GOOGLE multada con 50 millones de euros por la CNIL por múltiples violaciones del GDPR.21 de enero de 2019: La comisión restringida de la autoridad francesa de protección de datos (CNIL) ha impuesto una sanción económica de 50 millones de euros a GOOGLE LLC, en virtud del Reglamento General de Protección de Datos (GDPR). Las infracciones incluyen: falta de transparencia, información inadecuada y falta de consentimiento válido con respecto a la personalización de los anuncios. Durante la última parte del mes de mayo de 2018, la CNIL recibió quejas colectivas de las asociaciones None Of Your Business (NOYB) y La Quadrature du Net (LQDN). LQDN se encargó de remitir el asunto a la CNIL por parte de 10.000 personas. En las dos denuncias, las asociaciones acusan a GOOGLE de no tener una "base jurídica válida" para tratar los datos personales de los usuarios de sus servicios, en particular para la personalización de los anuncios.
Gestión de reclamaciones por parte de la CNIL
Tras recibir las denuncias, la CNIL inició inmediatamente las investigaciones. El 21 de junio, se enviaron los detalles de las denuncias a los homólogos europeos de la CNIL, de acuerdo con las disposiciones sobre cooperación europea definidas en el Reglamento General de Protección de Datos (RGPD). El RGPD establece un "mecanismo de ventanilla única" que prevé que una organización establecida en la Unión Europea tendrá un solo interlocutor, que es la Autoridad de Protección de Datos ("APD") del país donde se encuentra su "establecimiento principal". Esta autoridad actúa como "autoridad principal". Por tanto, debe coordinar la cooperación entre las demás Autoridades de Protección de Datos antes de tomar cualquier decisión sobre un tratamiento transfronterizo realizado por la empresa. En este caso, las conversaciones con las demás autoridades, en particular con la APD irlandesa, donde se encuentra la sede europea de GOOGLE, no permitieron considerar que GOOGLE tuviera un establecimiento principal en la Unión Europea. En efecto, cuando la CNIL incoó el procedimiento, el establecimiento irlandés no tenía poder de decisión sobre las operaciones de tratamiento realizadas en el marco del sistema operativo Android y de los servicios prestados por GOOGLE LLC, en relación con la creación de una cuenta durante la configuración de un teléfono móvil. Al no ser aplicable el mecanismo de "ventanilla única", la CNIL era competente para tomar cualquier decisión relativa a las operaciones de tratamiento realizadas por GOOGLE LLC, al igual que las demás APD. La CNIL aplicó el nuevo marco europeo tal como lo interpretan todas las autoridades europeas en las directrices del Consejo Europeo de Protección de Datos (CEPD). Para atender las denuncias recibidas, la CNIL realizó inspecciones en línea en septiembre de 2018. El objetivo era verificar la conformidad de las operaciones de procesamiento implementadas por GOOGLE con la Ley de Protección de Datos francesa y el GDPR, analizando el patrón de navegación de un usuario y los documentos a los que puede tener acceso, al crear una cuenta de GOOGLE durante la configuración de un equipo móvil con Android.
Las violaciones observadas por el comité restringido
Sobre la base de las inspecciones realizadas, el comité restringido de la CNIL encargado de examinar las infracciones de la Ley de Protección de Datos observó dos tipos de infracciones del RGPD. En primer lugar, la comisión restringida observa que la información proporcionada por GOOGLE no es fácilmente accesible para los usuarios. En efecto, la estructura general de la información elegida por la empresa no permite cumplir con el Reglamento. La información esencial, como las finalidades del tratamiento de datos, los plazos de conservación de los datos o las categorías de datos personales utilizadas para la personalización de los anuncios, está excesivamente difundida en varios documentos, con botones y enlaces en los que hay que hacer clic para acceder a información complementaria. La información relevante es accesible sólo después de varios pasos, lo que implica a veces hasta 5 o 6 acciones. Este es el caso, por ejemplo, cuando un usuario quiere tener una información completa sobre sus datos recogidos para la personalización o para el servicio de geolocalización. Además, el comité restringido observa que algunas informaciones no siempre son claras ni completas. Los usuarios no pueden comprender plenamente el alcance de las operaciones de tratamiento realizadas por GOOGLE. Pero las operaciones de tratamiento son especialmente masivas e intrusivas debido al número de servicios ofrecidos (una veintena), la cantidad y la naturaleza de los datos tratados y combinados. La comisión restringida observa, en particular, que las finalidades del tratamiento se describen de forma demasiado genérica y vaga, al igual que las categorías de datos tratados para estas diversas finalidades. Asimismo, la información comunicada no es lo suficientemente clara como para que el usuario pueda comprender que la base jurídica de las operaciones de tratamiento para la personalización de los anuncios es el consentimiento, y no el interés legítimo de la empresa. Por último, el comité restringido observa que la información sobre el periodo de conservación no se proporciona para algunos datos.
