Confilegal
Confilegal
Menú
Protección de Datos multa a Google LLC con 10 millones de euros y a Vodafone con 3,9 millones por vulnerar el RGPD europeo
Hasta ahora, la multa más alta impuesta por la AEPD era a Vodafone España, por más de ocho millones de euros, por incumplir varios artículos de la legislación española. 
Portada / Política

Protección de Datos multa a Google LLC con 10 millones de euros y a Vodafone con 3,9 millones por vulnerar el RGPD europeo

Dicta resolución del procedimiento iniciado contra la compañía Google LLC, en la que declara la existencia de dos infracciones muy graves de la normativa de protección de datos
|
18/5/2022 12:38
|
Actualizado: 18/5/2022 12:50
|

En esta noticia se habla de:

La Agencia Española de Protección de Datos (AEPD) ha dictado resolución del procedimiento iniciado contra la compañía Google LLC, en la que declara la existencia de dos infracciones muy graves de la normativa de protección de datos e impone una sanción de 10 millones de euros por ceder datos a terceros sin legitimación para ello y obstaculizar el derecho de supresión de los ciudadanos (artículos 6 y 17 del Reglamento General de Protección de Datos), más conocido como derecho al olvido.

La multa ha sido publicada este miércoles en el Boletín Oficial del Estado (BOE), en virtud de la Ley de Protección de Datos, que establece que cuando el infractor es una persona jurídica y la multa superior al millón de euros, la sanción se publicará en el boletín estatal. 

Hasta ahora, la multa más alta impuesta por la AEPD ha sido a Vodafone España por más de ocho millones de euros por incumplir varios artículos de la legislación española. 

De nuevo Vodafone es multada con 3,9 millones de euros por vulnerar los artículos 5.1 y 5.2 del RGPD donde se especifica que el tratamiento de datos personales se debe realizar con un fin legítimo. Los datos deben ser tratados de una manera leal y transparente, que sea comprensible para la persona involucrada.

También se indica que la recogida de datos sólo para fines determinados, explícitos y legítimos. Queda expresamente prohibido el tratamiento de datos ulterior de manera incompatible con dichos fines.

En muchos casos, la ponderación de los intereses entre el responsable de tratamiento y el usuario afectado, que se relaciona directamente con el principio de limitación de finalidad, puede constituir base legal para el tratamiento.

La recogida y tratamiento de datos se debe limitar a los estrictamente necesarios en relación a los fines para los que fueron recogidos.

MULTA A GOOGLE LLC

Google LLC es la responsable del tratamiento analizado y lo lleva a cabo en EEUU. En el caso de la comunicación de datos a terceros, la Agencia ha constatado que Google LLC envía al Proyecto Lumen información de solicitudes que le realizan los ciudadanos, incluida su identificación, dirección de correo electrónico, los motivos alegados y la URL reclamada. 

La misión de ese proyecto es la recogida y puesta a disposición de solicitudes de retirada de contenido, por lo que la Agencia considera que, dado que se remite toda la información contenida en la solicitud del ciudadano para que se incluya en otra base de datos accesible al público y para que se divulgue a través de una web, “supone en la práctica frustrar la finalidad del ejercicio del derecho de supresión”. 

La resolución recoge que esta comunicación de datos por parte de Google LLC al Proyecto Lumen se impone al usuario que pretenda utilizar sus formularios, sin opción de oponerse a la misma y, por tanto, sin que exista un consentimiento válido para que esa comunicación se lleve a cabo.

Establecer esta condición en el ejercicio de un derecho reconocido a los interesados no está amparado por el Reglamento General de Protección de Datos al generarse “un tratamiento adicional de los datos sobre los que versa la solicitud de supresión al comunicarlos a un tercero”. 

Además, en la política de privacidad de Google LLC no se hace mención a este tratamiento de datos personales de los usuarios, y tampoco aparece entre las finalidades la comunicación al Proyecto Lumen.

La AEPD también recoge en su resolución que, presentada la solicitud de retirada de contenido y atendido el derecho, es decir, acordada la supresión de los datos personales, “no cabe un tratamiento posterior de los mismos, como es la comunicación que Google LLC realiza al Proyecto Lumen”.

En cuanto al ejercicio de derechos de los ciudadanos, la AEPD detalla en su resolución que “es difícil deducir si la solicitud se formula invocando la normativa de protección de datos personales, sencillamente porque esta normativa no se menciona en ninguno de los formularios, con independencia del motivo que el interesado seleccione de entre las opciones propuestas, salvo en el formulario denominado ‘Retirada en virtud de la ley de privacidad de la UE’, el único disponible que contiene una referencia expresa a esta normativa”.  

El sistema diseñado por Google LLC, que conduce al interesado a través de diversas páginas para llegar a cumplimentar su solicitud, obligándole previamente a marcar las opciones que se ofrecen, “puede provocar que este termine marcando una opción que se adapte a los motivos que considera apropiados a su interés, pero que le aparta de su intención originaria, que puede estar claramente vinculada a la protección de sus datos personales, desconociendo que estas opciones le sitúan en un régimen normativo distinto porque así lo ha querido Google LLC o que su solicitud se resolverá según las políticas internas establecidas por esta entidad”. 

La resolución de la Agencia recoge que este sistema es un equivalente a “dejar a criterio de Google  LLC la decisión sobre cuándo aplica y cuándo no el RGPD, y esto supondría aceptar que esta entidad pueda eludir la aplicación de la normativa de protección de datos personales y, más concretamente para este caso, aceptar que el derecho de supresión de datos personales quede condicionado por el sistema de eliminación de contenidos diseñado por la entidad responsable”.

Adicionalmente a la sanción económica impuesta en la resolución, la Agencia también ha requerido a Google LLC para que adecúe a la normativa de protección de datos personales la comunicación de datos al Proyecto Lumen, y los procesos de ejercicio y atención del derecho de supresión, en relación con las solicitudes de retirada de contenido de sus productos y servicios, así como la información que ofrece a sus usuarios. 

Asimismo, Google LLC deberá suprimir todos los datos personales que hayan sido objeto de una solicitud del derecho de supresión comunicada al Proyecto Lumen, y tiene la obligación de instar a este último para que suprima y cese en la utilización de los datos personales que le haya comunicado.

Noticias Relacionadas:
Pérez-Llorca y la Universidad Carlos III de Madrid presentan el Centro Europeo de la Regulación Digital
‘Papagorda’, el ‘hashtag’ viral sobre vídeos de gente borracha en la Feria de Sevilla, tiene consecuencias legales
Sacyr, multado con 15.000 euros por enviar un email a la cuenta personal de una empleada sin copia oculta
«Es de chiste»: la rampa del local de Pablo Iglesias, la Taberna Garibaldi, vulnera por completo la normativa
El cartel de «solo en efectivo»: cada vez más frecuente y legal
Un restaurante, multado con 10.000 euros por difundir imágenes del torso semidesnudo de un cliente
Lo último en Política