La AEPD abre un procedimiento sancionador a Google por su política de privacidad

La nueva política de privacidad de Google, unificada para la mayor parte de sus servicios y que se implantó en marzo de 2012, no es suficientemente clara para la Agencia Española de Protección de Datos (AEPD). El organismo ha abierto un procedimiento sancionador a Google tras finalizar las investigaciones, que han constatado la existencia de indicios de la comisión de un total de seis infracciones de la LOPD, cinco de ellas graves y una leve.

En el transcurso de las investigaciones llevadas a cabo, la AEPD ha constatado la existencia de los siguientes indicios:

Google no informa claramente sobre el uso que va a hacer de los datos que recoge de los usuarios, por lo que estos no pueden conocer de manera precisa qué fin justifica la recogida de sus datos personales ni que utilización se hará de los mismos.

Según el marco de unificación de políticas de privacidad, es posible que Google pueda combinar la información personal de un servicio con la de otros y utilizarla para otras finalidades. La ausencia de información por parte de Google podría implicar que fuera ilegitimo el tratamiento que da a los datos.

La compañía podría estar haciendo un tratamiento desproporcionado de los datos de sus usuarios, ya que en su política de privacidad advierte de que podrá usar los datos recabados de forma ilimitada en todos sus servicios, presentes y futuros.

Google podría estar guardando los datos de sus usuarios por tiempo indeterminado o injustificado. La ley establece que los datos personales deben ser cancelados una vez que hayan dejado de ser útiles o pertinentes para el fin para el que fueron recabados, y Google los guarda más allá de estos plazos. Además la AEPD considera que el ejercicio de derechos por parte de los usuarios podría verse obstaculizado e incluso impedido, ya que las herramientas que ofrece Google para ejercer los derechos de acceso, rectificación, cancelación y oposición se encuentran dispersas, no están disponibles para todos los usuarios, son incompletas y aparecen con denominaciones que no siempre se corresponden con la materia que se trata.

En consecuencia, el procedimiento sancionador imputa a Google Spain y Google Inc. la presunta comisión de cinco infracciones graves de la LOPD, sancionables con multas de entre 40.001 euros a 300.000 euros por la falta de proporcionalidad en el tratamiento de datos y la ausencia de finalidades determinadas, específicas y legítimas para dichos tratamientos; por el desvío de la finalidad en el uso de los datos; por los plazos excesivos o indeterminados en cuanto a la conservación de los datos; por la falta de legitimación en el tratamiento de datos; y por obstaculizar el ejercicio de derechos de los usuarios. Asimismo, se imputa a  Google Spain y Google Inc. la presunta comisión de una infracción leve de la LOPD, sancionable con multas de 900 euros a 40.001 euros por el incumplimiento del deber de información previa al usuario.

Acción conjunta

La Agencia Española de Protección de Datos comenzó la investigación en el marco de una acción coordinada con las Autoridades de Protección de Datos de Alemania, Francia, Holanda, Italia y Reino Unido. Francia también ha remitido hoy una notificación a Google en la que manifiesta irregularidades similares y da a la compañía un plazo de tres meses para adaptar su política de privacidad a la legislación francesa, anunciando la apertura de un procedimiento sancionador en caso de incumplimiento.

La política de privaciadad de Google

Google modificó la política de privacidad y las condiciones de uso de la mayoría de sus servicios en marzo de 2012. En octubre, las Autoridades europeas apreciaron incumplimientos de la normativa europea de protección de datos. Las autoridades de los 27 Estados de la Unión Europea enviaron a Google un documento con recomendaciones que indicaban a la compañía cómo cumplir la legislación europea, concediendo un plazo para ello. Google no ofreció una respuesta satisfactoria a estas demandas, lo que llevó a las Autoridades Europeas de Protección de Datos (GT29) a acordar que las autoridades nacionales adoptarían medidas concretas en función de su legislación y de acuerdo con sus poderes y competencias.