AEPD: Sanción a Google por ceder datos sin legitimación y obstaculizar su supresión

La Agencia Española de Protección de Datos (AEPD) dictó este miércoles 18 de mayo una resolución contra Google LLC en la que declara la existencia de dos infracciones muy graves –cesión de datos a terceros sin legitimación y obstaculizar el derecho de supresión– y le impone una sanción de 10 millones de euros por incumplir la normativa de protección de datos, concretamente los artículos 6 y 17 del RGPD. Se trata de la sanción más alta impuesta por la AEPD hasta la fecha.

Google LLC realiza su tratamiento de datos en Estados Unidos. Sin embargo, Google LLC transfiere al Proyecto Lumen las solicitudes de retirada de contenido que realizan los ciudadanos, incluyendo la identificación del usuario, su correo electrónico, motivos expuestos y la URL que reclama. La AEPD considera que la inclusión de toda la información de la solicitud presentada por el usuario “supone en la práctica frustrar la finalidad del ejercicio del derecho de supresión”, ya que dicha información se incluye en otra base de datos accesible y se divulga a través de una web.


La AEPD establece que, una vez que Google LLC acuerda la supresión de los datos personales, “no cabe un tratamiento posterior de los mismos, como es la comunicación que Google LLC realiza al Proyecto Lumen”.


Además, la resolución de la AEPD determina que la comunicación de datos de Google LLC al Proyecto Lumen es impuesta al usuario y no existe un consentimiento válido. Tampoco se menciona este tratamiento de datos personales de los usuarios en la política de privacidad ni se recoge en las finalidades de Google LLC.


Durante el proceso de solicitud de supresión de datos, el usuario es conducido a través de diversas páginas en las que se le obliga a elegir entre diversas opciones, lo que “puede provocar que este termine marcando una opción que se adapte a los motivos que considera apropiados a su interés, pero que le aparta de su intención originaria, que puede estar claramente vinculada a la protección de sus datos personales, desconociendo que estas opciones le sitúan en un régimen normativo distinto porque así lo ha querido Google LLC o que su solicitud se resolverá según las políticas internas establecidas por esta entidad”. La AEPD rechaza este sistema, puesto que considera que dejaría en manos de Google LLC la decisión de cuándo se aplica el RGPD. Además, supondría aceptar que cada entidad responsable condicione la supresión de datos personales a su sistema de eliminación de contenidos.


Por otro lado, la Agencia ha reclamado a Google LLC que adecúe al RGPD la comunicación de datos que realiza con el Proyecto Lumen y que proceda a eliminar todos los datos personales relacionados con solicitudes de supresión de datos comunicadas al Proyecto Lumen, así como instar a dicho Proyecto Lumen para que suprima y cese la utilización de los datos personales que haya recibido de Google LLC.


#AEPD #ProteccióndeDatos #RGPD #TransferenciasDeDatos #Legitimación #Supresión #DerechoAlOlvido #Google

Contiac Abogados