España multa a Google con 10 millones por ceder datos a terceros y vulnerar el derecho al olvido
La Agencia Española de Protección de Datos ha sancionado también a Vodafone con 3,9 millones de euros.
La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de diez millones de euros a Google LLC por vulnerar los artículos 6 y 17 del Reglamento de Protección de Datos (RGPD), la sanción más alta impuesta por la agencia hasta la fecha.
Además, la AEPD ha impuesto otra multa de 3,9 millones de euros a la compañía Vodafone España por vulnerar los artículos 5.1 y 5.2 del RGPD y no asegurar el nivel de seguridad y confidencialidad necesarios a un cliente.
Ambas multas han sido publicadas este miércoles en el Boletín Oficial del Estado (BOE), en virtud de la Ley de Protección de Datos, que establece que cuando el infractor es una persona jurídica y la multa supera el millón de euros, la sanción se publicará en el boletín estatal.
Dos infracciones “muy graves”
En su resolución contra Google LLC, la AEPD aprecia dos infracciones “muy graves” e impone a la compañía sendas multas de cinco millones “por ceder datos a terceros” (en concreto al Proyecto Lumen) y “obstaculizar el derecho a la supresión de los ciudadanos”.
El texto explica que Google LLC, con domicilio social en California (Estados Unidos), ofrece sus productos a residentes en España (como búsquedas, maps, gmail, drive o youtube), desde una filial en Irlanda denominada Google Irland Limited que es responsable del tratamiento de datos personales de los usuarios que accedan a los productos y servicios de la compañía en el espacio europeo.
Por tanto, Google LLC es responsable del tratamiento de la información indexada y mostrada en servicios como la búsqueda de Google y Google Maps.
Google LLC cuenta con un apartado específico para que las personas que quieran hacerlo, puedan solicitar —por motivos de privacidad— la retirada de resultados obtenidos en búsquedas.
Sin embargo, para ello, deben rellenar un formulario y facilitar datos como país de residencia, nombre completo, correo electrónico, URL del contenido que incluye la información personal que debe ser retirada, la información personal que se quiere eliminar y los motivos.
Esa solicitud (con toda la información que contiene) se incluye en otra base de datos accesible al público (lumendatabase.org).
Para la Agencia, que el ciudadano tenga que remitir la solicitud para que se incluya en otra base de datos y para que se divulgue a través de esa web, “frustra la finalidad del ejercicio del derecho de supresión”.
Además, en la política de privacidad de Google LLC, la empresa no hace mención a este tratamiento de datos personales, y tampoco aparece entre las finalidades la comunicación al Proyecto Lumen, critica la resolución.
La comunicación de datos por parte de Google LLC al Proyecto Lumen es, además, un paso obligado para los usuarios que quieren retirar contenidos y al que no pueden oponerse, por tanto, un procedimiento que se lleva a cabo “sin que exista un consentimiento válido” por parte del usuario, denuncia la AEPD.
La resolución también critica el sistema diseñado por Google LLC, que obliga al interesado a visitar diversas páginas para llegar a cumplimentar su solicitud en las que debe ir marcando las opciones que se ofrecen, un camino largo y confuso que puede hacer que el ciudadano se equivoque en su solicitud.
Para la Agencia, este sistema es lo mismo que “dejar a criterio de Google LLC la decisión sobre cuándo aplica y cuándo no el RGPD” y que eludir la aplicación de la normativa de protección de datos personales.
Por todo ello, además de la sanción económica, la Agencia reclama a Google LLC a que adecúe a la normativa de protección de datos personales la comunicación de datos al Proyecto Lumen, los procesos de ejercicio y atención del derecho de supresión, y la información que ofrece a sus usuarios.
Asimismo, exige a Google LLC que suprima todos los datos personales facilitados en todas las solicitudes del derecho de supresión que ha enviado al Proyecto Lumen, y le recuerda que tiene la obligación de instar a este último para que suprima y deje de usar los datos personales que le ha comunicado.
También se multa a Vodafone
En cuanto a Vodafone España, la resolución de la Agencia Española de Protección de Datos impone una multa de 3.940.000 euros por infracción “muy grave” de los artículos 5.1 y 5.2 del RGPD.
Esta resolución multa a Vodafone España por no garantizar un nivel de seguridad y de confidencialidad adecuados a uno de sus clientes y por vulnerar el principio de responsabilidad proactiva que obliga a la empresa a poner en marcha las medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la protección de datos.