La Agencia Española de Protección de Datos multa a Google LLC con 10 millones de euros por ceder datos personales a terceros y obstaculizar el derecho de supresión

Por Antonio Borjas

El pasado 18 de mayo de 2022, la Agencia Española de Protección de Datos (en adelante, “AEPD”) publicó la resolución del procedimiento sancionador PS/00140/2020 en la que se declara la existencia de dos infracciones muy graves de la normativa de protección de datos cometidas por la compañía californiana GOOGLE, LLC. (“Google”) por: (i) ceder datos personales a terceros sin base de legitimación, y; (ii) obstaculizar el derecho de supresión de datos personales.

La multa impuesta por las dos infracciones asciende a la cantidad de 10 millones de euros, lo que constituye la sanción más alta impuesta por la AEPD hasta la fecha. Para un mejor entendimiento de la resolución, se explica a continuación los antecedentes de la misma, analizando posteriormente el criterio de la AEPD respecto a las infracciones detectadas.

Antecedentes

Un interesado interpuso 8 denuncias contra Google ante la AEPD entre el 13 de septiembre de 2018 y el 9 de enero de 2020. El motivo principal de todas estas denuncias es que Google dispone de diferentes canales de comunicación para que los interesados puedan solicitar la retirada de contenidos en línea en los productos y servicios de Google, condicionando la interposición de estas solicitudes a la comunicación de los datos personales de los solicitantes al proyecto de la organización Lumendatabase.org (“Proyecto Lumen”).

El Proyecto Lumen tiene como finalidad estudiar las cartas de cese y desistimiento relativas a contenidos en línea con fines de transparencia y rendición de cuentas, así como para evitar abusos y fraudes. Para ello, se recaba y analiza solicitudes de retirada de materiales de la web de diferentes actores importantes de la sociedad digital, entre los que se encuentre Google. La participación de Google en esta iniciativa implica que se envíe una copia de cada una de las reclamaciones de retirada de contenido recibidas por Google al Proyecto Lumen.

Tras recibir las mencionadas denuncias, la AEPD dio traslado de las mismas a la autoridad de control de Irlanda, la Data Protection Commision (“DPC”), para que valorase si ostentaba la condición de autoridad de control principal sobre la base del artículo 56 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”).

El análisis sobre la competencia territorial de la AEPD tiene su origen en que Google cuenta con la filial irlandesa GOOGLE IRELAND LTD. que actúa, desde el 22 de enero de 2019, como responsable del tratamiento de datos personales de los usuarios de los servicios de “Google” que se encuentren en el Espacio Económico Europeo (“EEE”).

Tras el traslado de las denuncias recibidas por parte de la AEPD, DPC comunicó a la autoridad de protección de datos española que no se consideraba competente en este caso porque las denuncias se interpusieron con anterioridad a que DPC se convirtiera en la autoridad de control principal para asuntos relacionados con privacidad en los que se vea involucrado Google en el EEE.

Tras determinarse la competencia de la AEPD, se continúa con el procedimiento con el objetivo de analizar la presunta ilicitud de la comunicación de datos personales al Proyecto Lumen al no contar con una base de legitimación del artículo 6 del RGPD, así como la posible infracción respecto a las obligaciones de Google sobre el derecho de supresión de datos personales regulado en el artículo 17 del RGPD.

Infracción del artículo 6 del RGPD: cesión de datos sin legitimación

La AEPD considera acreditado que Google comunica datos personales al Proyecto Lumen y, en concreto, que proporciona a esta entidad toda la información de las solicitudes de retirada o eliminación de contenidos en línea de usuarios, junto con sus datos de identificación, correo electrónico, el texto de la reclamación, la URL reclamada y la documentación que sirviese como soporte, en su caso.

Google alega que la comunicación de datos al Proyecto Lumen se fundamenta en su propio interés legítimo, así como en el interés legítimo del Proyecto Lumen. A estos efectos, según Google, su interés legítimo radica en la importancia que tienen las comunicaciones de datos para asegurar que sus prácticas de retirada de contenidos sean transparentes y responsables, además del beneficio que esta transparencia representa para la comunidad de investigadores, el público en general y las autoridades públicas.

La AEPD, en relación con este interés legítimo, expone que Google no ha justificado haber realizado un análisis de su interés legítimo o del interés legítimo de terceros invocado. Asimismo, la AEPD resalta que los usuarios no son debidamente informados sobre la base jurídica de la comunicación de sus datos, ni tampoco sobre los intereses legítimos propios o de terceros. Por lo tanto, como consecuencia de la deficiente información que el responsable del tratamiento ofrece, la AEPD determina que se ha privado a los interesados de su derecho a conocer la base jurídica del tratamiento y su derecho a conocer cuáles son dichos intereses legítimos.

Se considera también fundamental por parte de la AEPD que los usuarios, al faltar la información relativa a la prueba de ponderación, son privados de su derecho a alegar por qué causas el interés legítimo del responsable podría ser contrarrestado por los derechos o intereses del interesado. Al no haberse dado la oportunidad al interesado de alegarlos al responsable mediante el correspondiente derecho de oposición, cualquier sopesamiento que Google lleve a cabo está viciado por ser un acto contrario a la normativa de protección de datos.

