La multa de la AEPD a Google INC (2ª parte)
En la primera parte de este post, habíamos ahondado en las condiciones de la política de privacidad de Google Inc, así como en sus alegaciones ante el procedimiento sancionador iniciado por la Agencia Española de Protección de Datos (AEPD), y las infracciones que ésta le imputa, no sólo a Google Inc sino también a Google Spain S.L.
En este sentido, la propuesta de resolución del instructor de la AEPD, especifica la multa a imponer (en el Acuerdo de Inicio sólo aparece, como debe ser, el baremo de cada multa en función de la calificación de cada infracción –leve, grave o muy grave-):
Google Inc: Infracción 6.1 LOPD: 300.000 ; Infracción 4.5 en relación con el 16: 300.000; Infracción 15 y 16: 300.000
Google Spain SL: Infracción 6.1 LOPD: 300.000; Infracción 4.5 en relación con el 16: 300.000; Infracción 15 y 16: 300.000
Como vemos, a ambos se les propone sancionar por la infracción de los mismos preceptos, siendo las cuantías de las multas iguales para cada uno de ellos. Respecto al Acuerdo de Inicio sancionador (al que nos referimos en la parte 1 de este post), han desaparecido la imputación de tres infracciones, las dos relativas a la presunta vulneración del principio de calidad de datos, así como la referente al incumplimiento del derecho de información en la recogida de datos personales.
Sobre las alegaciones presentadas por Google Inc a la Propuesta de Resolución, además de desarrollar y ahondar en las citadas anteriormente (ver parte 1 de este post), aparecen las siguientes:
– Que la propuesta de resolución no está motivada, cuestión que exige el artículo 54 de la Ley 30/1992, de 26 de noviembre, lo que supondría la nulidad o anulabilidad de este procedimiento.
– Que no se ha permitido la ampliación de plazos del artículo 49 de la Ley 30/1992, ya que Google Inc reside en el extranjero, y cuando se recibió la propuesta de resolución traducida al inglés, sólo quedaban 5 días hábiles para presentar alegaciones.
También destacar, al igual que había ocurrido con anterioridad, las siguientes “perlas”:
– El mero hecho de que un prestador haya colocado una cookie o Javascript en el navegador de un usuario no significa que los varios tipos de tratamiento de datos que usan esa tecnología en el dispositivo del usuario puedan ser atribuidos a tal prestador. El planteamiento de la Agencia conduciría a la aplicación mundial no deseada de la LOPD y llevaría a resultados completamente inasumibles: así, si un usuario con un ordenador portátil en el que se han instalado cookies cruzara fronteras dentro de Europa, la ley aplicable cambiaría en cada frontera que traspasara.
– La Agencia argumenta su postura recurriendo al Documento WP 56 adoptado el 30 de mayo de 2002 por el Grupo del Trabajo del Artículo 29, que no tiene carácter vinculante para los Estados Miembros de la UE y por lo tanto, no pueden servir como criterio -mucho menos único- para que una autoridad de control como la AEPD justifique una actuación.
– Debe tenerse presente que cuando la Directiva 95/46/CE fue elaborada en 1990 no existía la World Wide Web y resulta evidente que el legislador pretendía aplicar la normativa comunitaria a aquellos responsables no comunitarios que tuviesen centros de proceso de datos en territorio de un Estado Miembro.
– La Agencia no prueba que Google Inc. realmente trate datos de carácter personal y sus fundamentos contienen numerosas inexactitudes técnicas y vaguedades y especulaciones acerca “tratamientos posibles” que podrían dar lugar a la identificación de personas. Además, la mayoría de tratamientos de información que la Agencia atribuye a dicha entidad no se producen sobre “datos de carácter personal”.
– Lo que no es admisible, según Google Inc., es aprovecharse de los distintos supuestos previstos en la normativa de protección de datos para entender que una entidad fuera de la Unión Europea (utilizando medios…) y un establecimiento de dicha entidad en territorio nacional, llevan a cabo el mismo tratamiento de datos, idéntico, en el mismo momento, y de forma (paradójicamente) “independiente”, de manera que pueda aplicarse la LOPD a ambas, y seguidamente imponer las mismas sanciones (así, duplicándolas), por el mismo hecho (o hechos), como hace la AEPD en su Propuesta de Resolución.
