La Agencia Española de Protección de Datos (AEPD) ha multado a Vodafone España con 3,94 millones de euros y a Google con 10 millones de euros por incumplir la normativa europea de protección de datos con sus usuarios y clientes.
Vodafone España ha sido sancionada por los apartados de la ley de protección de datos relativos a la confidencialidad e integridad de los datos de carácter personal.
La multa para Google fue por lo que la agencia calificó como dos incumplimientos muy graves de las normas de protección de datos en los que la empresa transfirió datos a terceros sin una base legal para hacerlo y por obstaculizar los derechos de los ciudadanos a su eliminación.
Google LLC actuó como controlador del procesamiento analizado, el cual se llevó a cabo en los Estados Unidos. En el caso de cesión de datos a terceros, la AEPD constató que Google LLC remitió información sobre las solicitudes que le hacían los ciudadanos, incluyendo su identificación, su dirección de correo electrónico, los motivos invocados y la ‘URL reclamada’ al proyecto Lumen. La tarea de este proyecto es recopilar y poner a disposición las solicitudes de eliminación de contenido, por lo que la Agencia considera que, dado que toda la información contenida en la solicitud del ciudadano se envía para su inclusión en otra base de datos accesible al público y para su difusión a través de un sitio web, «la se frustra en la práctica la finalidad de ejercer el derecho de supresión».
La decisión especifica que esta comunicación de datos por parte de Google LLC al Proyecto Lumen es vinculante para el usuario que pretenda utilizar los formularios de Google, sin posibilidad de oposición a la misma y, por tanto, sin consentimiento válido para que se realice dicha comunicación. L’instauration d’une telle condition d’exercice du droit à l’effacement accordé aux personnes concernées contrevient au Règlement général sur la protection des données en générant « un traitement supplémentaire des données contenues dans la demande d’effacement lors de leur communication à un tercio «. Además, en la política de privacidad de Google LLC, no se hace mención a este tratamiento de datos personales de los usuarios, ni figura entre las finalidades la comunicación a Project Lumen.
Además, sujeto a que se haya ejercido la solicitud de eliminación de contenido y eliminación de datos personales, «no existe base legal para un procesamiento posterior como la comunicación que Google LLC realiza al Proyecto Lumen».
En cuanto al ejercicio de los derechos de los ciudadanos, la AEPD señala en su resolución que «es difícil deducir si la solicitud se realiza en base a la normativa sobre protección de datos de carácter personal, simplemente porque dicha normativa no se menciona en cualquiera de los formularios, independientemente del motivo por el cual el interesado elige entre las opciones ofrecidas, con excepción del formulario titulado «Retirada bajo las leyes europeas de privacidad», el único disponible que contiene una referencia expresa a estas reglas».
Además de la sanción pecuniaria impuesta en su decisión, la Agencia también requirió a Google LLC para realizar la comunicación de los datos a Lumen Project, las modalidades para ejercer el derecho de supresión en relación con las solicitudes de eliminación de contenidos de sus productos y servicios, y la información que ofrece a sus usuarios, en cumplimiento de la normativa de protección de datos. Además, Google LLC debe eliminar todos los datos personales para los que se haya comunicado una solicitud de derecho de eliminación a Project Lumen, y tiene la obligación de instar a Project Lumen a eliminar y dejar de usar los datos personales que se le hayan comunicado.
¿Estás buscando repensar tu estrategia de transformación digital? Aprender más acerca de Semana de la Transformación Digital tendrá lugar en Ámsterdam, California y Londres, y aprenderá estrategias clave para que sus esfuerzos digitales sean un éxito.
«Subtly charming creator. Remorseless Internet junkie. Avid social media pioneer. Student.»