La Agencia Española de Protección de Datos (AEPD) ha abierto un procedimiento sancionador a Google en relación con la nueva política de privacidad unificada para la mayor parte de sus servicios e implantada por la compañía en marzo del año pasado.
El procedimiento tiene por objeto esclarecer, entre otros aspectos, si la combinación de datos procedentes de diversos servicios cumple las garantías de información a los usuarios, si las finalidades y la proporcionalidad para las que se utiliza la información legitima el tratamiento de los datos y si los periodos de conservación y las opciones para que los usuarios ejerzan sus derechos de acceso, rectificación, cancelación y oposición cumplen con la LOPD.
El inicio de este procedimiento sancionador se produce tras finalizar las investigaciones previas realizadas por la AEPD, que han permitido constatar la existencia de indicios de la comisión de un total de seis infracciones –cinco de ellas graves y una leve– de la LOPD.
La AEPD ve cinco indicios sospechosos:
- Google no informa claramente sobre el uso que va a hacer de los datos que recoge de los usuarios, por lo que estos no pueden conocer de forma precisa qué fin justifica la recogida de sus datos personales ni la utilización que se hará de los mismos.
- En el marco de la unificación de políticas de privacidad, es posible que Google pueda combinar la información personal de un servicio con la de otros y utilizarla para otras finalidades. La ausencia de información por parte de Google podría implicar que el tratamiento de datos que realiza fuera ilegítimo.
- Google podría estar haciendo un tratamiento desproporcionado de los datos de sus usuarios, ya que en su política de privacidad advierte de que podrá utilizar los datos recabados de forma ilimitada en todos sus servicios, presentes y futuros.
- Google podría estar conservando los datos de sus usuarios por tiempo indeterminado o injustificado. La ley establece que los datos personales deben ser cancelados una vez que hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados, y Google los mantiene más allá de estos plazos.
- La AEPD considera que el ejercicio de derechos por parte de los usuarios podría verse obstaculizado e incluso impedido, ya que las herramientas que ofrece Google para ejercer los derechos de acceso, rectificación, cancelación y oposición se encuentran dispersas, no están disponibles para todos los usuarios, son incompletas y aparecen con denominaciones que no siempre se corresponden con la materia que se trata.
La AEPD le imputa la presunta comisión de cinco infracciones graves de la LOPD, sancionables con multas de 40.001 euros a 300.000 euros por la falta de proporcionalidad en el tratamiento de datos y la ausencia de finalidades determinadas, específicas y legítimas para dichos tratamientos; por el desvío de la finalidad en el uso de los datos; por los plazos excesivos o indeterminados en cuanto a la conservación de los datos; por la falta de legitimación en el tratamiento de datos; y por obstaculizar el ejercicio de derechos de los usuarios.
La AEPD acordó el inicio de esta investigación coordinada con las Autoridades de Protección de Datos de Alemania, Francia, Holanda, Italia y Reino Unido. Francia también ha remitido hoy una notificación a Google en la que manifiesta irregularidades similares y da a la compañía un plazo de tres meses para adaptar su política de privacidad a la legislación francesa, anunciando la apertura de un procedimiento sancionador en caso de incumplimiento.
Google modificó la política de privacidad y las condiciones de uso de la mayoría de sus servicios en marzo de 2012. El pasado mes de octubre, las Autoridades europeas apreciaron incumplimientos de la normativa europea de protección de datos. Las autoridades de los 27 Estados de la Unión Europea enviaron a Google un documento con recomendaciones que indicaban a la compañía cómo cumplir la legislación europea, concediendo un plazo para ello. Google no ofreció una respuesta satisfactoria a estas demandas.
Fuente: El Pais