Tras los Hechos Probados, que son un total de 88, nos queda analizar los Fundamentos de Derecho de esta Resolución, en los que la AEPD fundamenta la sanción impuesta a Google INC:
1.- Respecto a la aplicación de la LOPD:
Google Spain S.L es “el establecimiento en cuyo contexto se tratan los datos”, añadiendo que respecto a Google INC, para el tratamiento de datos personales se utilizan medios que se encuentran en territorio español, como son los equipos de los usuarios, citando para ello el Dictamen del Grupo de Trabajo del Artículo 29 de 30 de mayo del año 2000. Para la AEPD, este Grupo, “es un órgano establecido en virtud de la Directiva 95/46/CE de carácter consultivo e independiente, y cuyos dictámenes y recomendaciones sirven como elemento interpretativo en la materia que nos ocupa admitido por la jurisprudencia”. El citado informe considera los PC’s de los usuarios como medio en relación con el tratamiento de datos (ver artículo 4.1.c) Directiva 95/46), puesto que “las condiciones en que pueden recogerse datos personales del usuario mediante la colocación de cookies en su disco duro son reguladas por el Derecho nacional del Estado miembro donde se sitúa este ordenador personal”. Por tanto, el expediente procede contra ambos.
2.- Respecto a que Google INC presta un servicio único con diferentes productos y servicios.
La AEPD difiere de esta alegación, ya que según su Servicio de Inspección “los productos y servicios identificados en las actuaciones por los Servicios de Inspección (90 aproximadamente) tienen naturalezas y ámbitos muy diversos, así como diferentes regímenes de prestación y destinatarios, resultando inaceptable el planteamiento realizado por Google en sus alegaciones, que, por otra parte, es contrario a lo que la propia entidad ha señalado en todo momento en la información que ofrece o ha ofrecido a los usuarios y contrario al contenido de las respuestas efectuadas por la misma durante las investigaciones, referidas siempre a distintos productos y servicios”. Asimismo, y según la AEPD, para el ejercicio de derechos, donde esté previsto, cada uno de los productos y servicios, tiene establecido un procedimiento diferente.
Google INC para defender su postura, lo compara con un banco (un único servicio que permite tener cuenta en el banco, sacar dinero del cajero, pagar con una tarjeta de crédito), pero para la AEPD, no es comparable, ya que en el sector bancario, se solicita consentimiento para cada uno de los servicios que se presta, sin que pueda existir un consentimiento “único transversal y omnicomprensivo de todos los que suministra”.
3.- Respecto a la recogida de datos por parte de Google INC.
Esta recogida, que puede ser tanto al dar de alta como al utilizar los servicios, antes de analizar la AEPD si se están tratando datos de carácter personal, cita una serie de supuestos en los que se recogen datos, como los siguientes: al darse de alta en una cuenta (nombre, dirección de correo electrónico, teléfono, datos de tarjeta), a través de la utilización de servicios (datos sobre el dispositivo, datos de registro como la IP, cookies), datos sobre la ubicación física (GPS). En cuanto al tema “Top de la Protección de Datos”, es decir, las cookies, según la AEPD “Google emplea numerosas cookies para identificar al usuario durante su interacción con sus productos, que son de dos tipos: cookies de sesión, que se eliminan cuando se cierra el navegador, y cookies persistentes, que permanecen almacenadas en el dispositivo aunque el navegador se cierre o se apague el dispositivo”. Este tipo de recogida de datos lo podemos ver analizando el funcionamiento de algunos servicios como Google+, Gmail, y Google Chrome.
Ya refiriéndonos a si lo enumerado en el párrafo anterior, tienen la consideración de datos de carácter personal, partiendo de la definición al respecto recogida por la LOPD (artículo 3.a), Reglamento de desarrollo de la LOPD (artículo 5.1.f), Directiva 95/46 (artículo 2.a), así como el Dictamen 4/2007 del Grupo del Artículo 29, la AEPD distingue tres tipos de usuarios: el autenticado, el no autenticado que también usa servicios de Google INC, y lo que denomina el usuario “pasivo”, definiendo este último como “Google emplea numerosas cookies para identificar al usuario durante su interacción con sus productos, que son de dos tipos: cookies de sesión, que se eliminan cuando se cierra el navegador, y cookies persistentes, que permanecen almacenadas en el dispositivo aunque el navegador se cierre o se apague el dispositivo”.
