La Comisión Nacional de Informática y Libertades (CNIL), el organismo galo encargado de velar por la protección de datos de los ciudadanos franceses, ha multado a Google por violar en varios puntos el Reglamento General de Protección de Datos (RGPD) europeo. Por este motivo, ha impuesto una sanción de 50 millones de euros.
La CNIL acusa a Google de “falta de transparencia, información incorrecta y ausencia de consentimiento”
En su resolución, la CNIL argumenta su decisión por la “falta de transparencia, información incorrecta y ausencia de consentimiento válido en la publicidad personalizada”. Según la Comisión, las irregularidades detectadas en Google “dejan a los usuarios sin sus garantías esenciales, ya que practica operaciones que pueden revelar importantes partes de la vida privada”.
Aunque, en palabras de Mathias Moulin, director de protección de datos de la CNIL, “no negamos que Google informe” al usuario sobre lo que se hará con sus datos, “la información no es fácilmente accesible, está diseminada en diferentes documentos” que el internauta no acaba consultando nunca. “A veces hay que hacer hasta cinco clics para acceder a una información. Estos casos se dan, por ejemplo, cuando los usuarios desean tener información completa sobre la recopilación de su información para la personalización de anuncios o para su geolocalización”, afirma Moulin.
Además, “la información entregada no siempre es clara y comprensible”. La agencia gala expone que, incluso una vez que el usuario consigue llegar a los documentos que detallan el procesamiento de los datos personales, estos resultan difíciles de entender: “Los usuarios no pueden comprender el alcance de los tratamientos implementados por Google. Sin embargo, estos tratamientos son particularmente masivos e intrusivos”.
Con el nuevo Reglamento General de Protección de Datos, las plataformas de internet están obligadas a conseguir un “consentimiento inequívoco” de los usuarios para cada uso que planean dar a su información personal. El objetivo de esto es acabar con la práctica generalizada de muchas empresas de obligar al usuario a marcar un solo checkbox que da consentimiento, sin ser conscientes, a tratamientos de datos extensivos. Algo que Google también hace, señala la CNIL.
La sanción llega tras la denuncia de dos organizaciones pro-privacidad
La investigación que ha culminado con este proceso sancionador se inició en junio y ha durado varios meses. El origen está en una denuncia de dos organizaciones pro-privacidad y de defensa de los derechos digitales, la austriaca None Of Your Business (NOYB), que presentó una denuncia contra Android (Sistema Operativo para smartphones propiedad de Google), y la asociación francesa La Quadrature du Net (LQDN). Esta última había presentado ante el organismo regulador galo más de 12.000 firmas en apoyo a sus demandas contra grandes empresas tecnológicas como Google, Apple, Facebook, Amazon y Microsoft.
“Nos satisface enormemente que, por primera vez, una autoridad de protección de datos europea use las posibilidades del RGPD para castigar violaciones claras de la ley”, afirma Max Schrems, presidente de NOYB. “Es importante que las autoridades dejen claro que limitarse a asegurar que se cumplen las normas no es suficiente”, aseguró.
Primer organismo europeo en imponer una sanción tan alta en el marco del RGPD
La Comisión Nacional de Informática y Libertades se ha convertido en el primer organismo europeo que sanciona a una gran plataforma mundial de Internet en base al nuevo reglamento europeo de protección de datos, el conocido como RGPD, que entró en vigor el 25 de mayo de 2018.
Además, también es la primera vez que se impone una multa tan elevada por protección de datos desde la entrada en vigor del reglamento. La CNIL justifica la cuantía de la sanción por la “gravedad de las violaciones observadas en los principios de la protección de datos: transparencia, información y consentimiento” y por el hecho de que “las deficiencias detectadas continúan hasta el día de hoy y son violaciones continuas del Reglamento. No es una brecha puntual, delimitada en el tiempo”.
Google se defiende
La multinacional estadounidense ha declarado que analizará la situación detenidamente para determinar cuáles serán sus “siguientes pasos”. Así pues, por el momento no va a recurrir la decisión del organismo francés. Google ha defendido su compromiso para alcanzar los “altos estándares de transparencia y control” que esperan sus usuarios y aseguran estar “muy comprometidos con alcanzar estas expectativas y los requisitos de consentimiento del RGPD”.
Apple, Amazon, Netflix, Spotify y otras ‘grandes’ también podrían correr la misma suerte
La misma organización pro-privacidad que denunció las violaciones en protección de datos de Google, NOYB, ha interpuesto también quejas formales contra otras grandes compañías tecnológicas, entre las que se encuentran Apple, Amazon, Netflix o Spotify por “violación estructural” de un aspecto clave del Reglamento General de Protección de Datos (RGPD): no respetar el “derecho al acceso” a los datos personales.
NOYB asegura haber puesto a prueba el cumplimiento de este derecho por parte de estas empresas y los datos facilitados no son los que legalmente se les exige entregar. “A menudo ni siquiera se proporciona de forma remota los datos a los que todo usuario tiene derecho. Esto lleva a violaciones estructurales de los derechos de los usuarios, ya que estos sistemas están diseñados para retener información relevante”, afirma Schrems, máximo representante de la organización.
Las empresas citadas, además de otras como Soundcloud, DAZN o Filmmit, podrían ser multadas con hasta 18.800 millones de euros en total, de acuerdo con el nuevo reglamento europeo de protección de datos, que prevé multas administrativas de 10 a 20 millones de euros, o en el caso de que se trate de una empresa, de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. De este modo, Apple se podría enfrentar a una sanción máxima de 8.000 millones de euros, mientras que, por ejemplo, DAZN se quedaría en los 20 millones de euros de multa, como máximo.
¿Tu empresa necesita adecuarse al nuevo Reglamento General de Protección de Datos (RGPD) europeo? ¿Necesitas asesoramiento legal en materia de protección de datos? Ponte en contacto con Delvy Law & Finance a través de nuestro correo electrónico [email protected] o llámanos al teléfono 935 18 53 85.
- La Agencia Española de Protección de Datos multa con 300.000€ a Google por recabar datos recogidos a través de redes Wifi
- Ley Orgánica de Protección de Datos (LOPD) -¿Qué es y cómo cumplirla?
- El Delegado de Protección de Datos
- Ley de Protección de Datos en Andorra: Novedades y cambios clave en la normativa