de los datos personales del solicitante.

Para justificar dicha comunicación, Google se amparaba en el interés legitimo y en el consentimiento del solicitante como bases jurídicas.

En relación con el interés legítimo, la AEPD desestima la validez de esta base jurídica, explicando que con “la deficiente información ofrecida (al usuario) acerca de la finalidad y base legitimadora de la comunicación de datos, no es posible evaluar la ponderación de intereses y concluir la prevalencia del interés legítimo del responsable o de terceros”.

Asimismo, la AEPD explica que: “(…) GOOGLE LLC no ha aportado ni una sola razón que justifique incluir los datos personales en los avisos de eliminación de contenidos que traslada al “Proyecto Lumen” para satisfacer sus propios intereses legítimos o los del tercero”.

En relación con el consentimiento del usuario: como establece el RGPD, para considerar válido el consentimiento otorgado este deberá ser informado, referirse de manera específica a finalidades concretas, prestarse de manera libre y ser inequívoco.

Con lo anterior presente, la AEDP estima que el consentimiento prestado por los solicitantes no era válido. Entre otras razones, la AEPD indica las siguientes:

En primer lugar, la información ofrecida a los usuarios en varios de los formularios de retirada de contenido era deficiente. Concretamente, no se informaba de todos los fines del tratamiento, ni de todos los terceros a los que se comunicaban los datos, ni la base jurídica utilizada para realizar la comunicación de datos al Proyecto Lumen.

En segundo lugar, en cuanto al consentimiento especifico, la AEPD explica que “el requisito de especificidad se vincula íntimamente con el requisito de consentimiento “informado”, por lo que al no cumplirse esto último, tal y como se ha expuesto, difícilmente el interesado podrá obtener una información precisa acerca de una finalidad diferente en el tratamiento de sus datos a la de gestión de la retirada de contenido”.

En tercer lugar, la AEPD considera que el consentimiento no fue prestado libremente, dado que “el interesado que rellena el formulario ha de tener una opción real para no otorgar el consentimiento de comunicación de sus datos al “Proyecto Lumen”, sin que ello implique ninguna penalización en el uso del servicio de retirada de contenido o reclamación. Sin embargo, en los formularios estudiados esto no ocurre, ya que la cesión de datos al “Proyecto Lumen” viene incluida incondicionalmente con la propia solicitud de retirada de contenido o denuncia, sin que quepa la posibilidad de elegir esta cesión o no (…)”.

Por todas las anteriores razones, la AEPD concluye que la comunicación al Proyecto Lumen de las solicitudes de retirada de contenido indexado no puede quedar amparada por la base jurídica del consentimiento de los solicitantes, ni por el interés legítimo de Google. En otras palabras, dicha comunicación infringe el artículo 6 del RGPD.

Infracción del derecho de supresión (“Derecho al olvido”)

En relación con los mecanismos habilitados por Google para que los usuarios puedan ejercer su derecho de supresión de datos personales, la APED estima que se produce una infracción del artículo 17 relativo al derecho de supresión.

Para entender la infracción, a continuación explicamos el proceso que deben atravesar los usuarios que buscan ejercer su derecho de supresión de datos personales:

La Política de Privacidad de Google informa que es posible “solicitar que se retire contenido” de determinados servicios de Google e incluye un link que lleva a una página con una lista con diversos productos de Google, entre los que se incluye el producto “Búsqueda de Google”.

Una vez seleccionado el producto “Búsqueda de Google”, el usuario debe seleccionar en una primera capa de motivos la razón por la que se busca eliminar el contenido, que llevan a una segunda capa de motivos, y posteriormente el sistema pone a disposición del usuario un formulario específico para realizar la solicitud.

Pues bien, de los más de 20 formularios existentes puestos a disposición de los solicitantes para la retirada de resultados en las búsquedas de Google, solo existe un formulario denominado “Retirada en virtud de la ley de privacidad de la UE”, (que no se menciona en la Política de Privacidad y que no utiliza el termino “datos personales”) que contiene una referencia expresa a la normativa de protección de datos personales.

El formulario denominado “Retirada en virtud de la ley de privacidad de la UE” se encuentra en una segunda capa de motivos que aparece únicamente tras seleccionar en la primera capa de motivos la opción “Información personal: solicitar que se retire información personal mía de los resultados de búsqueda de Google”.