Para la AEPD, Google INC obtiene información de estos tres tipos de usuarios, que tiene la consideración de datos de carácter personal, puesto que debido a los recursos técnicos de la citada empresa, se puede realizar la identificación de los usuarios sin que existan esfuerzos desproporcionados, es decir, “entiende la AEPD que no queda asegurada la anonimización real y completa de los mismos”.
Así, y siguiendo el criterio de la AEPD, existirían las siguientes formas de identificar a un usuario de los productos de Google INC:
– Creando una cuenta, así como usando los productos a través de la citada cuenta.
– Usando cookies y otros identificadores que se almacenan en el dispositivo del usuario;
– Mediante la llamada huella digital del dispositivo con el que se accede a sus servicios;
– Con la IP y la localización geográfica.
Asimismo, y según los Servicios de Inspección de la AEPD, existirían dos modos de asociar a una persona física la información almacenada por una cookie en los servidores de los usuarios:
1.- Directa: cuando el usuario se autentifica en su cuenta, ya que se almacena una cookie en su dispositivo.
2.- Indirecta:
a.- En el caso de que un usuario nunca se haya autenticado durante la permanencia de la cookie en el dispositivo (porque la borra antes de autenticarse). Pero, asociada a la cookie se ha registrado, no sólo su actividad en Internet, sino datos adicionales como direcciones IP, números de teléfono o localizaciones geográficas. Esos datos coinciden con que registra Google cuando se autentica.
b.- Cuando esos datos registrados por la cookie, coinciden con los asociados con otra cookie que estaba en el dispositivo cuando el usuario se autenticó.
c.- Cuando ambas cookies, la que estaba cuando se autenticó el usuario, y la que no estaba cuando se autenticó el usuario, se han enviado simultáneamente a Google durante la interacción con un producto de Google, y se almacenan en los registros del servidor. De esa forma, se establece una relación entre ambas.
Para completar esta fundamentación jurídica, la AEPD se remite a los Dictámenes del Grupo del Artículo 29 sobre publicidad compartamental (2/2010), y sobre motores de búsqueda (1/2008).
También se refiere la AEPD en este punto a la controvertida consideración de la IP como dato de carácter personal, acudiendo al Dictamen 4/2007, que ya hemos mencionado antes, del citado Grupo:
El Grupo de trabajo considera las direcciones IP como datos sobre una persona identificable. En ese sentido ha declarado que «los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP, pues registran sistemáticamente en un fichero la fecha, la hora, la duración y la dirección IP dinámica asignada al usuario de Internet. Lo mismo puede decirse de los proveedores de servicios de Internet que mantienen un fichero registro en el servidor HTTP. En estos casos, no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 2 de la Directiva”.
En consecuencia, para la AEPD la información recogida permite la identificación de los afectados, debe concluirse la existencia de datos de carácter personal que son sometidos a tratamiento y la plena aplicabilidad de los principios y garantías expuestas en la normativa de protección de datos de carácter personal.
Asimismo, la AEPD considera que la información que se facilita a través de la política de privacidad es bastante indeterminada, y que aunque se haya unificado, en ocasiones se remite a varios enlaces como pueden ser el “póngase en contacto con nosotros” o “incidencias sobre la privacidad”, FAQS, el blog de la compañía o los términos y condiciones del servicio youtube. También critica que algunos casos, la información se encuentra en inglés, como la página del “Data Liberation Front” o parte de la relativa a “Suplantación de la identidad”.
En cuanto a la información suministrada por capas, para la AEPD “debe emplearse para hacerla más precisa y facilitar su comprensión, exponiéndola en todo caso de forma visible y en el momento en que resulte necesaria, mediante enlaces fácilmente accesibles cuyos objetos se correspondan claramente con la política de privacidad”.
Fundamentación de cada una de las infracciones cometidas.
1.- Infracción del artículo 4.1 de la LOPD.
Según la AEPD, la finalidad debe especificarse en el momento de la recogida de datos personales, no pudiendo utilizar finalidades genéricas, citando como ejemplo la Sentencia de la Audiencia Nacional de 27 de abril de 2006, que consideró excesivamente genérica la expresión “comunicarles actividades culturales, formativas, deportivas y de ocio” en una cláusula de recogida de datos personales.
En este sentido, para la AEPD, la Política de Privacidad de Google INC, utiliza expresiones genéricas, “poco claras que utiliza, así como la multitud de enlaces que han de manejarse para conocerla en su totalidad. Hace referencia a una serie de finalidades caracterizadas por su imprecisión y no especifica los servicios y datos personales que se asocian a dichas finalidades” .
En consecuencia, se habría cometido una infracción del artículo 4.1 de la LOPD, que el artículo 44.3.c) de la misma norma tipifica como grave.
2.- Infracción del artículo 4.2 de la LOPD.
Teniendo en cuenta la relación directa de los apartados 1 y 2 del artículo 4 de la LOPD, de manera que la recogida de datos debe ser proporcional a la finalidad que motiva la misma, para la AEPD la Política de Privacidad de Google INC permite el uso de los datos para múltiples finalidades entre todos sus servicios e incluso la propia compañía admite que “si un usuario inicia una sesión en su cuenta, Google puede combinar la información que un usuario proporciona en un servicio con la información de otros servicios. En resumen, nosotros tratamos al usuario como un único usuario a lo largo de todos los productos de Google para mejorar la experiencia del usuario”, y que puede utilizar los datos para mejorar el servicio, pero sin especificar en qué consiste la citada mejora.
En este sentido, para la AEPD “La combinación de datos se lleva a cabo independientemente del rol empleado por el usuario, ya sea autenticado, no autenticado o “pasivo”, debido a que Google dispone de varios parámetros que pueden identificar al usuario, como son: la cuenta del usuario, identificadores unívocos de cookies, direcciones IP, identificadores de dispositivo, perfiles de actividad en la web e incluso información geográfica”.
En consecuencia, la fundamentación de la AEPD se basa en que “En relación con el contexto, resulta evidente que el usuario que utiliza un servicio de Google no espera que sus datos personales sean tratados sin restricción alguna para otros servicios a los que no accede, menos aún en los casos en que como usuario en rol pasivo ni siquiera conoce que Google está recogiendo sus datos personales y que se someterán a dicho tratamiento posterior, y que se está enriqueciendo la información cada vez que pasa de un servicio a otro. La combinación de datos, tal como se plantea por Google, excede las expectativas razonables del usuario, que no es consciente del carácter masivo y transversal del tratamiento de sus datos. Google se sirve de una tecnología que sobrepasa la capacidad del usuario para tomar sus decisiones de control en relación con el tratamiento de sus datos y que exige una información exacta”, siendo la combinación múltiple de datos un tratamiento o uso de los mismos incompatible con la finalidad que ha motivado su tratamiento.
Por todo ello, se habría vulnera el artículo 4.2 de la LOPD, cometiendo una infracción tipificada como grave por el artículo 44.3.c) de la LOPD.
3.- Infracción del artículo 5 de la LOPD.
A juicio de la AEPD, en la “Política de Privacidad”, no se informa sobre la existencia de varios ficheros, que según las actuaciones previas de inspección, serían los siguientes:
– “Cuentas de usuario” (nombre, sexo, teléfono, IP, búsquedas, historial web…);
– Fichero autenticando las cuentas del usuario con “documentación relativa a la historia del usuario en Internet” y relacionado con la Política de Nombres de Google +;
– Fichero del Registro de Accesos a la página del buscador Google (se almacena solicitud web, IP, tipo de navegador…);
– Fichero de Reclamaciones relacionado con la posibilidad de realizar denuncias en caso de posibles suplantaciones de identidad;
– Fichero de Registro de Accesos a sitios “considerados por Google como sospechosos, asociados a la IP y cookies de los usuarios”.
– Y también ficheros que asocien usuarios a las cookies de Google.
En este sentido, en el Registro de Ficheros de la AEPD así como tampoco en el Registro de la Autoridad de Protección de Datos de Irlanda figuran inscritos los citados ficheros. Sí aparecen inscritos otros como, por ejemplo, “Google Street View” (Registro de la AEPD).
Asimismo, la información facilitada por Google para dar cumplimiento al artículo 5 de la LOPD tiene varias carencias: la finalidad del tratamiento está descrita de forma muy inconcreta, no se especifica el representante (“a pesar de la existencia en territorio español de Google Spain”), ni se informa “sobre el carácter obligatorio o facultativo de la respuesta del usuario a las preguntas que le sean planteadas, o de las consecuencias de la obtención de los datos o de la negativa a suministrarlos”. Además, parte de la información está en inglés, cuando debería estar toda en castellano.
En su defensa, tanto en este procedimiento como en otros, Google INC siempre ha alegado que la LOPD no se le aplica (ya me he referido a ello en la parte 1 de este post).
En consecuencia, se ha cometido una infracción del artículo 5.1 de la LOPD, tipificada como leve en el
4.- Infracción del artículo 6 de la LOPD.
Como bien sabemos, el consentimiento del titular de los datos, regulado en el artículo 6 de la LOPD, es el pilar fundamental en que se articula la protección de datos de carácter personal. Para la AEPD, debido la falta de información en la recogida de datos personales, que hemos visto en el apartado anterior, supondría que no estamos ante un consentimiento libre e informado por parte del titular de los datos.
No obstante lo anterior, recordemos que Google INC había alegado sobre esta posible infracción tanto alguna de las excepciones del artículo 6.2 de la LOPD (relación contractual) así como la aplicación directa del artículo 7.f) de la Directiva 95/46 (interés legítimo).
Respecto a la primera, la AEPD considera que no existe relación contractual, ya que los usuarios de los servicios de Google no tienen que firmar ningún contracto al respecto, así como tampoco un contrato global que vincule al usuario con todos estos servicios.
Respecto a la segunda, con total rotundidad la AEPD afirma que si la información no es adecuada, y por tanto no se conocen las finalidades del tratamiento de datos, difícilmente se podría aplicar el interés legítimo para este tratamiento alegado por Google.
Por lo tanto, se ha vulnerado el artículo 6.1 de la LOPD, cometiendo una infracción tipificada como grave por el artículo 44.3.b) de la citada LOPD.
Sin embargo, estas cuatros infracciones que acabamos de ver (artículo 4.1, 4.2, 5.1 y 6.1 de la LOPD), van a quedar reducidas a una al existir lo que se conoce como un concurso medial, ya que todas ellas derivan de los mismos hechos, que es la deficiente información facilitada por Google INC. En consecuencia, y “aplicando el artículo 4.4 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora, procede subsumir las citadas infracciones en una e imponer únicamente la sanción correspondiente a la infracción del artículo 6.1 de la LOPD”.
5.- Infracción del artículo 4.5 de la LOPD en relación con el artículo 16 de la misma.
Estos preceptos se refieren a la cancelación de los datos de carácter personal cuando dejen de ser necesarios para la finalidad que motivó su tratamiento. Para la AEPD “Google mantiene los datos por un tiempo indeterminado, que implica una vulneración efectiva de la LOPD. Únicamente en algunos casos Google establece un período de conservación de la información recabada, sin justificar las razones que motivan el período establecido por dicha entidad y no otro distinto y su adecuación a las finalidades que determinaron aquella recogida y el tratamiento de los datos”. Así, por ejemplo, “en las respuestas a las preguntas 19, 20 y 21 del cuestionario de la CNIL, Google manifiesta su política de bloqueo y cancelación de datos, señalando que bloquea los datos en su sistema cuando un usuario solicita la eliminación de sus datos, aunque dicho sistema permite recuperar los datos del usuario en interés de los usuarios y la continuidad de negocio, no utilizándose para personalizar la publicidad”, o el mantenimiento de copias residuales.
La AEPD incide, por tanto, en que hay una desproporción a la hora de mantener los datos, incluso cuando se hayan obtenido lícitamente, citando que el Dictamen 2/2012, del Grupo de Trabajo del Artículo 29, sobre publicidad comportamental en línea, se refiere a la necesidad de especificar los plazos de conservación, así como en la necesidad de convertir los datos en anónimos.
Así que, se ha cometido una infracción del artículo 4.5 en relación con el artículo 16, ambos de la LOPD, tipificada como grave por el artículo 44.3.c) de la citada norma.
6.- Infracción del artículo 15 y 16 de la LOPD.
Nos queda la última de las infracciones imputadas a Google INC, que es la relacionada con el ejercicio de los derechos ARCO. Este supuesto se puede resumir en que para la AEPD “No hay un único punto dónde ejercer los derechos, por lo que el usuario tendrá que acceder a todos ellos, y conocerlos, para hacer efectivos dichos derechos, considerando que cada uno le permitirá ejecutar una opción parcial. Incluso, en herramientas específicas, como el administrador de anuncios, no se incluye una opción para inhabilitar los anuncios en general. No existe ningún medio para que el usuario pueda rechazar la combinación de datos entre servicios”.
Así, por ejemplo, “En el apartado “Transparencia y Elección“, se mencionan estas opciones y incluye un enlace que conduce a una página para cada una de las herramientas: el denominado “Panel de Control”, “Configuración de Anuncios”, “Administrador de la cuenta de usuario Google+”, un enlace de “Ayuda” para administrar la cuenta de usuario de Google+, el enlace “Póngase en contacto con nosotros” y un enlace al Data Liberation Front en la frase “obtener información de muchos de nuestros servicios”, que también es accesible a través del Panel de Control, que es una página en inglés en relación con una iniciativa de Google para poder mover los datos de los usuarios a otras plataformas y poder migrar a otros proveedores”.
Además, “especial importancia se otorga al hecho de que Google no atiende las opciones manifestadas por los usuarios en todos los casos, lo que convierte en ineficaz el sistema habilitado”, como por ejemplo:
– El borrado de cookies en un dispositivo también borra la cookie de Doubleclick que registra la oposición del usuario a la recepción de publicidad personaliza procedente de Doubleclick, quedando dicha inhabilitación desactivada de forma inmediata.
– En la página “Como inhabilitar los anuncios basados en sus intereses” Google manifiesta: “A pesar de la oposición, aparecerán anuncios relacionados con el contenido de la página que consulta o sus búsquedas recientes”.
Por tanto, se comete un infracción de los artículos 16 y 17 de la LOPD, tipificada como grave por el artículo 44.3.e) de dicha norma.
7.- Sujeto infractor, aplicación del artículo 45.5 y publicación de la resolución.
La última parte de la resolución determina quién es el sujeto infractor (recordemos que el procedimiento sancionador se abrió tanto contra Google INC como Google Spain), si es posible aplicar el artículo 45.5 (la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate), así como si en la web de la AEPD se va a publicar la resolución (Google había solicitado su no publicación porque podría verse perjudicado en relación con sus competidores por afectar al secreto comercial).
Sobre la primera cuestión, la AEPD considera que el sujeto responsable, y por tanto, infractor y quien debe pagar la sanción económica, es Google INC, ya que es propietaria de Google Spain (a esta última, la AEPD la considera representante de la primera en nuestro territorio).
En cuanto a la segunda, la respuesta es negativa, ya que la aplicación del artículo 45.5 de la LOPD debe ser excepcional, y en el presente caso, ha quedado acreditado para la AEPD que se tratan datos personales sin consentimiento. Además, procede imponer las tres sanciones por su cuantía máxima, es decir, 300.000 euros cada una de ellas, debido, entre otras cuestiones, “al volumen de actividad; el carácter continuado de las infracciones; el volumen masivo de datos personales que recaba y somete a tratamiento; la vinculación de la actividad de la entidad infractora con la realización de tratamientos de datos de carácter personal, puesto que es una empresa que tiene como actividad la prestación de servicios a través de Internet y tiene un constante tratamiento de datos de carácter personal”.
Y en cuanto a la última, también se responde de forma negativa, ya que, además de que se está dando cumplimiento al artículo 37.2 de la LOPD, toda la información que contiene la resolución ya se ha hecho pública, como la contestación que hizo Google al cuestionario de la CNIL, o el contenido de la política de privacidad.