Sanción a GOOGLE de 900.000 euros por incumplir la LOPD

En nota de prensa de 19 de diciembre de 2013, la Agencia Española de Protección de Datos (AEPD) comunica la Resolución del Expediente abierto con GOOGLE por incompatibilidad de la política de privacidad y las condiciones de uso en los servicios ofrecidos por esta multinacional con la normativa española aplicable a la protección de datos.

La Resolución, publicada en la web de la AEPD, se refiere al procedimiento PS/00345/2013, instruido a las entidades GOOGLE INC y GOOGLE SPAIN SL, y concluye con la imposición de tres sanciones a GOOGLE INC de 300.000 euros cada una por:

  • incumplimiento grave del artículo 6.1 de la LOPD.
  • incumplimiento grave del artículo 4.5 de la LOPD.
  • incumplimiento grave de los artículos 15 y 16 de la LOPD en relación con los artículos 27 a 36 del Reglamento de desarrollo de dicha norma.

En total se impone a GOOGLE  una multa de 900.000 euros por incumplir la LOPD.

En el marco de la investigación realizada, la AEPD comprobó que GOOGLE recoge y trata ilegítimamente información personal, tanto de usuarios autenticados (los que están dados de alta en sus servicios), como de usuarios no autenticados y de usuarios que sin haber solicitado sus servicios acceden a páginas que incluyen elementos gestionados por la compañía.

En la inspección se comprobó que Google recopila información personal a través de casi un centenar de servicios y productos que ofrece en España, sin proporcionar en muchos casos una información adecuada sobre qué datos se recogen, para qué fines se utilizan y sin obtener un consentimiento válido de sus titulares. Pone como ejemplo que a los usuarios de GMAIL no se les informa con claridad que se realiza un filtrado del contenido del correo y de los ficheros anexos para insertar publicidad. Por otra parte cuando GOOGLE informa, lo hace utilizando una terminología imprecisa, con expresiones genéricas, ambiguas y poco claras que impiden a los usuarios conocer el significado real de lo que se plantea. Esta falta de información, en particular respecto a las finalidades específicas que justifican el tratamiento de los datos, lleva a considerar que el consentimiento dado no es válido.

Por otra parte, Google combina la información personal obtenida a través de los diversos servicios o productos para utilizarla con múltiples finalidades que no se determinan con claridad, vulnerando la prohibición de utilizar los datos para fines distintos de aquellos para los que han sido recabados. Además mediante la combinación de los datos recogidos por diferentes servicios y  sirviéndose de una tecnología sofisticada, GOOGLE  enriquece la información personal excediéndose ampliamente en lo que podría considerar un tratamiento razonable de la información del usuario medio inconsciente del uso masivo y transversal que se está haciendo de sus datos.

Asimismo GOOGLE  almacena y conserva datos personales recabados por periodos de tiempo indeterminados o injustificados incumpliendo con la obligación de proceder a su cancelación cuando dejan de ser necesarios para la finalidad que determinó su recogida.

Finalmente, la AEPD concluye que Google obstaculiza, y en algunos casos impide, el ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) que la Ley reconoce a los ciudadanos. Esto es así por cuanto que el procedimiento puesto a disposición del usuario para ejercer sus derechos o gestionar su propia información personal les obliga a recorrer un número indeterminado de páginas, dispersas en varios enlaces, que no están disponibles para todos los tipos de usuarios y, en ocasiones, con denominaciones que no siempre hacen referencia a su objeto. La propia compañía reconoce que hay que ejecutar al menos siete procesos diferentes, reservándose incluso el derecho de no atender las solicitudes que supongan “un esfuerzo desproporcionado”.

Tanto la nota de prensa como la Resolución están disponibles para descarga en el portal de la AEPD (www.agpd.es)