El equivalente en Francia a la autoridad de control española en materia de protección de datos (AEPD) es la “Commission nationale de l’informatique et des libertés” (CNIL), una autoridad pública e independiente cuya misión igualmente es garantizar el cumplimiento y la correcta aplicación del Reglamento General de Protección de Datos (RGPD) con el fin de proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.
Este organismo sancionó el pasado 21 de enero a la sociedad GOOGLE LLC (en adelante, GOOGLE) con una de las máximas sanciones previstas en el RGPD, en concreto, con 50 millones de euros, en aplicación de lo dispuesto en el artículo 83 del RGPD “se sancionará con una multa administrativa de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”. (ver aquí Resolución en francés)
La CNIL recibió en el mes de mayo dos denuncias colectivas por parte de la asociación “None Of Your Business (NOYB)” y “La Quadrature du Net (LQDN)” en las que se ponía de manifiesto que GOOGLE no tenía una base jurídica válida para tratar los datos personales de sus usuarios para poder personalizar los anuncios publicitarios que aparecían en sus cuentas.
Esto en la práctica suponía que los usuarios a la hora de configurar su cuenta de Google podían permitir que su perfil pudiera ser analizado con el fin de que la publicidad que les llegue sea lo más personalizada posible.
En primer lugar, hemos de indicar que la CNIL en esta misma Resolución trata una de las novedades introducidas por el RGPD: el mecanismo de ventanilla única
El Considerando 127 del RGPD prevé la posibilidad de que cada autoridad de control que no actúe como autoridad principal, pueda ser competente para tratar asuntos en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento se refiera y afecte en exclusiva en un único Estado y únicamente a interesados de ese Estado.
En tales casos, la autoridad de control debe informar sin dilación a la autoridad de control principal, que es la del país en que se encuentra su establecimiento principal, y una vez informada, ésta debe decidir si:
– Tratará el asunto atendiendo a la cooperación con las otras autoridades de control interesadas. Esta forma de proceder es denominada como “mecanismo de ventanilla única”),
– Tratará el asunto la autoridad de control que le haya informado.
En el presente caso, la CNIL antes de tomar una decisión al respecto y en aras de coordinarse con las otras autoridades, comunicó estas denuncias colectivas que había recibido a la autoridad de control irlandesa por considerarla como la autoridad de control principal al encontrarse las oficinas centrales de GOOGLE.
Por su parte, GOOGLE consideró que no tenía su establecimiento principal en la UE ni tampoco poder de decisión sobre los servicios ofrecidos por GOOGLE en relación con la creación de cuentas de usuarios y su configuración en los teléfonos móviles.
Por ello, el sistema de “ventanilla única» no era aplicable en este caso y la CNIL, sí era competente para decidir sobre los tratamientos de datos que estaban siendo llevados a cabo por GOOGLE.
Deficiencias detectadas
Al tener la CNIL competencia para resolver este asunto, inició la investigación de las denuncias recibidas y detectó las siguientes deficiencias:
• Incumplimiento de los principios de transparencia e información
No se estaban respetando estos dos principios reconocidos en el artículo 5 del RGPD ya que la información básica que contenía la finalidad del tratamiento, el tiempo de conservación o las categorías de datos utilizados para personalizar los anuncios, se encontraba en varios textos de difícil acceso ya que para llegar a ellos había que hacer clic a diferentes enlaces los cuales había que ir activando para poder llegar a la información adicional (primero había que leer la Política de Privacidad y los Términos y condiciones del servicio, luego había que hacer clic en el botón Más opciones y luego en el enlace Leer más para mostrar el texto Personalizar anuncios. Para completar la información relacionada con el tratamiento de los datos para este fin, el usuario todavía tenía que consultar las Reglas de confidencialidad).
La CNIL consideró que la información facilitada no era clara y comprensible, sino que dificultaba que los usuarios comprendieran el alcance de los tratamientos llevados a cabo.
Además, la finalidad del tratamiento quedaba definida de forma demasiado genérica y no se estaba permitiendo al usuario tomar conciencia de su magnitud, ya que no se indicaba ni el periodo de conservación de los datos ni era posible conocer la pluralidad de servicios o aplicaciones involucradas.
Asimismo, considera que estos tratamientos de datos eran masivos e intrusivos, debido a la cantidad de servicios ofrecidos (unos veinte), así como a la cantidad y la naturaleza de los datos.
– No proporcionar una base legal válida.
En virtud del artículo 22.1 RGPD “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”.
Este mismo artículo, dispone en su apartado siguiente que lo anterior no será aplicable si la decisión está basada en el consentimiento explícito del interesado.
GOOGLE basaba el tratamiento de los datos de los usuarios para personalizar la publicidad en el consentimiento que los mismos otorgasen en la configuración de la cuenta. Sin embargo, la CNIL consideró que el consentimiento no se recogía de manera válida porque no era ni específico ni inequívoco (requisitos recogidos en el Considerando 32 del RGPD) porque no se otorgaba de forma separada para cada finalidad, sino que el usuario tenía que dar su consentimiento en bloque, para todas las finalidades perseguidas por GOOGLE (personalización de la publicidad, reconocimiento de voz, etc.).
La sanción
La CNIL justifica la sanción ante todo por la gravedad de las deficiencias encontradas referidas a los principios esenciales del RGPD: transparencia, información y consentimiento; las cuales están vulnerando el derecho a la protección de los datos que, además, son tratados a gran escala ya que cada día son miles de usuarios quienes se crean una cuenta de Google a través de sus smartphones y hay que permitir en todo caso a los usuarios que mantengan el control sobre sus propios datos.
