Ver especial completo sobre la protección de datos
El director de la Agencia Española de Protección de Datos, José Luis Rodríguez Álvarez, ha dictado una Resolución que pone fin al procedimiento iniciado a la empresa Google en relación con la compatibilidad de su política de privacidad y las condiciones de uso de sus servicios con la normativa española de protección de datos.
Según ha informado la Agencia a través de un comunicado, La Resolución concluye declarando la existencia de tres infracciones graves de la Ley Orgánica de Protección de Datos (LOPD), impone a Google una sanción de 300.000 euros por cada una de ellas y requiere a la compañía para que adopte sin dilación las medidas necesarias para cumplir con las exigencias legales.
En el marco de la investigación realizada, la Agencia Española de Protección de Datos (AEPD) ha constatado que Google recoge y trata ilegítimamente información personal, tanto de los usuarios autenticados (dados de alta en sus servicios) como de los no autenticados, e incluso de quienes son meros "usuarios pasivos" que no han solicitado sus servicios pero acceden a páginas que incluyen elementos gestionados por la compañía sin explicitarlo.
Como consecuencia de ello, la Agencia considera que Google vulnera gravemente el derecho a la protección de los datos personales reconocido a todos los ciudadanos por el artículo 18 de la Constitución Española y regulado en la LOPD.
Las actuaciones de inspección han permitido comprobar que Google recopila información personal a través de casi un centenar de servicios y productos que ofrece en España, sin proporcionar en muchos casos una información adecuada sobre qué datos se recogen, para qué fines se utilizan y sin obtener un consentimiento válido de sus titulares. Así, por ejemplo, no se informa con claridad a los usuarios de Gmail de que se realiza un filtrado del contenido del correo y de los ficheros anexos para insertar publicidad.
Cuando se informa, se utiliza una terminología imprecisa, con expresiones genéricas y poco claras que impiden a los usuarios conocer el significado real de lo que se plantea. Es demostrativo que en ocho páginas Google emplea hasta en 30 ocasiones términos como "podremos", "podrá", "podrán" o "es posible". Todo ello, sumado a otras expresiones sumamente ambiguas como "mejorar la experiencia del usuario", da lugar a una política de privacidad indeterminada y poco clara. La falta de información adecuada, particularmente sobre las finalidades específicas que justifican el tratamiento de los datos, impide que pueda considerarse que existe un consentimiento específico e informado y, en consecuencia, válido.
Por otra parte, según la Agencia de Protección de Datos, Google combina la información personal obtenida a través de los diversos servicios o productos para utilizarla con múltiples finalidades que no se determinan con claridad, vulnerando con ello la prohibición de utilizar los datos para fines distintos de aquellos para los que han sido recabados.
Esta combinación de los datos que se recogen en un servicio con los obtenidos en otros, y que permite a Google enriquecer la información personal que almacena, excede ampliamente las expectativas razonables del usuario medio, que no es consciente del carácter masivo y transversal del tratamiento de sus datos. Al actuar así -expone la AEPD-, Google se sirve de una tecnología sofisticada que sobrepasa la capacidad de la mayoría de los usuarios para tomar decisiones conscientes sobre el uso de su información personal por lo que, en la práctica, pierden el control sobre la misma.
En contra de lo exigido por la legislación española -continúa el comunicado-, Google almacena y conserva datos personales por periodos de tiempo indeterminados o injustificados, contraviniendo con ello el mandato legal de proceder a su cancelación cuando dejan de ser necesarios para la finalidad que determinó su recogida. "La conservación de los datos por tiempo indefinido, más allá de las exigencias que se derivan de las finalidades pretendidas en el momento de la recogida, constituye un tratamiento ilícito", señala.
Finalmente, la AEPD concluye que Google obstaculiza -y en algunos casos impide- el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. "El procedimiento que los ciudadanos deben seguir para ejercer sus derechos o gestionar su propia información personal les obliga a recorrer un número indeterminado de páginas, dispersas en varios enlaces, que no están disponibles para todos los tipos de usuarios y, en ocasiones, con denominaciones que no siempre hacen referencia a su objeto". La propia compañía reconoce que hay que ejecutar al menos siete procesos diferentes, reservándose incluso el derecho de no atender las solicitudes que supongan "un esfuerzo desproporcionado".
Respuesta de Google
Por su parte, fuentes de Google han señalado haber estado "totalmente involucrados con la Agencia Española de Protección de Datos a lo largo de este proceso para explicar nuestra política de privacidad y cómo esta nos permite crear servicios más sencillos y efectivos". Asimismo, afirman seguir actuando en esta línea y tomar una decisión sobre los siguientes pasos a dar "una vez leído con atención el citado informe".