Buscar

2013/12/22

Protección de Datos sanciona a Google por "vulnerar gravemente" los derechos de los usuarios

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción a Google por "vulnerar gravemente" los derechos de los ciudadanos.

La resolución, remitida a los medios a través de una nota de prensa,  declara la existencia de tres infracciones graves de la Ley Orgánica de Protección de Datos (LOPD) e impone a Google una sanción de 300.000 euros por cada una de ellas -900.000 euros en total-. También requiere a la compañía para que adopte sin dilación las medidas necesarias para cumplir con las exigencias legales. 

Protección de datos ha constatado que Google no da a los usuarios información suficiente sobre qué datos recoge y para qué fines los utiliza, combina los obtenidos a través de distintos servicios, los conserva durante un tiempo indefinido y obstaculiza el ejercicio de los derechos ARCO.

Esta acción forma parte de la actuación coordinada iniciada junto a las Autoridades de Protección de Datos de Alemania, Francia, Holanda, Italia y Reino Unido tras la falta de reacción de Google a los requerimientos previos.

Desde el gigante de las búsquedas han respondido con una escueta nota: "Hemos estado totalmente involucrados con la Agencia Española de Protección de Datos a lo largo de este proceso para explicar nuestra política de privacidad y cómo esta nos permite crear servicios más sencillos y efectivos, algo que continuaremos haciendo. Leeremos con atención su informe y tomaremos una decisión en cuanto a los siguientes pasos a dar".
Trato "ilegítimo" de la información personal

En el marco de la investigación realizada, la Agencia Española de Protección de Datos (AEPD) ha constatado que Google recoge y trata ilegítimamente información personal, tanto de los usuarios autenticados (dados de alta en sus servicios) como de los no autenticados, e incluso de quienes son meros "usuarios pasivos" que no han solicitado sus servicios pero acceden a páginas que incluyen elementos gestionados por la compañía sin explicitarlo.

Como consecuencia de ello, la Agencia considera que Google vulnera gravemente el derecho a la protección de los datos personales reconocido a todos los ciudadanos por el artículo 18 de la Constitución Española y regulado en la LOPD.
Las actuaciones de inspección han permitido comprobar que Google recopila información personal a través de casi un centenar de servicios y productos que ofrece en España, sin proporcionar en muchos casos una información adecuada sobre qué datos se recogen, para qué fines se utilizan y sin obtener un consentimiento válido de sus titulares.

En su resolución explica que por ejemplo no se informa con claridad a los usuarios de Gmail de que se realiza un filtrado del contenido del correo y de los ficheros anexos para insertar publicidad. Cuando se informa, se utiliza una terminología imprecisa, con expresiones genéricas y poco claras que impiden a los usuarios conocer el significado real de lo que se plantea. Es demostrativo que en ocho páginas Google emplea hasta en 30 ocasiones términos como "podremos", "podrá", "podrán" o "es posible". Todo ello, sumado a otras expresiones sumamente ambiguas como "mejorar la experiencia del usuario", da lugar a una política de privacidad indeterminada y poco clara.

Por otra parte, Google combina la información personal obtenida a través de los diversos servicios o productos para utilizarla con múltiples finalidades que no se determinan con claridad, vulnerando con ello la prohibición de utilizar los datos para fines distintos de aquellos para los que han sido recabados.
Avisos previos

La AEPD explica que en marzo de 2012 Google modificó la política de privacidad y las condiciones de uso de la mayoría de sus servicios, creando un modelo de tratamiento de datos basado en la transversalidad, posibilitando que la información que una persona facilita para un servicio pueda combinarse con la de otros y utilizarse con cualquier finalidad "generando un uso de los datos personales que excede ampliamente las expectativas que un usuario podría esperar de la utilización de un servicio".
El Grupo de Autoridades Europeas de Protección de Datos (GT29) acordó entonces iniciar una investigación conjunta coordinada por la Autoridad Francesa, la CNIL, que concluyó constatando la incompatibilidad de la nueva política de privacidad con la legislación europea de protección de datos. En octubre de 2012, las Autoridades de todos los Estados de la Unión Europea enviaron una carta a Google en la que se relacionaban los principales problemas y se hacían recomendaciones para cumplir con el derecho europeo, requiriendo que se adoptaran medidas en un plazo razonable. Ante la falta de reacción de Google, el Grupo de Autoridades acordó que las autoridades de los Estados iniciarían acciones coercitivas para garantizar el respeto del derecho a la protección de datos.

No hay comentarios: