Primera gran multa que se impone bajo el RGPD

A punto de cumplirse ocho meses desde la entrada en aplicación del Reglamento General de Protección de Datos (RGPD), la agencia francesa de protección de datos CNIL (Commission nationale de l’informatique et des libertés) ha impuesto una multa de 50 millones de euros al gigante tecnológico Google.

El RGPD, que entró en aplicación el pasado 25 de mayo, abre la puerta a grandes multas por violaciones de las leyes de protección de datos, pero hasta el momento no había impuesto ninguna.

La multa, sin embargo, sigue estando muy lejos de la máxima aplicable, ya que el 4% de la facturación global de Google ascendería a más de 4,000 millones de euros.

Las denuncias que derivaron en la sanción partieron de dos asociaciones, None Of Your Business y La Quadrature du Net, que acusaban a Google de no tener una base legal válida para el consentimiento. La CNIL, tras su investigación, refrendó la acusación planteada y justificó la sanción por la «severidad de las infracciones observadas en relación con los principios esenciales del RGPD: transparencia, información y consentimiento».

Desafío a la ventanilla única que prevé el RGPD

Cuando la CNIL recibió las denuncias, las envió a la autoridad de protección de datos de Irlanda, país en el que Google tiene su sede europea en cumplimiento del «mecanismo de ventanilla única». Este mecanismo establece que la autoridad del país en el que la empresa tenga su sede central debe actuar como autoridad principal y coordinar la cooperación sobre la investigación.

Sin embargo, y esto marca un precedente importante, la autoridad francesa decretó, tras consultar con su homóloga irlandesa, que no se podía considerar que Google tuviese una sede central real en Irlanda ya que la autoridad de este país no tenía ningún poder decisorio sobre el tratamiento de datos realizado en el contexto de una apertura de cuenta en el sistema operativo móvil Android en Francia.

La autoridad francesa consideró por tanto apoyándose en los artículos 56 y la definición 16 del articulo 4 del RGPD que Google no tiene un establecimiento principal en la UE y se erigió como autoridad principal en la investigación.

¿De qué se acusa a Google?

Las acusaciones agrupan las violaciones en tres categorías:

  • Falta de transparencia.
  • Información inadecuada.
  • Ausencia de consentimiento valido para la personalización de anuncios.

Para poder comprobar la existencia, o no, de violaciones del RGPD, la CNIL llevó a cabo una investigación en línea del proceso de apertura de cuenta en Android.

Estas son las violaciones del RGPD que la CNIL observó durante su investigación:

  1. Violación de las obligaciones de transparencia e información
    • La CNIL considera que Google no proporciona información fácilmente accesible sobre los fines de tratamiento, los plazos de almacenamiento de esos datos y las categorías de datos que se utilizan para realizar la personalización publicitaria. La información sobre estos puntos está diseminada en diferentes documentos y requiere de una labor de búsqueda de varios pasos.
    • Además la CNIL considera que la información sobre ciertos aspectos no es completa ya que los usuarios no pueden, a partir de la información ofrecida, entender el alcance del tratamiento llevado a cabo por Google.
    • La información se presenta de manera muy genérica o vaga.
  2. Violación de la obligación de disponer de una base legal para el tratamiento necesario para la personalización de anuncios
    • Google recoge el consentimiento de sus usuarios para servirles publicidad personalizada. Sin embargo, la CNIL considera que ese consentimiento no es válido porque:
      • Los usuarios no reciben la información suficiente ya que ésta se «diluye en varios documentos y no permite al usuario conocer su alcance».
    • El consentimiento no es ni específico ni está libre de ambigüedades.
      1. El usuario tiene varias opciones a la hora de configurar su cuenta, pero tiene que cambiar de página para encontrarlas y la opción de aceptar la personalización de anuncios está premarcada.
      2. Al final del proceso de apertura de cuenta, se le pide al usuario que acepte todas las condiciones planteadas en su totalidad. Sin embargo, el RGPD estipula que el consentimiento solo es válido si se da específicamente para cada propósito.

¿Podría esta ser la primera de muchas multas RGPD para Google?

La CNIL advierte de que el modelo de negocio de Google se basa parcialmente en la personalización de anuncios y que debe modificar sus prácticas actuales ya que no se trata de una violación puntual sino de una manera de operar que viola sistemáticamente el RGPD y que se sostiene en el tiempo.

Dado que Google es una multinacional presente en toda Europa y que sus servicios son los mismos en todos los países, no es descartable que esta sanción sea la primera de muchas.