Sancionan a Google con 900.000 euros por non respectar a Lei Orgánica de Protección de Datos

O director da AEPD xunto ao presidente do CPEIG tras a sinatura dun convenio

O director da Axencia Española de Protección de Datos, José Luis Rodríguez Álvarez, ditou unha Resolución que pon fin ao procedemento iniciado á empresa Google en relación coa compatibilidade da súa política de privacidade e as condicións de uso dos seus servizos coa normativa española de protección de datos.
A Resolución conclúe declarando a existencia de tres infraccións graves da Lei Orgánica de Protección de Datos (LOPD), impón a Google unha sanción de 300.000 euros por cada unha delas e require á compañía para que adopte sen dilación as medidas necesarias para cumprir coas esixencias legais.
No marco da investigación realizada, a Axencia Española de Protección de Datos (AEPD) constatou que Google recolle e trata ilexitimamente información persoal, tanto dos usuarios autenticados (dados de alta nos seus servizos) como dos non autenticados, e mesmo dos que son meros usuarios pasivos que non solicitaron os seus servizos pero acceden a páxinas que inclúen elementos xestionados pola compañía sen explicitalo.
Como consecuencia diso, a Axencia considera que Google vulnera gravemente o dereito á protección dos datos persoais recoñecido a todos os cidadáns polo artigo 18 da Constitución Española e regulado na LOPD.
As actuacións de inspección permitiron comprobar que Google recompila información persoal a través de case un cento de servizos e produtos que ofrece en España, sen proporcionar en moitos casos unha información adecuada sobre que datos se recollen, para que fins se utilizan e sen obter un consentimento válido dos seus titulares. Así, por exemplo, non se informa con claridade aos usuarios de Gmail de que se realiza un filtrado do contido do correo e dos ficheiros anexos para inserir publicidade. Cando se informa, utilízase unha terminoloxía imprecisa, con expresións xenéricas e pouco claras que impiden aos usuarios coñecer o significado real do que se formula. É demostrativo que en oito páxinas Google emprega ata en 30 ocasións termos como "poderemos", "poderá", "poderán" ou "é posible". Todo iso, sumado a outras expresións sumamente ambiguas como "mellorar a experiencia do usuario", dá lugar a unha política de privacidade indeterminada e pouco clara.
A falta de información axeitada, particularmente sobre as finalidades específicas que xustifican o tratamento dos datos, impide que poida considerarse que existe un consentimento específico e informado e, en consecuencia, válido.
Por outra banda, Google combina a información persoal obtida a través dos diversos servizos ou produtos para utilizala con múltiples finalidades que non se determinan con claridade, vulnerando con iso a prohibición de utilizar os datos para fins distintos daqueles para os que foron solicitados. Esta combinación dos datos que se recollen nun servizo cos obtidos noutros, e que permite a Google enriquecer a información persoal que almacena, excede amplamente as expectativas razoables do usuario medio, que non é consciente do carácter masivo e transversal do tratamento dos seus datos. Ao actuar así, Google sérvese dunha tecnoloxía sofisticada que supera a capacidade da maioría dos usuarios para tomar decisións conscientes sobre o uso do seu información persoal polo que, na práctica, perden o control sobre esta.
En contra do esixido pola lexislación española, Google almacena e conserva datos persoais por períodos de tempo indeterminados ou inxustificados, contravindo con iso o mandato legal de proceder á súa cancelación cando deixan de ser necesarios para a finalidade que determinou o seu recollida. A conservación dos datos por tempo indefinido, máis alá das esixencias que se derivan das finalidades pretendidas no momento da recollida, constitúe un tratamento ilícito.
Finalmente, a AEPD conclúe que Google obstaculiza (e nalgúns casos impide) o exercicio de os dereitos de acceso, rectificación, cancelación e oposición. O procedemento que os cidadáns deben seguir para exercer os seus dereitos ou xestionar a súa propia información persoal obrígalles a percorrer un número indeterminado de páxinas, dispersas en varios enlaces, que non están dispoñibles para todos os tipos de usuarios e, en ocasións, con denominacións que non sempre fan referencia ao seu obxecto. A propia compañía recoñece que hai que executar polo menos sete procesos diferentes, reservándose mesmo o dereito de non atender as solicitudes que supoñan "un esforzo desproporcionado".