El pasado 21 de enero de 2019 la Comisión Nacional de Informática y Libertades (CNIL), el equivalente francés a la Agencia Española de Protección de Datos impuso una sanción de 50 millones de euros a Google LLC por “falta de transparencia, información insatisfactoria y falta de consentimiento válido para la personalización de publicidad”.

El asunto comienza con las quejas colectivas de dos asociaciones francesas None Of Your Business y La Quadrature du Net entre los días 25 y 28 de mayo de 2018. En ambas quejas, los usuarios denunciaban que Google no tenía una base legal válida para el tratamiento de los datos personales de los usuarios de sus servicios, en particular con el propósito de la personalización de la publicidad, para aquellos usuarios que creaban su cuenta de Google durante la configuración de un teléfono móvil Android.

Así, la CNIL decidió investigar el asunto, replicando el viaje normal que haría un usuario a la hora de crear una cuenta en Google mientras configura su teléfono Android.

 

Suspenso en transparencia e información

Cuando los investigadores del CNIL se dispusieron a hacer el mismo viaje que haría cualquier usuario para la creación de una cuenta de Google durante la configuración de su dispositivo Android, descubrieron que la información proporcionada por Google “no es fácilmente accesible para los usuarios”. Al parecer, la forma elegida por Google para proporcionar la información no permitía a los usuarios conocer todas las finalidades del tratamiento, ni hacerse una idea de la dimensión de la recogida de los datos. Ejemplos de esto son la falta de mención al plazo durante el cual se almacenan los datos o la dispersión a lo largo de varios documentos de la información relativa a las categorías de datos utilizadas por Google para personalizar los anuncios.

Además, dicha información tan solo se encontraría accesible tras realizar varios pasos, siendo necesarios a veces hasta 5 o 6 acciones para lograr acceder a la información.

En consecuencia, según criterio de la CNIL, los usuarios no pueden comprender el alcance de los tratamientos llevados a cabo por Google. En concreto, estos tratamientos han sido catalogados por CNIL como “particularmente masivos e intrusivos” debido a la cantidad de servicios ofrecidos (unos 20), la cantidad y la naturaleza de los datos tratados y combinados. Así, según CNIL, “las finalidades se describen de manera demasiado genérica y vaga” al igual que la indicación de los datos tratados para dichos fines.

Por ello, CNIL entiende que “la información proporcionada [a los usuarios] no es lo suficientemente clara que el usuario entienda que la base legitimadora de los tratamientos de personalización de la publicidad es el consentimiento y no el interés legítimo de Google.”

 

Sin base legal

Según CNIL, Google se estaría amparando en el consentimiento del usuario para llevar a cabo los tratamientos mencionados. Sin embargo, dicho tratamiento no se habría estado recogiendo de forma válida por dos razones:

 

  1. El consentimiento no estaría lo suficientemente informado

El consentimiento no estaría lo suficientemente informado por la falta de transparencia antes descrita. Al encontrarse la información sobre el tratamiento dispersa en varios documentos, el usuario no puede formarse una idea acertada sobre la cual tomar la decisión de dar o no su consentimiento.

 

  1. El consentimiento obtenido no es inequívoco ni específico

Al parecer, cuando un usuario crea una cuenta de Google en el proceso de configuración de un móvil Android, puede seleccionar el enlace “más opciones” para acceder a la configuración de la cuenta. El problema viene cuando los investigadores descubren que la opción de visualización de anuncios personalizados viene marcada de forma predeterminada. Ello contraviene expresamente el RGPD, concretamente su considerando 32 “Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.”

Por último, antes de proceder a crear la cuenta, los usuarios deben marcas las casillas “Acepto los términos de uso de Google” y “Acepto que mi información se use como se describe anteriormente y se detalla en la política de privacidad”. Ello implica que el usuario se ve forzado a dar su consentimiento en bloque para todos los servicios de Google. Sin embargo, según el RGPD, el consentimiento solo será específico si se otorga por separado a cada propósito.

 

Víctor Méndez

Legal Department

Áudea Seguridad de la Información