Aunque la AEPD considera que el interés legítimo no es aplicable por los motivos expuestos, la autoridad de control española analiza igualmente algunos de los requisitos que resultaría necesario observar para aplicar el interés legítimo como base de legitimación de este tratamiento, estableciendo, entre otros, que:

La comunicación de datos personales al Proyecto Lumen que Google lleva a cabo es excesiva porque existen otras formas menos intrusivas para satisfacer los intereses legítimos alegados y, por tanto, no cumple con los requisitos de necesidad y proporcionalidad.

En ningún caso puede considerarse como una expectativa razonable del interesado que la información respecto a la que ha solicitado su retirada del producto o servicio de Google se comunique a una tercera entidad.

Infracción del artículo 17 del RGPD: obstaculizar el derecho de supresión

La resolución de la AEPD se centra en analizar la idoneidad y legalidad de los mecanismos habilitados por Google para que un usuario pueda solicitar la supresión de sus datos personales. En este sentido, la AEPD verifica que Google pone a disposición de los interesados diferentes formularios para solicitar la retirada de contenido en línea de conformidad con la correspondiente legislación aplicable (por ejemplo, derechos relacionados con propiedad intelectual, marcas o derecho al honor).

De acuerdo con las alegaciones de Google, estas solicitudes de retirada de contenido en línea no están relacionados con derechos reconocidos en la normativa de protección de datos (y en conceto, con el derecho de supresión del artículo 17 del RGPD). No obstante, la AEPD no comparte este criterio y considera que muchos de estos formularios sí están directamente relacionados con el tratamiento de datos personales, sin que Google haga ninguna referencia a la normativa de protección de datos.

Respecto a la gestión del derecho de supresión por parte de Google, su Política de Privacidad de no hace referencia ni contiene ningún enlace que conduzca a un formulario específico de ejercicio de derechos en materia de protección de datos. De acuerdo con la resolución de la AEPD, Google solo cuenta con un formulario relacionado con protección de datos denominado “Retirada en virtud de la ley de privacidad de la UE”.

La AEPD considera que el sistema implantado por Google para gestionar los derechos reconocidos en la normativa de protección de datos, y en concreto el derecho de supresión, no es conforme con el RGPD por los siguientes motivos:

Google obstaculiza la interposición del derecho de supresión al obligar al interesado a navegar por diferentes páginas para llegar a cumplimentar su solicitud relacionada con privacidad, imponiéndole marcar previamente las opciones que se ofrecen, pudiendo provocar que el usuario marque una opción que se aparte de su intención inicial de ejercer un derecho relacionado con la normativa de protección de datos.

La utilización de repetidos formularios, según el criterio de la AEPD, impide el correcto ejercicio del derecho de supresión de los interesados. Aunque los interesados puedan dirigir un escrito solicitando la supresión de sus datos a Google, la existencia de una gran cantidad de formularios conlleva a que el interesado pueda verse conducido a la utilización de estos formularios.

El sistema implantado por Google impide deducir si un usuario solicita la retirada de contenido invocando la normativa de protección de datos personales, o si se trata de una solicitud de retirada de contenido relacionada con el resto de legislación que resulte de aplicación. Según la AEPD, esta dificultad en determinar la naturaleza de la solicitud se ve incrementada al no mencionarse la normativa de protección de datos en ninguno de los formularios, salvo en el formulario denominado “Retirada en virtud de la ley de privacidad de la UE”.

La comunicación de datos personales de Google al Proyecto Lumen se impone al usuario, sin que este tenga si quiera la opción de oponerse a la misma. Además, esta comunicación genera un tratamiento adicional de los datos sobre los que versa la solicitud. La AEPD también recalca que, atendido un derecho de supresión, no cabe tratamiento posterior, como es la comunicación de información de Google al Proyecto Lumen.

Sanciones

La AEPD considera que Google ha infringido el artículo 6 del RGPD al comunicar datos personales al Proyecto Lumen sin contar con una base de legitimación para ello, por lo que se impone una multa económica de 5 millones de euros.

Por otro lado, la AEPD también considera que se ha obstaculizado a los interesados el ejercicio del derecho de supresión reconocido en el artículo 17 del RGPD, imponiendo una multa económica de 5 millones de euros.

Además de las multas económicas, la AEPD también ha requerido a Google para que, en el plazo de seis meses:

• Adopte las medidas necesarias para adecuarse a la normativa de protección de datos personales en relación con la comunicación de datos al Proyecto Lumen, los procesos de gestión de derechos de supresión y la información facilitada a los interesados.
• Suprima todos los datos personales que hayan sido objeto de una solicitud de derecho de supresión comunicada al Proyecto Lumen, instando a la organización que gestiona el este proyecto a que suprima y cese en la utilización de los datos personales que le hayan sido comunicados.