El pasado 8 de Enero la Comisión Nacional Francesa de Informática y Libertades (CNIL), equivalente en Francia a nuestra Agencia Española de Protección de Datos, anunció una sanción record de 150.000 Euros a Google por vulnerar la legislación francesa respecto de la privacidad de los datos personales. Se trata de la mayor sanción que permite la ley francesa de protección de datos, que data de 1978 y fue revisada en agosto de 2004.
La CNIL ha llevado a cabo las actividades de inspección e investigación, con el resultado de sanción, a la multinacional dentro de una actuación coordinada con las autoridades competentes en materia de protección de datos de Alemania, España, Italia, Holanda y Reino Unido. En esta iniciativa de diversos países de la Unión Europea se ha llegado a conclusiones similares en todos los casos, aún a pesar de las diferentes normativas. No obstante en caso de la agencia española cabe destacar que la sanción fue sensiblemente superior, concretamente de 900.000 Euros por tres infracciones de la LOPD.
Las Agencias de Protección de dDatos han podido constatar que el gigante de internet no proporciona a sus usuarios información suficiente sobre los datos que recopila y los fines para los que son recogidos. Además, al fusionar los datos correspondientes a más de sesenta servicios (Gmail, Youtube, Google Search, Google+, etc) excede ampliamente las expectativas razonables de la mayoría de los usuarios, que no son conscientes de ello y pierden el control de su propia información personal. Razón por la que se manifiesta la dificultad de los usuarios para ejercer los derechos ARCO (Acceso, Rectificación, Consulta y Oposición) reconocidos respecto de su propia información de carácter personal.
Tanto las autoridades francesas como las españolas, tras múltiples y prolongadas gestiones, han llegado a la conclusión de que la nueva política de privacidad de Google, modificada en marzo del 2012, es ilegal e incumple reiteradamente los siguientes aspectos generalmente amparados por las legislaciones europeas:
- La multinacional de Mountain View (California) recoge y trata de forma ilegítima información personal, tanto de los usuarios autenticados (dados de alta en sus servicios) como de los no autenticados, e incluso de quienes son meros “usuarios pasivos” que no han solicitado sus servicios pero acceden a páginas que incluyen elementos gestionados por la compañía sin explicitarlo.
- Google recopila información a través de varias decenas de servicios y productos, sin proporcionar en muchos casos una información adecuada sobre los datos que recogen, para qué fines se utilizan y sin obtener el consentimiento de sus titulares. Así destaca la AEPD que la sancionada multinacional, por ejemplo, no informa con claridad a los usuarios de Gmail de que se realiza un filtrado del contenido del correo y de los ficheros anexos para insertar publicidad. Y cuando se informa, se utiliza una terminología imprecisa, con expresiones genéricas y poco claras que impiden a los usuarios conocer el significado real de lo que se plantea.
- Se fusiona la información personal obtenida de muchos servicios y productos para utilizarla con múltiples finalidades que no se determinan con claridad, vulnerando la prohibición de utilizar esos datos con fines distintos para los que fueron recabados.
- Se almacena y conserva datos personales por períodos de tiempo indeterminados o injustificados, contraviniendo con ello el mandato legal de proceder a su cancelación cuando dejan de ser necesarios para la finalidad con la que fueron recopilados.
- Se ha podido constatar que Google, en algunos casos, impide u obstaculiza el ejercicio de los llamados derechos ARCO, de acceso, rectificación, consulta y oposición respecto de su propia información personal. El procedimiento implementado por Google obliga a que los ciudadanos, para ejercer los citados derechos, tengan que recorrer un elevado número de páginas, dispersas a través de numerosos enlaces, que no siempre están disponibles y que, en ocasiones, no hacen referencia a su objeto.
- Por último, también se ha constatado que se incumple la obligación de obtener el consentimiento de los usuarios para la utilización de cookies.
La sanción impuesta por la autoridad francesa llevaba aparejada la obligatoriedad publicar un comunicado, en los próximos ocho días, en el que se debería informar de las causas que han motivado la sanción y las acciones para subsanarlas.
No obstante hemos sabido que el pasado lunes Google ha recurrido ante el Consejo de Estado Francés la citada sanción. Por lo que queda en suspenso a la espera de resolución definitiva.
Áudea Seguridad de la Información
Luis Miguel Ballesteros
www.audea.com
wwww.cursosticseguridad.com