Blog

10 millones de eeeeeeeuros. Google se lleva el premio gordo de las sanciones de la AEPD

Monday, 6 de June de 2022

En España hemos celebrado el cuarto aniversario de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el pasado mes de mayo, con la sanción más elevada impuesta hasta el momento por parte de la Agencia Española de Protección de Datos (AEPD) – siendo, probablemente también, la resolución más larga.

La Resoluciónpone fin al procedimiento sancionador iniciado a partir de una serie de denuncias interpuestas por un particular entre septiembre de 2018 y enero de 2019 contra Google LLC por la comunicación de datos personales que la multinacional tecnológica hace al llamado “Proyecto Lumen” sin contar con una base de legitimación que garantice la licitud de esa comunicación. 

Lumen es un proyecto del Berkman Klein Center for Internet & Society de la Universidad de Harvard, es decir, alojado en Estados Unidos, que recolecta y estudia las solicitudes que se envían a editores y prestadores de servicios de Internet para la retirada de contenidos de páginas web, con la finalidad de educar al público, facilitar la investigación sobre los diferentes tipos de reclamaciones y solicitudes de retirada y proporcionar la mayor transparencia posible en estos procedimientos. 

En este contexto, Google LLC colabora con Lumen enviándole las solicitudes de retirada de contenidos que recibe de los usuarios relacionadas con derechos de propiedad intelectual, elusión/evasión, falsificación, resoluciones judiciales no confidenciales, difamación y notificaciones de retirada basadas en normativa local. 

La cuestión es que Google LLC envía a Lumen la información relativa a estas solicitudes con todos los datos que los interesados incluyen en los formularios que Google establece con tal fin. Es decir, identificación del solicitante, y en su caso del afectado, la dirección de correo electrónico, los motivos que se alegan en la solicitud de retirada, la URL reclamada, así como la documentación que sirve de prueba. Y todo ello (i) sin que Google LCC informe claramente al usuario de la cesión de estos datos a Lumen ni de la finalidad de dicha comunicación, ni en los formularios, ni en su política de privacidad (ii) y sin que el usuario tenga opción a oponerse a dicha cesión.

Si bien es cierto que Lumen utiliza procesos de anonimización para la publicación de estas notificaciones, en ocasiones no han funcionado y se han llegado a visualizar sentencias sin anonimizar. De forma que, aunque un interesado haya conseguido eliminar un contenido de Google, resulta que ese contenido, así como toda la documentación aportada en el proceso de solicitud de retirada, estaría accesible en la web de Lumen.

Pues bien, más allá de consideraciones de índole procesal, en las que se discute la nulidad y subsidiariamente la anulabilidad del procedimiento por infringir normas del procedimiento sancionador, y de discutir sobre la competencia de la autoridad de control española, en vez de la irlandesa, para entender de este procedimiento, las cuestiones de fondo que avalan la sanción son las siguientes:

Con independencia de que Lumen implemente procedimientos de anonimización para la publicación de las notificaciones, Google LCC comunica los datos “en bruto” y es precisamente la licitud de esta comunicación la que hay que analizar. 

La AEPD ha entendido que no existe una base de legitimación y por tanto se infringe el artículo 6 del RGPD. Rechaza el interés legítimo invocado por Google LCC afirmando que en la ponderación entre este y los derechos y libertades de los interesados, prevalecen estos últimos. Y tampoco existe consentimiento por parte del interesado para llevar a cabo este tratamiento, puesto que la firma del formulario en el que se ofrece una información incompleta sobre una eventual comunicación a Lumen no puede considerarse como un consentimiento válido.

Además, la AEPD ha verificado que, a pesar del complejo sistema de Google LCC para la solicitud de retirada de contenidos, no existe ningún formulario específico de ejercicio de derechos en materia de protección de datos, en particular para el ejercicio del derecho de supresión de datos, lo que supone una infracción del artículo 17 del RGPD. Según la AEPD “es difícil deducir si la solicitud se formula invocando la normativa de protección de datos personales, sencillamente porque esta normativa no se menciona en ninguno de los formularios, con independencia del motivo que el interesado seleccione de entre las opciones propuestas, salvo en el formulario denominado ‘Retirada en virtud de la ley de privacidad de la UE’, el único disponible que contiene una referencia expresa a esta normativa”. 

La AEPD califica estas dos infracciones como muy graves e impone una multa por cada una de ellas de 5 millones de euros.

Aunque sea una sanción histórica en España, queda lejos aún de los 746 millones de euros que la autoridad de control luxemburguesa impuso el pasado 16 de julio de 2021 a Amazon Europe Core S.à.r.l. (no publicada) o los 225 millones que la autoridad irlandesa impuso a WhatsApp Ireland Ltd. el 2 de septiembre de 2021.

España está en la cabeza de los países de la UE en número de sanciones impuestas (264) en el año 2021, aunque la suma de todas ellas rondaba “solo” los 35 millones de euros. Todo apunta a que, siguiendo la estela de sanciones millonarias como esta o la de Vodafone, es previsible que subamos también en el ranking de las cuantías recaudadas.

Descárgate el PDF.