Google guarda datos de los usuarios “durante periodos de tiempo indefinidos e injustificados”, no informa claramente de que esos datos pueden ser usados “con múltiples finalidades” y además “obstaculiza -y en algunos casos impide- el ejercicio de los derechos de acceso, rectificación, cancelación y oposición”, es decir, impide ejercer lo que se ha venido a llamar el ‘derecho al olvido digital’.
Estas son las conclusiones de la Agencia Española de Protección de Datos (AEPD), que ha puesto a Google Inc. -que “lleva a cabo directamente las operaciones de tratamiento de los datos de carácter personal a los que se refiere la presente resolución”- tres multas de 300.000 euros cada una por vulneraciones “graves” de los derechos de los ciudadanos. Se archiva el procedimiento contra la filial española, Google Spain, S.L.
La AEPD hace una crítica directa a las políticas de privacidad de Google simplificadas hace dos años
En la resolución, la AEPD hace una crítica directa y sin ambages a las políticas de privacidad de Google, modificadas hace ya casi dos años en un esfuerzo de ‘clarificar y unificar’ las diferentes condiciones de uso de más de 60 servicios y productos como Gmail o Google +.
La agencia considera que Google no da a los usuarios información suficiente sobre qué datos recoge y para qué fines los utiliza.
Almacenaje de datos y dificultad para acceder a ellos
Por otro lado, la agencia afirma que “Google almacena y conserva datos personales por periodos de tiempo indeterminados o injustificados”, algo que contraviene la legislación española. “La conservación de los datos por tiempo indefinido, más allá de las exigencias que se derivan de las finalidades pretendidas en el momento de la recogida, constituye un tratamiento ilícito”, declara la AEPD en una nota (PDF).
Y además la compañía de Internet “obstaculiza -y en algunos casos impide- el ejercicio de los derechos de acceso, rectificación, cancelación y oposición”, afirma la AEPD. Para sostener esta afirmación, la agencia afirma que “tanto la información como las herramientas para la gestión de los datos personales se encuentran dispersas en multitud de enlaces, no resultan visibles en todos los casos y proporcionan vías ciegas en otros”.
La compañía “impide u obstaculiza ejercer los derechos de acceso, rectificación, oposición y cancelación”
“Incluso en la propia Política de Privacidad Google”, recuerda la AEPD, “declara expresamente que se reserva el derecho a no atender las solicitudes que supongan un esfuerzo técnico desproporcionado, que es una circunstancia no prevista en la normativa”.
Contra esta resolución, “que pone fin a la vía administrativa”, cabe recurso ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, en el plazo de dos meses.
En una conversación telefónica con el Navegante, el director de la AEPD, José Luis Rodríguez, lamentó la falta de colaboración de la compañía estadounidense y ha recordado que las autoridades de protección de datos de 27 países europeos han estado solicitando dicha colaboración sin recibir una respuesta satisfactoria por parte de Google. “La postura de Google es de una grave desconsideración, no sólo para las autoridades sino para los ciudadanos, que son también sus usuarios al fin y al cabo”, ha apuntado.
Mientras, fuentes de Google han remitido un breve comunicado al Navegante en el que afirman que la compañía “se ha comprometido plenamente con la AEPD en todo este proceso para explicar la política de privacidad y la forma en que permite crear servicios más eficaces y simples”. “Vamos a seguir haciéndolo”, afirma dicho comunicado, y concluye: “Estamos estudiando detenidamente la resolución para determinar los próximos pasos”.
Procedimiento sancionador
Este procedimiento fue abierto en junio de este año, “en el marco de una acción coordinada con las Autoridades de Protección de Datos de Alemania, Francia, Holanda, Italia y Reino Unido”, tal y como se comunicó entonces.
De hecho, el procedimiento sancionador inició al sospechar, tras una serie de investigaciones previas, que existían indicios de la comisión de un total de seis infracciones, cinco de ellas graves, que han terminado en estas tres sanciones (al aplicarse la figura del concurso medial). Al final, la resolución ha reducido el número de infracciones a tres.
Horas antes del inicio de este procedimiento, la Comisión Nacional de Informática y Libertades (CNIL) ya había lanzado un ultimátum a la compañía, como resultado de un proceso iniciado en octubre de 2012 por 27 autoridades europeas de protección de datos (el grupo denominado G29, o ‘grupo de trabajo del Artículo 29’).
La ofensiva europea contra Google -y otras compañías de Internet estadounidenses- para tratar de proteger la privacidad de sus ciudadanos en la Red, que fue capitaneada al principio por Francia, se extiende a otros países. Especialmente combativa se muestra la autoridad de protección de datos de Holanda (College bescherming persoonsgegevens), que no ha emitido aún su resolución pero sí maneja un informe bastante crítico contra la compañía. Dicha investigación muestra, tal y como concluye la AEPD, que Google no informa adecuadamente a los usuarios de cómo recoge y combina los datos de los usuarios, y con qué finalidad concreta. “Google lanza una red invisible a nuestros datos personales sin nuestro consentimiento. Y eso está prohibido por la ley”, afirmó el presidente de la autoridad holandesa de protección de datos, Jacob Kohnstamm. No obstante, la autoridad holandesa no ha decidido aún si habrá sanción, y está a la espera de escuchar a los representantes del gigante informático.