LA FALTA DE TRANSPARENCIA FACTOR CLAVE PARA LA MULTA DE 50 MILLONES DE EUROS A GOOGLE
El pasado 21 de enero, la Comisión Nacional de la Informática y las Libertades (la autoridad de control francesa; en adelante, CNIL), impuso una sanción de 50 millones de euros a Google, por falta de transparencia, información insatisfactoria proporcionada, y ausencia de consentimiento válido en la publicidad personalizada.
Orígenes de esta sanción
El origen de esta sanción, lo encontramos en las demandas interpuestas por las asociaciones None Of Your Business (NOYB) y La Quadrature du Net (LQDN), el 25 y 28 de mayo. En las citadas demandas, ambas entidades recriminaban a Google no tener una base legal válida, para tratar la información personalizada de sus usuarios destinada a la emisión de publicidad personalizada.
El 1 de junio de 2018, de conformidad con el Reglamento General de Protección de Datos (en adelante, RGPD), la CNIL envió estas dos reclamaciones a sus homólogos europeos para evaluar si era competente para tratarlas. De hecho, el RGPD establece un “mecanismo de ventanilla única”, por el cual, una organización establecida en la Unión Europea, tiene como único interlocutor a la Autoridad de Protección de Datos del país donde se encuentre su “establecimiento principal”. Esta autoridad actúa como “autoridad principal”, debiendo coordinar la cooperación entre las demás autoridades de protección de datos antes de tomar cualquier decisión sobre un tratamiento transfronterizo realizado por la empresa.
En este caso, las conversaciones con las demás autoridades, en particular con la autoridad de control irlandesa en protección de datos (la “Data Protection Commission Ireland”), donde está situada la sede europea de Google, no permitieron considerar que Google tenía un establecimiento principal en la Unión Europea, no siendo por tanto aplicable el mecanismo de ventanilla única anteriormente descrito. Por lo tanto, la CNIL, al igual que las demás autoridades de control europeas, son competentes para tomar decisiones respecto a las operaciones de tratamiento llevadas a cabo por Google.
En septiembre de 2018, la CNIL comenzó a realizar inspecciones con el objetivo de verificar los tratamientos de datos personales llevados a cabo por Google. Como resultado de las mismas, se observaron
dos tipos de infracciones del RGPD: por un lado, una violación del principio de licitud, lealtad y transparencia; y por otro, la falta de base de legitimación para tratar datos personales en la elaboración de anuncios personalizados.
Violación del principio de licitud, lealtad y transparencia
En primer lugar, se ha observado por parte de la autoridad de control, que la información “no es fácilmente accesible para los usuarios”. De hecho, información esencial como las finalidades de tratamiento de los datos personales, los plazos de conservación o las categorías de datos tratados, se encuentra diseminada en distintos textos, siendo sólo accesible después de realizar hasta 5 o 6 acciones en la web. Por todo ello, “el usuario no llega a ser consciente” de la magnitud de las operaciones de tratamiento llevadas a cabo.
Adicionalmente, la autoridad de control ha determinado que la información facilitada “no es clara ni exhaustiva”. En particular, la misma considera, que las finalidades del tratamiento son descritas de manera “genérica y ambigua”, al igual que ocurre con las categorías de datos tratadas. De este modo, el usuario no llega a comprender que la base de legitimación para el tratamiento de datos personales con fines publicitarios, está basada en el consentimiento y no en el interés legítimo.
Falta de base de legitimación para tratar datos personales en la elaboración de anuncios personalizados
Ante esta acusación, Google ha declarado que su base de legitimación es el consentimiento del usuario; argumento no aceptado por la CNIL, ya que la misma estima que al “usuario no le es posible conocer la pluralidad de servicios, sitios web y aplicaciones que intervienen en estas operaciones de tratamiento”, y que además, el consentimiento no es “ni específico ni inequívoco”.
Multa impuesta por la CNIL
En base a los argumentos esgrimidos, la autoridad de control ha decidido imponer al gigante Google, una multa de 50 millones de euros. El cálculo se ha basado en la gravedad de las infracciones observadas, y en el hecho de que no se trate de “una infracción única y limitada en el tiempo”.
Teniendo en cuenta que el modelo económico de Google, se basa en gran parte, en la elaboración de anuncios personalizados, es de su máxima responsabilidad, cumplir con sus obligaciones concernientes en materia de protección de datos.