En otras palabras, para poder encontrar el formulario correcto con el fin de ejercer el derecho de supresión de datos personales, es necesario navegar a través de un laberinto de opciones que llevan a mas de 20 formularios distintos, de los cuales solo 1 es el correcto.

Esto tiene como consecuencia, tal y como explica la AEPD que sea “(…) difícil deducir si la solicitud se formula invocando la normativa de protección de datos personales, sencillamente porque esta normativa no se menciona en ninguno de los formularios, con independencia del motivo que el interesado seleccione de entre las opciones propuestas, salvo en el formulario denominado “Retirada en virtud de la ley de privacidad de la UE” (…)”.

La complejidad de este sistema de retirada de contenido permite a Google valorar las solicitudes de retirada de contenido “realizando análisis legales y test en función del motivo por el que presenta su solicitud. Por ejemplo, las solicitudes de desindexación por motivos de difamación, a falta de una decisión judicial, se analizan según la normativa local que regula la difamación y no sobre la base del RGPD”.

La AEPD explica que “No puede aceptarse, por tanto, que la Política de Privacidad conduzca a este sitio web, en el que se ponen a disposición del usuario medios para el ejercicio del derecho de supresión, con el que se persigue la eliminación de contenidos (debe entenderse que se refiere a datos personales) y, posteriormente, las solicitudes que se formulan no se traten como tales, a criterio de la entidad responsable (…) esto supone que dicha entidad considera que las solicitudes de retirada de contenido en línea para los productos de “Google” que se formulen sirviéndose de los mecanismos a los que da acceso la página “Cómo retirar contenido de Google”, en ningún caso se considera un ejercicio de derecho de supresión regulado en el artículo 17 del RGPD y en ningún caso se analiza y resuelve por la entidad responsable conforme a la normativa de protección de datos personales”.

Asimismo, “el sistema diseñado por GOOGLE LLC, que conduce al interesado a través de diversas páginas para llegar a cumplimentar su solicitud, obligándole previamente a marcar las opciones que se ofrecen, puede provocar que éste termine marcando una opción que se adapte a los motivos que considera apropiados a su interés, pero que le aparta de su intención originaria, que puede estar claramente vinculada a la protección de sus datos personales, desconociendo que estas opciones le sitúan en un régimen normativo distinto porque así lo ha querido GOOGLE LLC o que su solicitud se resolverá según las políticas internas establecidas por esta misma entidad”.

La AEPD concluye que: “En los casos analizados, solo GOOGLE LLC sabe qué solicitudes responden a un criterio u otro, lo que equivale a decir que solo GOOGLE LLC sabe qué solicitudes se resolverán de conformidad con unas reglas u otras. Es tanto como dejar a criterio de GOOGLE LLC la decisión sobre cuándo aplica y cuándo no el RGPD, y esto supondría aceptar que esta entidad pueda eludir la aplicación de la normativa de protección de datos personales y, más concretamente para este caso, aceptar que el derecho de supresión de datos personales quede condicionado por el sistema de eliminación de contenidos diseñado por la entidad responsable. El efecto puede ser que no se supriman datos personales que el interesado desee eliminar en casos en que la normativa de protección de datos personales ampare esta supresión”.

Conclusión

La presente Resolución resulta relevante por tres razones:

En primer lugar, por imponer la mayor multa de la AEPD hasta la fecha: 10 millones de euros. Asimismo, el tiempo transcurrido desde que se presentó la primera reclamación (septiembre 2018) hasta la publicación del Procedimiento (18 de mayo de 2022) permite estimar el tiempo que la AEPD requiere pare resolver un procedimiento de semejante magnitud.

En segundo lugar: por mostrar el alcance extraterritorial del RGPD, llegando a Google LLC, una multinacional sita en EEUU.

Al ser Google LLC la entidad responsable del tratamiento de la información indexada y mostrada en servicios como la Búsqueda de Google y Google Maps, las agencias europeas de protección de datos pueden sancionar directamente a esta entidad sita en EEUU, en lugar de tener que elevar su queja a la Agencia de Protección de Datos Irlandesa donde Google LLC tiene su sede europea.

En tercer lugar: por sentar un precedente para que otras agencias de protección de datos europeas puedan imponer a Google LLC una multa por exactamente la misma infracción. No olvidemos que la AEPD únicamente ha sancionado a Google LLC por las solicitudes de retirada de resultados realizadas por españoles tras la entrada en vigor del RGPD.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.