Mediante una resolución del 21 de enero de 2019¹, GOOGLE ha sido sancionada por la Comisión francesa de protección de datos (en adelante, la «CNIL«²) con un importe de 50 millones de euros.
Dicha resolución, de la que se han hecho eco los medios de comunicación, es el resultado de las acciones colectivas ejercitadas por las asociaciones «None of Your Business» y «La Quadrature du Net» los días 25 y 28 de mayo de 2018. Las denuncias recogidas por estas dos asociaciones agrupaban las quejas de 9.974 personas. La acción colectiva, recientemente consagrada por el legislador francés, permite que las asociaciones soliciten el cese de la violación y la concesión de una indemnización por daños y perjuicios a las personas cuya protección de datos personales haya sido violada (enlace al artículo sobre acciones colectivas).
Desde un punto de vista simbólico, esta sanción constituye una primera aplicación por parte de la CNIL de las sanciones previstas en el Reglamento General de Protección de Datos³ (en adelante, el «RGPD«). La autoridad de control francesa ha optado por sancionar a uno de los GAFA ⁴, por una parte, a nivel económico: aplicando una multa administrativa correspondiente al 4% del volumen de negocio total anual mundial y, por otra parte, a nivel mediático: haciendo pública la resolución. La dimensión simbólica reviste una especial importancia por cuanto un gigante como GOOGLE ha sido sancionada por incumplimiento de determinados principios esenciales del RGPD: transparencia de la información comunicada por el responsable del tratamiento, información que debe facilitarse a los usuarios cuyos datos personales se tratan, consentimiento válidamente recaudado.
Sobre todo, dicha resolución de la CNIL proporciona ciertas directrices n sobre la aplicación del RGPD, toda vez que dicho texto, que se aplica desde el 25 de mayo de 2018, requiere una labor interpretativa por parte de las autoridades administrativas al objeto de proporcionar soluciones prácticas a las empresas con el fin de cumplir con las nuevas obligaciones. Tal es el propósito de esta resolución de treinta y una páginas.
1) El incumplimiento de las obligaciones de transparencia e información
La CNIL reprocha a GOOGLE no hacer accesible la información a los usuarios y subraya que la proporcionada no es suficientemente clara. En efecto, al recoger datos personales, el responsable del tratamiento debe proporcionar ciertos detalles, tales como los fines del tratamiento, el plazo de conservación de los datos, las categorías de datos personales tratados, etc.
Es cierto que, desde un punto de vista práctico, resulta difícil acceder a esta información cuando se personaliza un anuncio o se geolocaliza a los usuarios porque se requieren varias acciones para acceder a la misma. Además, GOOGLE trata los datos personales de forma masiva e intrusiva, por lo tanto, los usuarios no pueden medir el alcance del tratamiento que se realiza de sus datos.
La falta general de accesibilidad y claridad de la información proporcionada por GOOGLE ha llevado a la CNIL a considerar que el gigante de la Web no ha cumplido con sus obligaciones de transparencia e información.
2) El incumplimiento de la obligación de disponer de un fundamento jurídico para los tratamientos de personalización de la publicidad
La CNIL recuerda que el tratamiento sólo es lícito si se basa en uno de los siguientes fundamentos:
- El interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
- El tratamiento es necesario para la ejecución de un contrato;
- El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
- El tratamiento es necesario para proteger intereses vitales del interesado;
- El tratamiento es necesario para el cumplimiento de una misión realizada en pro del interés público;
- El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento.
En efecto, el artículo 6.1 del RGPD exige que el responsable del tratamiento elija un fundamento jurídico para cada tipo de tratamiento e informe a las personas cuyos datos se tratan de sus intenciones. Al respecto, es fundamental recordar que el consentimiento es una base jurídica entre otras y que, por lo tanto, no se requiere sistemáticamente.
Dado que para tratar los datos de los usuarios con la finalidad de personalizar la publicidad, GOOGLE se fundamenta en el consentimiento de los usuarios, éste tiene la obligación de asegurarse de que dicho consentimiento se haya recaudado de forma válida y legítima. Sin embargo, según la CNIL, no es el caso.
3) Un consentimiento informado, específico e inequívoco
De manera didáctica, la CNIL ha especificado las características del consentimiento.
En primer lugar, la CNIL recuerda que el consentimiento de los usuarios debe ser informado: el responsable del tratamiento debe informar al interesado de determinados elementos cruciales para hacer una elección, tales como los fines del tratamiento, los tipos de datos recaudados y utilizados o la existencia del derecho a retirar su consentimiento.
A este respecto, la CNIL considera que la información relativa a la personalización de la publicidad es de difícil acceso para los usuarios que deben realizar varias acciones. Además, según la CNIL, la información facilitada no es suficientemente clara y precisa, ya que no permite comprender el objeto y el alcance de los tratamientos realizados por GOOGLE.
El consentimiento también debe ser específico e inequívoco. En otros términos, se requiere un acto positivo claro por parte de los usuarios y el referido consentimiento debe darse por separado, teniendo en cuenta cada fin (por ejemplo, la personalización de la publicidad, el reconocimiento de voz, etc.). Sin embargo, al crear una cuenta en GOOGLE, los usuarios aceptan todo el tratamiento en bloque. De manera lógica, la CNIL ha considerado que el consentimiento en el que se basa GOOGLE para los tratamientos de personalización de publicidad no se obtuvo válidamente.
Dicha resolución de la CNIL es, por tanto, muy ilustrativa.
GOOGLE ha anunciado que tiene la intención de impugnar la resolución ante el Consejo de Estado francés. Se trata de una primicia para la más alta jurisdicción administrativa de Francia, que también tendrá la oportunidad de interpretar las disposiciones fundamentales de la RGPD.
M&B Abogados
¹ Resolución de la composición restringida de la CNILn°1SAN – 2019-001 del 21 de enero de 2019 (sanción económica contra la sociedad GOOGLE LLC
² Commission Nationale de l’Informatique et des Libertés
³ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
⁴ Acrónimo utilizado para nombrar a los Gigantes de la Web : Google, Apple, Facebook, Amazon
Deje su comentario