AEPD vs Google: Sus políticas de privacidad incumplen gravemente la LOPD

por

publicado el 19 diciembre 2013

Categorías: Abogados LOPD / Agencia Proteccion Datos / Derechos Fundamentales / Protección de Datos / Resoluciones

Acabamos de conocer una nueva resolución de la Agencia Española de Protección de Datos sobre Google que sanciona gravemente con 3 multas de 300.000 por incumplimientos graves de la LOPD en lo que son los principios básicos de la normativa de protección de datos.

Primeramente resulta curioso que volvamos al tema de la aplicación de la LOPD a Google, estando a expensas de lo que diga el Tribunal de la Unión Europea. La Agencia, que continúa con su interpretación de aplicabilidad en base a las cookies que instala en los ordenadores de los usuarios, y por ende hay un tratamiento de datos en el territorio, añade que las actividades destinadas a la obtención de publicidad que lleva a cabo su filial en España tienen vinculación con los tratamientos de datos personales de personas residentes en España, por ello procede con el procedimiento ante Google Inc y Google Spain, S.L.

Por todo ello, puede considerarse que una filial como Google Spain, S.L. es un establecimiento del responsable del tratamiento, siendo a éste, en este caso, Google Inc., a quien correspondería imputar la responsabilidad por la comisión de las infracciones a las que se refiere esta Resolución, que no sería otra que su matriz. En consecuencia, dado que Google Inc., según afirma expresamente, lleva a cabo directamente las operaciones de tratamiento de los datos de carácter personal a los que se refiere la presente resolución y que además, como también reconoce, responde “de forma automática” por las sanciones que pudieran imponerse a Google Spain, S.L., cabe concluir que es a aquélla a la que corresponde aplicar la responsabilidad por la comisión de las infracciones a la que se refiere la presente resolución. Por todo ello, la responsabilidad deberá recaer sobre quien, tanto a juicio de la Agencia como de la propia mercantil, es el responsable de las infracciones relativas al tratamiento de datos personales, esto es, Google Inc.

Basándose en esos principios y la aplicabilidad de la LOPD a Google, la resolución hace un extensísimo repaso a los servicios de Google, a la recogida de información o datos personales  y a su política de privacidad, determinando que incumple casi todos los principios en materia de protección de datos con motivaciones como las siguientes:

De todo ello se deriva que la política de privacidad es inaccesible para cualquier usuario, con independencia de su cualificación, que Google recoge datos personales de forma indiscriminada, incluso para posibles finalidades que aun no ha previsto, y ello supone entender vulnerado el derecho a la protección de datos de carácter personal, entendido como la capacidad del afectado de decidir sobre el tratamiento.

La conducta por la que se sanciona a Google vulnera el citado principio, toda vez que ha quedado acreditado el tratamiento de los datos personales de los usuarios de sus productos y servicios sin informar adecuadamente, sin respetar los principios de adecuación y limitación de la s finalidades, y sin el consentimiento de los mismos. Estos datos se recogen por Google y se someten a tratamiento sin que concurra ninguna causa que habilite para ello y sin el consentimiento de los afectados

Sin embargo, las observaciones formuladas al respecto por los Servicios de Inspección señalan que tanto la información como las herramientas para la gestión de los datos personales se encuentran dispersas en multitud de enlaces, no resultan visibles en todos los casos y proporcionan vías ciegas en otros, de modo que obstaculiza de forma sistemática su utilización por cualquier usuario. Además, no están disponibles para todos los tipos de usuarios (autenticados, no autenticados y “pasivos”), son incompletas y aparecen con denominaciones que no siempre hacen referencia a la materia que se trata.
Quizá la Agencia tenga razón, tal y como se ha visto con todo el tema Snowden, estas grandes corporaciones recaban más datos de los debidos, está claro que no informan adecuadamente, utilizan nuestros datos para finalidades que el usuario no tiene constancia e incumplen todos los principios habidos y por haber de la normativa de protección de datos, pero no es menos cierto se está juzgando en estos momentos la aplicabilidad o no de la normativa europea a Google y que, se supone, que en breve debiera haber un nuevo reglamento europeo de protección de datos que pusiera las cosas en su sitio. Hasta entonces sirva quizá esta resolución más como toque de atención que como realidad de una sanción ejemplar a Google, que dicho sea de paso, es una gran empresa que ha permitido que la sociedad evolucione y que internet sea tal y como lo conocemos hoy en día.
La Agencia ha puesto los zapatos debajo del árbol en estas fechas navideñas, ¿picará Google Inc., pagará la multa y recurrirá? lo dudo, pero son fechas navideñas y quien sabe lo que pueda ocurrir. Personalmente creo que hay que esperar a la sentencia del TJUE y sentarnos con palomitas a ver el desenlace.