Recientemente la AEPD ha sancionado a Google LLC por vulnerar la normativa europea en materia de protección de datos. El contexto de la sanción es la comunicación de datos personales custodiados por Google LLC al Proyecto Lumen. Esta información son solicitudes de retirada de contenido que incluyen datos identificativos de ciudadanos, correos electrónicos, los motivos alegados, y la URL reclamada.
Proyecto Lumen se dedica a recoger estas solicitudes y ponerlas a disposición del público incluyéndolas en una base de datos cuya información ha sido previamente anonimizada. Aquellas solicitudes proporcionadas por Google LLC no sólo no habían sido anonimizadas previamente a la realización de la comunicación, sino que en la propia base de datos del Proyecto Lumen aparecían datos personales de los interesados.
¿Por qué ha sancionado la AEPD a Google LLC?
Las infracciones cometidas por Google LLC tipificadas como muy graves suponen la vulneración de los artículos 6 y 17 del Reglamento General de Protección de Datos.
La infracción del artículo 6 corresponde a la comunicación de datos personales por parte de Google LLC al Proyecto Lumen sin una base de legitimación válida. En los formularios para el ejercicio del derecho de supresión se le impone la comunicación de datos a terceros sin posibilitar la oposición al tratamiento por parte del interesado.
Por otro lado, la infracción del artículo 17 se produce por obstaculizar el ejercicio del derecho de supresión. Dicta la resolución que Google LLC ha diseñado un sistema para el ejercicio del derecho al olvido complejo, impidiendo a los interesados acceder a los formularios donde pueden hacer valer sus derechos conforme al RGPD y derivando en procedimientos de retirada de contenido con arreglo a las políticas internas de Google LLC eludiendo la aplicación de la normativa europea.
¿Cuándo ha salido la resolución de la AEPD?
La AEPD dicta la resolución el 18 de mayo de 2022, publicándose en el Boletín Oficial del Estado al ser infracciones cometidas por una persona jurídica con multas superiores al millón de euros.
¿Cuál es el importe de la sanción de la AEPD a Google?
La AEPD sanciona a Google LLC con dos multas por un importe de 5.000.000€ cada una, siendo un total de 10.000.000€ la sanción impuesta por la autoridad de control al gigante tecnológico. Asimismo, se requiere a Google LLC para que adecúe a la normativa de protección de datos personales las operaciones de tratamiento y los procedimientos de ejercicio de derechos en un plazo de 6 meses.
¿Cuáles son los motivos más comunes por lo que sanciona la AEPD?
La AEPD es la autoridad de control europea en materia de protección de datos que más sanciones impone, siendo un total de 180 en el pasado 2021, muy por delante de la italiana (69) o la noruega (29), segunda y tercera en el ranking respectivamente. La sanción más elevada que impuso la AEPD en el curso pasado fue por un importe de 8.100.000€ a Vodafone.
Las infracciones más comunes son la falta o insuficiencia de la base legitimadora, la gestión incorrecta de brechas de seguridad, la vulneración de los principios generales del RGPD y el incumplimiento adecuado del deber de información.
Conclusión:
Las sanciones de la AEPD son una gran preocupación para las empresas sujetas a la normativa europea en materia de protección de datos. El importe de la sanción que puede ascender a 20.000.000€ o el 4% de la facturación anual, unido al daño reputacional y una adecuada gestión de las brechas de datos eleva la importancia de una correcta adecuación al RGPD de todas las empresas que traten datos personales de ciudadanos europeos o estén establecidas en el EEE.
Una base de legitimación adecuada para el tratamiento de los datos es fundamental para cumplir con la normativa, especialmente cuando se basa en el consentimiento que debe ser expreso, libre y provenir de un interesado correctamente informado. Además, la gestión de los ejercicios de derechos debe realizarse conforme a la normativa si se quiere evitar las sanciones de la AEPD.