Por su parte, GOOGLE consideró que no tenía su establecimiento principal en la UE ni tampoco poder de decisión sobre los servicios ofrecidos por GOOGLE en relación con la creación de cuentas de usuarios y su configuración en los teléfonos móviles.

Por ello, el sistema de “ventanilla única" no era aplicable en este caso y la CNIL, sí era competente para decidir sobre los tratamientos de datos que estaban siendo llevados a cabo por GOOGLE.

Deficiencias detectadas

Al tener la CNIL competencia para resolver este asunto, inició la investigación de las denuncias recibidas y detectó las siguientes deficiencias:

• Incumplimiento de los principios de transparencia e información

No se estaban respetando estos dos principios reconocidos en el artículo 5 del RGPD ya que la información básica que contenía la finalidad del tratamiento, el tiempo de conservación o las categorías de datos utilizados para personalizar los anuncios, se encontraba en varios textos de difícil acceso ya que para llegar a ellos había que hacer clic a diferentes enlaces los cuales había que ir activando para poder llegar a la información adicional (primero había que leer la Política de Privacidad y los Términos y condiciones del servicio, luego había que hacer clic en el botón Más opciones y luego en el enlace Leer más para mostrar el texto Personalizar anuncios. Para completar la información relacionada con el tratamiento de los datos para este fin, el usuario todavía tenía que consultar las Reglas de confidencialidad).

La CNIL consideró que la información facilitada no era clara y comprensible, sino que dificultaba que los usuarios comprendieran el alcance de los tratamientos llevados a cabo.

Además, la finalidad del tratamiento quedaba definida de forma demasiado genérica y no se estaba permitiendo al usuario tomar conciencia de su magnitud, ya que no se indicaba ni el periodo de conservación de los datos ni era posible conocer la pluralidad de servicios o aplicaciones involucradas.

Asimismo, considera que estos tratamientos de datos eran masivos e intrusivos, debido a la cantidad de servicios ofrecidos (unos veinte), así como a la cantidad y la naturaleza de los datos.

- No proporcionar una base legal válida.

En virtud del artículo 22.1 RGPD “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”.

Este mismo artículo, dispone en su apartado siguiente que lo anterior no será aplicable si la decisión está basada en el consentimiento explícito del interesado.

GOOGLE basaba el tratamiento de los datos de los usuarios para personalizar la publicidad en el consentimiento que los mismos otorgasen en la configuración de la cuenta. Sin embargo, la CNIL consideró que el consentimiento no se recogía de manera válida porque no era ni específico ni inequívoco (requisitos recogidos en el Considerando 32 del RGPD) porque no se otorgaba de forma separada para cada finalidad, sino que el usuario tenía que dar su consentimiento en bloque, para todas las finalidades perseguidas por GOOGLE (personalización de la publicidad, reconocimiento de voz, etc.).

La sanción

La CNIL justifica la sanción ante todo por la gravedad de las deficiencias encontradas referidas a los principios esenciales del RGPD: transparencia, información y consentimiento; las cuales están vulnerando el derecho a la protección de los datos que, además, son tratados a gran escala ya que cada día son miles de usuarios quienes se crean una cuenta de Google a través de sus smartphones y hay que permitir en todo caso a los usuarios que mantengan el control sobre sus propios datos.