La multa de la AEPD a Google Inc (Parte 1).
Recientemente, y sin esperar a que el Tribunal Europeo de Justicia de la Unión Europea resuelva sobre el llamado “Caso Costeja” sobre si la Directiva 95/46 de Protección de Datos es aplicable a Google INC (aunque según el informe del Abogado General sí lo sería), la Agencia Española de Protección de Datos ha sancionado a Google INC con una multa de casi un millón de euros
Esta resolución ha batido todos los records, no por la cuantía económica, sino por el número de páginas que forman parte de la misma: 139 páginas. Así que, en varios posts, voy a tratar de hacer un resumen de la citada, ya que me parece bastante interesante.
Los hechos
Google INC elimina las políticas de privacidad de cada uno de sus productos, pasando a ser una sola. Esto provoca que se inicien actuaciones de investigación a través del Grupo del Artículo 29, coordinado por la CNIL (Autoridad Francesa de Protección de Datos) mediante el envío de cuestionarios. Al no resultar satisfactorios las respuestas que da Google INC a los mismos, la AEPD procede a la apertura de las actuaciones previas de investigación.
La política de privacidad cuyo contenido se discute que no cumple con la LOPD, es la que existía el 27 de julio de 2010, que podemos resumir de la siguiente forma:
|
Recogida de datos por Google |
|
| 1.- Información que facilita el usuario (pj, registro cuenta en Google)
|
2.- Obtención de datos a través de los servicios de Google:a) Datos sobre el dispositivo (modelo de equipo, nº teléfono)
b) Datos de registro – Búsquedas – Nº teléfono – Dirección IP – Cookies c) Datos sobre ubicación física (datos de GPS) d) Números exclusivos de aplicación e) Almacenamiento local f) Cookies e identificadores anónimos |
|
Uso de los datos |
|
| Mejora del servicioContenido personalizado (anuncios)
Combinar información personal de servicios Salvo cookies de Double Click si no hay consentimiento del usuario Consentimiento para usar los datos para otros fines |
|
|
Transparencia y elección |
|
| Usuario puede usar el panel de control para controlar determinadas categorías de datosUsar el administrador de preferencias para los anuncios
Usar el editor para ajustar el perfil de google Controlar con quién se comparte datos Obtener información de muchos servicios de google Configurar navegador para bloquear cookies (puede ocurrir que servicios no funcionen) |
|
|
Datos compartidos por tí |
|
| Compartir datos con otros usuariosSi compartes datos de forma pública, buscadores indexan | |
|
Acceso a tus datos personales: actualizarlos |
|
|
Ejercicio derechos ARCO |
|
| Excepciones:Desproporcionados
Reiterativos Riesgo privacidad de terceros Inviables |
|
|
Google no comparte datos con terceros salvo |
|
| Consentimiento (para datos especialmente protegidos)Administradores de dominio (pj para cambiar una password)
Tratamiento externo (filiales y terceros para llevar a cabo tratamientos por cuenta de Google) Motivos legales (pj requerimiento judicial) |
|
|
Seguridad (pj. Encriptación) |
|
|
Aplicación política privacidad |
|
| A todos los servicios de Google INC y filialesCumplimiento
Adhesión a códigos de autorregulación Modificaciones: En cualquier momento Se publican Si es importante, se notifica por correo electrónico |
|
El 20 de junio de 2013 se dicta Acuerdo de Inicio de Procedimiento Sancionador tanto contra Google INC como Google Spain SL por lo siguiente:
|
Infracción |
Tipificación |
Sanción |
| 4.1 LOPD (ppo calidad/datos excesivos) |
44.3.c) Grave |
40.001 a 300.000 |
| 4.2 LOPD (ppo calidad/finalidad) |
44.3.c) Grave |
40.001 a 300.000 |
| 4.5 LOPD en relación con el 16 (ppo calidad/cancelación) |
44.3.c) Grave |
40.001 a 300.000 |
| 5 LOPD (derecho información) |
44.2.c) Leve |
900 a 40.000 |
| 6 LOPD (consentimiento) |
44.3.b) Grave |
40.001 a 300.000 |
| 15 y 16 LOPD (derechos ARCO) |
44.3.e) Grave |
40.001 a 300.000 |
Alegaciones de Google INC:
a.- Referidas a la LOPD y LSSI.
1.- No existen 90 productos diferentes, sino una plataforma que ofrece diversos servicios y productos, es decir, es un servicio on-line único, de forma que se pueda acceder a todo con un único login y password;
Los llamados “usuarios pasivos” por la AEDP no son interesados a efectos de la LOPD, ya que únicamente se recaba información a través de las cookies y otros identificadores anónimos. Y en todo caso, estaría cubierto por la política de privacidad;
2.- La mayor parte de la información recabada no es dato de carácter personal. Únicamente hay datos personales cuando se produce la apertura de una cuenta en Google y cuando el interesado se ponga en contacto con Google. Por ejemplo, para la AEPD, aunque el usuario no se haya autenticado, si Google sabe información sobre el dispositivo del usuario, edad, género, búsquedas, es capaz de conocer sin esfuerzos desproporcionados la identidad de una persona. Para Google, este argumento es meramente especulativo (página 11 de la Resolución).
3.- Los tratamientos de datos personales de Google no se pueden encuadrar dentro del ámbito de aplicación territorial de la LOPD (este argumento se puede encontrar en la mayoría de tutelas de derecho, sobre el “marketiniano” derecho al olvido), ya que se encuentra en Estados Unidos, no pudiendo considerarse como medios los ordenadores de los usuarios (son controlados por los propios usuarios). Sí se ajustaría a la LOPD en el caso de Google Street View.
4.- Google, en todo caso, cumpliría con el principio de calidad de datos. Para la AEPD la política de privacidad es indeterminada y genérica, no especificando que datos personales son tratados para cada producto. Obviamente, para Google no es indeterminada, existe un apartado denominado “Cómo utilizamos los datos recogidos”, siguiendo además el informe del Grupo del Artículo 29 3/2013, de información por capas.
Destaca, sobre todo, la comparativa que realiza Google en relación con la información que facilita la AEPD en su página web, citando la expresión “obtener datos estadísticos de las consultas de la Agencia”, frase “que no tiene un grado de precisión superior a las que figuran en la Política de Privacidad de Google Inc”.
Asimismo, los artículos 4.1 y 5.1 de la LOPD no imponen al responsable la obligación de proporcionar detalles sobre los datos que son tratados para cada finalidad, de manera que “cualquier dato de un usuario puede ser utilizado para cualquier aspecto de la finalidad declarada, sin que sea posible precisar en el momento de la aceptación de la Política de Privacidad, qué datos concretos serán usados”.
De nuevo aparece la comparativa con lo que la AEPD hace: “Los datos de carácter personal que se facilitan por correo electrónico mediante el formulario disponible en la sección Contacte con nosotros” en relación con la finalidad estadística anteriormente aludida, y ello aunque la mencionada sección “Contacte con nosotros” incluye diversos formularios con campos diferentes para quejas, consultas, sugerencias y denuncias y, por lo tanto, los datos recogidos en cada caso pueden ser distintos.
Además, múltiples enlaces a diferentes políticas de privacidad (se entiende que para cada producto o servicio) dificultaría su comprensión. Por eso se utiliza una estructura de árbol o hipertexto, bendecida tanto por la propia AEPD como el Grupo del Artículo 29 (lo compara con la información por capas).
Destacar también que “Requerir a Google Inc. -y a cualquier otro responsable del tratamiento- que revele más detalles de los que ya proporciona sobre sus actividades de desarrollo, restringiría severamente la capacidad de innovación de la industria en su totalidad”.
5.- Google INC no usa datos para finalidades incompatibles, ya que se recaban para prestar los servicios que ofrece toda la plataforma on-line. Se alude también a la diferencia entre finalidad “distinta” (LORTAD) y finalidad “incompatible” (LOPD). Digamos que “incompatible” permite un mayor margen de “juego”.
6.- Sobre la no cancelación de datos cuando han dejado de ser necesarios, la LOPD no regula un plazo específico para ello, y además se facilita, en algunos casos, información sobre ello: “anonimiza las direcciones IP de los registros de servidor después de nueve meses y las cookies del registro de su motor de búsqueda después de 18 meses”.
7.- La política de privacidad cumple con el artículo 5 de la LOPD. Destacar que según Google, al no estar sometido a la LOPD, no tiene por qué informar de la existencia de representante aquí.
8.- Sobre el incumplimiento del principio del consentimiento, existe relación contractual (art.6.2 LOPD) así como interés legítimo (aplicación directa del artículo 7 f de la Directiva 95/46). Además, existe la aceptación de la condiciones del servicio (ver artículo 23 de la LSSI), por lo que existe consentimiento informado. También se remiten a que en la Guía de Cookies de la AEPD, este sistema se permite También podrá obtenerse infiriéndolo de una determinada acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible (de la citada Guía).
9.- En cuanto a no facilitar los derechos ARCO, (página 26), Google tiene muy claro que no incumple el ejercicio de estos derechos, ya que se permite “a través de la información proporcionada en la Política de Privacidad, en los avisos “intra-producto” y las herramientas que ofrece a los usuarios para acceder y editar sus datos, fáciles de usar. Las distintas tipologías de datos de diversas funcionalidades del servicio on-line se muestren reunidas en un solo Panel de Control, que permita su revisión de forma rápida y fácil”. Además, en el caso de los usuarios autenticados, tiene la facultad de utilizar el llamado “Panel de control”, e incluso pueden llevarse su información a otra parte con la herramienta “Data Liberation Tools”. Asimismo, en este supuesto, no se ha acreditado que haya habido un impedimento u obstaculización.
b.- Referidas al derecho administrativo sancionador.
1.- Principio non bis in idem.
Sancionar a Google INC y Google Spain por los mismos hechos vulneraría este principio, ya que Google Spain no tiene nada que ver con los servicios on-line que presta Google INC. Textualmente se dice que “La Agencia está sancionando a Google Spain simplemente porque es propiedad de Google Inc.”.
2.- Existencia de concurso medial que supone que no se pueda acumular las sanciones por las infracciones de los artículos 4.1, 5 y 6 de la LOPD, ya que las tres devienen del mismo hecho, que es la falta de claridad de la política de privacidad, por lo que habría que aplicar el artículo 4.4 del Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, que establece lo siguiente:
En defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida.
3.- Aplicación del artículo 45.4 de la LOPD, es decir, sanciones mínimas, puesto que hay una ausencia de beneficio, intencionalidad, reincidencia y perjuicios (en este último caso, la AEPD no ha recibido ninguna denuncia al respecto), así como el 45.5 de la misma norma, ya que concurre la aplicación de los criterios del 45.4, así como que la conducta del afectado permite la comisión de la infracción (usuario proporciona información por su propia voluntad o al configurar el navegador).
Por último, Google solicita lo siguiente, que transcribo literalmente, ya que llama bastante la atención (aunque no les falte razón):
“solicita que la Agencia guarde la debida confidencialidad sobre la información incluida en el Expediente, absteniéndose de publicar en sus resoluciones cualesquiera informaciones relacionadas con el grupo Google que revelen información sensible para el grupo Google, por cuanto en el mismo se incluyen secretos empresariales claves para su negocio, como por ejemplo: información técnica sobre métodos de recogida y tratamiento de datos que, en caso de ser revelada, puede hacer vulnerables dichos datos a ataques por parte de hackers; información sobre la organización interna del grupo Google, etc. Se trata de información secreta y estratégica del grupo Google cuyo conocimiento por terceros impactaría en su actividad empresarial y desarrollo futuro”.
Continuará…