Sancionan a Google con 900.000 euros por non respectar a Lei Orgánica de Protección de Datos
xoves, 19 de decembro do 2013
- O director da AEPD xunto ao presidente do CPEIG tras a sinatura dun convenio
O director da Axencia Española de Protección de Datos, José
Luis Rodríguez Álvarez, ditou unha Resolución que pon fin ao procedemento
iniciado á empresa Google en relación coa compatibilidade da súa política de
privacidade e as condicións de uso dos seus servizos coa normativa española de
protección de datos.
A Resolución conclúe declarando a existencia de tres infraccións graves da Lei
Orgánica de Protección de Datos (LOPD), impón
a Google unha sanción de 300.000 euros por cada unha delas e require á
compañía para que adopte sen dilación as medidas necesarias para cumprir coas
esixencias legais.
No marco da investigación realizada, a Axencia Española de Protección de Datos
(AEPD) constatou que Google recolle e trata ilexitimamente información persoal,
tanto dos usuarios autenticados (dados de alta nos seus servizos) como dos non
autenticados, e mesmo dos que son meros usuarios
pasivos que non solicitaron os seus servizos pero acceden a páxinas que
inclúen elementos xestionados pola compañía sen explicitalo.
Como consecuencia diso, a Axencia considera que Google vulnera gravemente o
dereito á protección dos datos persoais recoñecido a todos os cidadáns polo
artigo 18 da Constitución Española e regulado na LOPD.
As actuacións de inspección permitiron comprobar que Google recompila
información persoal a través de case un cento de servizos e produtos que ofrece
en España, sen proporcionar en moitos casos unha información adecuada sobre que
datos se recollen, para que fins se utilizan e sen obter un consentimento
válido dos seus titulares. Así, por exemplo, non se informa con claridade aos
usuarios de Gmail de que se realiza un filtrado do contido do correo e dos
ficheiros anexos para inserir publicidade. Cando se informa, utilízase unha
terminoloxía imprecisa, con expresións xenéricas e pouco claras que impiden aos
usuarios coñecer o significado real do que se formula. É demostrativo que en
oito páxinas Google emprega ata en 30 ocasións termos como
"poderemos", "poderá", "poderán" ou "é
posible". Todo iso, sumado a outras expresións sumamente ambiguas como
"mellorar a experiencia do usuario", dá lugar a unha política de
privacidade indeterminada e pouco clara.
A falta de información axeitada, particularmente sobre as finalidades
específicas que xustifican o tratamento dos datos, impide que poida
considerarse que existe un consentimento específico e informado e, en
consecuencia, válido.
Por outra banda, Google combina a información persoal obtida a través dos
diversos servizos ou produtos para utilizala con múltiples finalidades que non
se determinan con claridade, vulnerando con iso a prohibición de utilizar os
datos para fins distintos daqueles para os que foron solicitados. Esta
combinación dos datos que se recollen nun servizo cos obtidos noutros, e que
permite a Google enriquecer a información persoal que almacena, excede
amplamente as expectativas razoables do usuario medio, que non é consciente do
carácter masivo e transversal do tratamento dos seus datos. Ao actuar así,
Google sérvese dunha tecnoloxía sofisticada que supera a capacidade da maioría
dos usuarios para tomar decisións conscientes sobre o uso do seu información
persoal polo que, na práctica, perden o control sobre esta.
En contra do esixido pola lexislación española, Google almacena e conserva
datos persoais por períodos de tempo indeterminados ou inxustificados,
contravindo con iso o mandato legal de proceder á súa cancelación cando deixan
de ser necesarios para a finalidade que determinou o seu recollida. A
conservación dos datos por tempo indefinido, máis alá das esixencias que se
derivan das finalidades pretendidas no momento da recollida, constitúe un
tratamento ilícito.
Finalmente, a AEPD conclúe que Google obstaculiza (e nalgúns casos impide) o
exercicio de os dereitos de acceso, rectificación, cancelación e oposición. O
procedemento que os cidadáns deben seguir para exercer os seus dereitos ou
xestionar a súa propia información persoal obrígalles a percorrer un número
indeterminado de páxinas, dispersas en varios enlaces, que non están
dispoñibles para todos os tipos de usuarios e, en ocasións, con denominacións
que non sempre fan referencia ao seu obxecto. A propia compañía recoñece que
hai que executar polo menos sete procesos diferentes, reservándose mesmo o
dereito de non atender as solicitudes que supoñan "un esforzo
desproporcionado".