viernes, 21 de junio de 2013

La AEPD abre un procedimiento sancionador a Google por su política de privacidad

En octubre de 2012, la Agencia Española de Protección de Datos (AEPD) publicó, en nota de prensa, el documento "Política de Privacidad de Google.  Principales conclusiones y recomendaciones" que recogía las recomendaciones que el Grupo de Trabajo del Artículo 29 (GT29) transmitía a Google tras analizar la modificación de las políticas de privacidad de todos sus servicios en marzo de 2012.

Ante la nula respuesta de Google a estas recomendaciones (le otorgaron un plazo de 4 meses), las Autoridades Europeas de Protección de Datos, con el CNIL francés a la cabeza y el apoyo de Alemania, Italia, Holanda, Reino Unido y España han decidido actuar haciendo uso de sus competencias sancionadoras en sus respectivos países.

En España, la AEPD ayer (20/06/203) publicó una nota de prensa en la que informaba de la apertura de un expediente sancionador a Google por la presunta comisión de 5 infracciones graves y una leve, sancionables con multas de 40.001 a 300.000 euros cada una de las graves y de 900 a 40.001 la leve (sin duda "calderilla" para Google).

Las posibles infracciones serían por no informar claramente sobre el uso de los datos que recoge, por tratamiento de datos más allá de la finalidad para la que se recogieron, tratamiento desproporcionado o conservación de los mismos durante un periodo de tiempo indeterminado o injustificado.

A continuación transcribo el contenido de la nota de prensa de la AEPD. 


Nota informativa de 20 de junio de 2013

La AEPD abre un procedimiento sancionador a Google por su política de privacidad
  • El inicio de este procedimiento se produce tras finalizar las investigaciones previas realizadas por la AEPD, que han permitido constatar la existencia de varios indicios de infracción
  • La falta de información clara, la ausencia de finalidades específicas para varios servicios, el tratamiento desproporcionado de los datos de los usuarios o la conservación de datos por tiempo indeterminado o injustificado son algunos de ellos
  • Esta acción tiene lugar en el marco de una actuación coordinada con las Autoridades de Protección de Datos de Alemania, Francia, Holanda, Italia y Reino Unido

(Madrid, 20 de junio de 2013). La Agencia Española de Protección de Datos (AEPD) ha abierto un procedimiento sancionador a Google en relación con la nueva política de privacidad unificada para la mayor parte de sus servicios e implantada por la compañía en marzo del año pasado.

El procedimiento tiene por objeto esclarecer, entre otros aspectos, si la combinación de datos procedentes de diversos servicios cumple las garantías de información a los usuarios, si las finalidades y la proporcionalidad para las que se utiliza la información legitima el tratamiento de los datos y si los periodos de conservación y las opciones para que los usuarios ejerzan sus derechos de acceso, rectificación, cancelación y oposición cumplen con la LOPD.
El inicio de este procedimiento sancionador se produce tras finalizar las investigaciones previas realizadas por la AEPD, que han permitido constatar la existencia de indicios de la comisión de un total de seis infracciones –cinco de ellas graves y una leve– de la LOPD.
En el transcurso de las investigaciones llevadas a cabo, la AEPD ha constatado la existencia de los siguientes indicios:
  1. Google no informa claramente sobre el uso que va a hacer de los datos que recoge de los usuarios, por lo que estos no pueden conocer de forma precisa qué fin justifica la recogida de sus datos personales ni la utilización que se hará de los mismos.
  2. En el marco de la unificación de políticas de privacidad, es posible que Google pueda combinar la información personal de un servicio con la de otros y utilizarla para otras finalidades. La ausencia de información por parte de Google podría implicar que el tratamiento de datos que realiza fuera ilegítimo.
  3. Google podría estar haciendo un tratamiento desproporcionado de los datos de sus usuarios, ya que en su política de privacidad advierte de que podrá utilizar los datos recabados de forma ilimitada en todos sus servicios, presentes y futuros.
  4. Google podría estar conservando los datos de sus usuarios por tiempo indeterminado o injustificado. La ley establece que los datos personales deben ser cancelados una vez que hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados, y Google los mantiene más allá de estos plazos.
  5. La AEPD considera que el ejercicio de derechos por parte de los usuarios podría verse obstaculizado e incluso impedido, ya que las herramientas que ofrece Google para ejercer los derechos de acceso, rectificación, cancelación y oposición se encuentran dispersas, no están disponibles para todos los usuarios, son incompletas y aparecen con denominaciones que no siempre se corresponden con la materia que se trata.
En consecuencia, el procedimiento sancionador imputa a Google Spain y Google Inc. la presunta comisión de cinco infracciones graves de la LOPD, sancionables con multas de 40.001 euros a 300.000 euros por la falta de proporcionalidad en el tratamiento de datos y la ausencia de finalidades determinadas, específicas y legítimas para dichos tratamientos; por el desvío de la finalidad en el uso de los datos; por los plazos excesivos o indeterminados en cuanto a la conservación de los datos; por la falta de legitimación en el tratamiento de datos; y por obstaculizar el ejercicio de derechos de los usuarios. Asimismo, se imputa a Google Spain y Google Inc. la presunta comisión de una infracción leve de la LOPD, sancionable con multas de 900 euros a 40.001 euros por el incumplimiento del deber de información previa al usuario.

Acción coordinada

La Agencia Española de Protección de Datos acordó el inicio de esta investigación en el marco de una acción coordinada con las Autoridades de Protección de Datos de Alemania, Francia, Holanda, Italia y Reino Unido. Estas autoridades han actuado en estrecha cooperación, ejerciendo las competencias y siguiendo los plazos marcados por sus respectivos ordenamientos nacionales. Francia también ha remitido hoy una notificación a Google en la que manifiesta irregularidades similares y da a la compañía un plazo de tres meses para adaptar su política de privacidad a la legislación francesa, anunciando la apertura de un procedimiento sancionador en caso de incumplimiento.

Google modificó la política de privacidad y las condiciones de uso de la mayoría de sus servicios en marzo de 2012. El pasado mes de octubre, las Autoridades europeas apreciaron incumplimientos de la normativa europea de protección de datos. Las autoridades de los 27 Estados de la Unión Europea enviaron a Google un documento con recomendaciones que indicaban a la compañía cómo cumplir la legislación europea, concediendo un plazo para ello. Google no ofreció una respuesta satisfactoria a estas demandas, lo que llevó a las Autoridades Europeas de Protección de Datos (GT29) a acordar que las autoridades nacionales adoptarían medidas concretas en función de su legislación y de acuerdo con sus poderes y competencias. En abril de este año, la AEPD inició la fase de actuaciones previas de investigación que han permitido constatar la existencia de los indicios detallados en este procedimiento sancionador.


No hay comentarios:

Publicar un comentario