Protección de Datos sanciona a Google por vulnerar el derecho al olvido

La Voz MADRID / EFE

SOCIEDAD

Edificio de Google en Mountain View, California
Edificio de Google en Mountain View, California JOHN G. MABANGLO | EFE

La multa de 10 millones supone el castigo más cuantioso impuesto hasta ahora por la agencia

18 may 2022 . Actualizado a las 17:19 h.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de diez millones de euros a Google «por vulnerar los artículos 6 y 17 del Reglamento de Protección de Datos (RGPD), la sanción más alta impuesta por la agencia hasta la fecha.

Además, la AEPD ha impuesto otra multa de 3,9 millones de euros a la compañía Vodafone España por vulnerar los artículos 5.1 y 5.2 del RGPD y no asegurar el nivel de seguridad y confidencialidad necesarios a un cliente.

Ambas multas han sido publicadas este miércoles en el Boletín Oficial del Estado (BOE), en virtud de la Ley de Protección de Datos, que establece que cuando el infractor es una persona jurídica y la multa supera el millón de euros, la sanción se publicará en el boletín estatal.

En su resolución contra Google LLC, la AEPD aprecia dos infracciones «muy graves» e impone a la compañía sendas multas de cinco millones «por ceder datos a terceros» (en concreto al Proyecto Lumen) y «obstaculizar el derecho a la supresión de los ciudadanos».

El texto explica que Google LLC, con domicilio social en California (Estados Unidos), ofrece sus productos a residentes en España (como búsquedas, maps, gmail, drive o youtube), desde una filial en Irlanda denominada Google Irland Limited que es responsable del tratamiento de datos personales de los usuarios que accedan a los productos y servicios de la compañía en el espacio europeo.

Por tanto, Google LLC es responsable del tratamiento de la información indexada y mostrada en servicios como la búsqueda de Google y Google Maps.

Google LLC cuenta con un apartado específico para que las personas que quieran hacerlo, puedan solicitar -por motivos de privacidad- la retirada de resultados obtenidos en búsquedas.

Sin embargo, para ello, deben rellenar un formulario y facilitar datos como país de residencia, nombre completo, correo electrónico, URL del contenido que incluye la información personal que debe ser retirada, la información personal que se quiere eliminar y los motivos.

Esa solicitud (con toda la información que contiene) se incluye en otra base de datos accesible al público (lumendatabase.org).

Para la Agencia, que el ciudadano tenga que remitir la solicitud para que se incluya en otra base de datos y para que se divulgue a través de esa web «frustra la finalidad del ejercicio del derecho de supresión».

Además, en la política de privacidad de Google LLC, la empresa no se hace mención a este tratamiento de datos personales, y tampoco aparece entre las finalidades la comunicación al Proyecto Lumen, critica la resolución.

La comunicación de datos por parte de Google LLC al Proyecto Lumen es, además, un paso obligado para los usuarios que quieren retirar contenidos y al que no pueden oponerse, por tanto, un procedimiento que se lleva a cabo «sin que exista un consentimiento válido» por parte del usuario, denuncia la AEPD.

La resolución también critica el sistema diseñado por Google LLC, que obliga al interesado a visitar diversas páginas para llegar a cumplimentar su solicitud en las que debe ir marcando las opciones que se ofrecen, un camino largo y confuso que puede hacer que el ciudadano se equivoque en su solicitud.

Para la Agencia, este sistema es lo mismo que «dejar a criterio de Google LLC la decisión sobre cuándo aplica y cuándo no el RGPD» y que eludir la aplicación de la normativa de protección de datos personales.

Por todo ello, además de la sanción económica, la Agencia reclama a Google LLC a que adecúe a la normativa de protección de datos personales la comunicación de datos al Proyecto Lumen, los procesos de ejercicio y atención del derecho de supresión, y la información que ofrece a sus usuarios.

Asimismo, exige a Google LLC que suprima todos los datos personales facilitados en todas las solicitudes del derecho de supresión que ha enviado al Proyecto Lumen, y le recuerda que tiene la obligación de instar a este último para que suprima y deje de usar los datos personales que le ha comunicado.

Tras conocer la resolución, una portavoz de Google ha dicho a Efe que la compañía lleva mucho tiempo comprometida con la transparencia en la gestión de retirada de contenidos y que, «como otras muchas compañías de internet», colaboran con Lumen (un proyecto académico de la Universidad de Harvard) para ayudar a los investigadores y al público en general a entender mejor las solicitudes de retirada de contenido en línea.

«Estamos revisando la decisión y seguiremos interactuando con los reguladores en materia de privacidad, incluida la Agencia Española de Protección de Datos (AEPD), para reevaluar nuestras prácticas», concluye.

En cuanto a Vodafone España, la resolución de la Agencia Española de Protección de Datos impone una multa de 3.940.000 euros por infracción «muy grave» de los artículos 5.1 y 5.2 del RGPD.

Esta resolución multa a Vodafone España por no garantizar un nivel de seguridad y de confidencialidad adecuados a uno de sus clientes y por vulnerar el principio de responsabilidad proactiva que obliga a la empresa a poner en marcha las medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la protección de datos.

Vodafone ha rehusado hacer ningún comentario respecto a la sanción de la AEPD.