Personalización de anuncios
Incumplimiento de la obligación de tener una base legal para el tratamiento de la personalización de anuncios: La empresa GOOGLE afirma que obtiene el consentimiento del usuario para el tratamiento de los datos con fines de personalización de anuncios. Sin embargo, el comité restringido considera que el consentimiento no se obtiene válidamente por dos razones: En primer lugar, el comité restringido observa que el consentimiento de los usuarios no está suficientemente informado. La información sobre las operaciones de tratamiento para la personalización de anuncios se diluye en varios documentos y no permite al usuario ser consciente de su alcance. Por ejemplo, en la sección "Personalización de anuncios", no es posible conocer la pluralidad de servicios, sitios web y aplicaciones que intervienen en estas operaciones de tratamiento (Google search, You tube, Google home, Google maps, Playstore, Google pictures...) y, por tanto, la cantidad de datos tratados y combinados. A continuación, la comisión restringida observa que el consentimiento recogido no es ni "específico" ni "inequívoco". Cuando se crea una cuenta, el usuario puede modificar algunas opciones asociadas a la cuenta haciendo clic en el botón "Más opciones", accesible encima del botón "Crear cuenta". En particular, es posible configurar la visualización de anuncios personalizados. Esto no significa que se respete el GDPR. En efecto, el usuario no sólo tiene que hacer clic en el botón "Más opciones" para acceder a la configuración, sino que además la visualización de la personalización de los anuncios está previamente marcada. Sin embargo, tal y como establece el GDPR, el consentimiento es "inequívoco" sólo con una clara acción afirmativa del usuario (marcando una casilla no premarcada, por ejemplo). Por último, antes de crear una cuenta, se pide al usuario que marque las casillas "Estoy de acuerdo con las condiciones del servicio de Google" y "Estoy de acuerdo con el tratamiento de mi información tal y como se ha descrito anteriormente y se explica con más detalle en la política de privacidad" para crear la cuenta. Por lo tanto, el usuario da su consentimiento en su totalidad, para todas las operaciones de tratamiento realizadas por GOOGLE basadas en este consentimiento (personalización de anuncios, reconocimiento de voz, etc.). Sin embargo, el GDPR establece que el consentimiento es "específico" sólo si se da de forma diferenciada para cada finalidad. La multa impuesta por la comisión restringida y su publicidad La comisión restringida de la CNIL impone públicamente una sanción económica de 50 millones de euros a GOOGLE. Es la primera vez que la CNIL aplica los nuevos límites de sanción previstos por el GDPR. La cantidad decidida, y la publicidad de la multa, se justifican por la gravedad de las infracciones observadas en relación con los principios esenciales del GDPR: transparencia, información y consentimiento. A pesar de las medidas aplicadas por GOOGLE (documentación y herramientas de configuración), las infracciones observadas privan a los usuarios de garantías esenciales en relación con las operaciones de tratamiento que pueden revelar partes importantes de su vida privada, ya que se basan en una enorme cantidad de datos, una gran variedad de servicios y combinaciones posibles casi ilimitadas. La comisión restringida recuerda que la amplitud de estos tratamientos en cuestión impone permitir a los usuarios controlar sus datos y, por tanto, informarles suficientemente y permitirles dar su consentimiento de forma válida. Además, se trata de infracciones continuas del Reglamento, ya que se siguen observando hasta la fecha. No se trata de una infracción puntual y limitada en el tiempo. Por último, teniendo en cuenta el importante lugar que ocupa el sistema operativo Android en el mercado francés, miles de franceses crean, cada día, una cuenta GOOGLE al utilizar su smartphone. Además, la comisión restringida señala que el modelo económico de la empresa se basa en parte en la personalización de los anuncios. Por lo tanto, es de su máxima responsabilidad cumplir con las obligaciones en la materia.
Fuentes y créditos: CNIL - Deliberación del comité restringido de la CNIL (en francés)