La AEPD multa a Google y le solicita que se adecúe a la normativa con relación a la cesión de datos al Proyecto Lumen

La AEPD multa a Google y le solicita que se adecúe a la normativa tras infringir el RGPD con relación a cesiones de datos al Proyecto Lumen. 

 

La AEPD ha emitido una resolución en el caso contra Google donde establece que la compañía ha cometido dos graves infracciones del RGPD. La AEPD ha impuesto una multa de 10 millones de euros a Google LLC por compartir datos con terceros sin contar con una base legal para hacerlo y por vulnerar así el derecho de supresión de los ciudadanos. Este caso se relaciona con el envío de solicitudes de supresión vinculadas con la eliminación de contenido de varios productos y plataformas de Google, como Google search y YouTube, a un tercero, denominado ‘Lumen Project’.

 

Se transferían de forma ilegítima datos personales de los usuarios a un tercero, el Proyecto Lumen, cuando estos solicitaban la supresión de sus datos. 

 

Cuando los usuarios ejercían su derecho de supresión y solicitaban que su información fuese eliminada, debían rellenar un formulario y otorgar su consentimiento a que se compartan sus datos con un tercero. Este proceso infringía los artículos 6 y 17 del RGPD. Según el pronunciamiento de la AEPD, esta cesión de datos de Google LLC al Proyecto Lumen se imponía en usuarios a los que no se les ofrecía la posibilidad de oponerse a este tratamiento cuando rellenaban los documentos del derecho de supresión. En consecuencia, Google no podía obtener un consentimiento válido para la cesión de los datos de ese usuario mediante dicho proceso. Además, no existía en la política de privacidad de Google ninguna mención a este tratamiento de datos personales ni a la transferencia de datos al Proyecto Lumen entre las finalidades. Google designaba el sistema a través del cual los usuarios podían ejercer su derecho de supresión, que requería varias páginas para que el mismo se completase. Parte de este proceso requería que el sujeto rellenase un formulario y consintiese a la cesión a un tercero de sus datos, incluida su identificación, dirección de email y otra información.   

 

Como consecuencia del incumplimiento, Google ha sido multado y se le ha requerido adecuar sus prácticas a la normativa.

 

La AEPD explica en su decisión que, una vez que se ha presentado la solicitud de supresión y la misma se ha llevado a cabo “no hay posibilidad de tratamiento subsiguiente de los mismos datos, como la comunicación de Google LLC al Proyecto Lumen”. Google ha sido así multado con 10 millones de euros por las dos infracciones y deberá eliminar todos los datos personales que se han visto afectados, así como exigir al Proyecto Lumen que cese el tratamiento de los mismos y también los elimine.  

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La autoridad de control de Bélgica apercibe a Google

La autoridad de control de Bélgica apercibe a Google por su falta de transparencia en relación a una solicitud de eliminación de artículos. 

 

Esta reciente decisión de la autoridad de control de Bélgica se refiere a un abogado inhabilitado hace 10 años que trabaja ahora como asesor legal y solicitó que se eliminasen los artículos que contuviesen información al respecto, pero la autoridad de control de Bélgica desestimó su petición. Según este informe del EDPB, la autoridad de control ha apercibido a Google por la falta de transparencia en el caso. Bajo el RGPD, la autoridad de control Belga reconoció algunas deficiencias en la forma en que Google había gestionado la queja. 

 

Google ha sido apercibido por la autoridad de control de Bélgica a pesar de que se desestimó la queja presentada contra la compañía 

 

Mientras que la autoridad de control belga desestimó las quejas relacionadas con la negación de Google de eliminar los artículos, sí ha considerado necesario apercibir a la empresa por la forma en que se ha gestionado la solicitud. Google no atendió la petición al considerar que existe interés público sobre el acceso a la información relativa al abogado. Aunque la autoridad de control belga no estuvo en desacuerdo con esta decisión, señaló que la solicitud había sido transferida de Google Ireland a Google LLC mediante Google Belgium y que se daban algunas deficiencias en la calidad de la explicación sobre la decisión tomada. En consecuencia, se determinó que la respuesta otorgada por Google no era transparente, en incumplimiento del artículo 12 del RGPD. 

 

Los principales problemas identificados por la autoridad de control de Bélgica en cuanto a la calidad de la respuesta.

 

En relación al artículo 17 del RGPD, la autoridad de control belga estableció que Google había infringido el artículo 12 del RGPD. El artículo 17 trata sobre el derecho de supresión y mientras que la autoridad desestimó la queja del interesado en este caso, consideró que la compañía había violado el artículo 12 por su falta de transparencia al responder al sujeto. El Artículo 12 estipula que “El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo…” El apercibimiento se vio motivado por la imprecisa identificación del responsable.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

El Tribunal Supremo de Reino Unido frena una demanda colectiva sobre privacidad contra Google

El Tribunal Supremo de Reino Unido ha frenado una demanda colectiva sobre privacidad contra Google al no demostrarse que se infligieran daños a los usuarios afectados.

 

El Tribunal Supremo de Reino Unido ha frenado una demanda billonaria contra Google. El caso fue originalmente presentado por Richard Lloyd en nombre de un grupo denominado “Google, nos lo debes” y se relaciona con el rastreo ilegítimo de millones de usuarios de iPhone.  Entre Agosto de 2011 y febrero de 2012, Google presuntamente habría burlado la seguridad de iPhone y habría recopilado datos a través del navegador de Safari. La demanda se presentó en representación de 4,4 millones de residentes en Inglaterra y Gales, y reclamaban 3 billones de libras en daños. Sin embargo, el caso ha sido desestimado dado que la parte demandante fue incapaz de probar los daños causados a los usuarios por la presunta recogida ilegítima de datos y el rastreo efectuado sobre los mismos, según este informe de la IAPP.

 

El juez desestimó la demanda colectiva al no demostrarse que los usuarios afectados sufrieran daños materiales o estrés como resultado de la infracción.

 

La demanda colectiva había sido desestimada en 2018 y posteriormente anulada por el Tribunal de Apelación de Reino Unido. Ahora ha sido desestimada por el Tribunal Superior de Reino Unido. El juez George Leggatt concluyó que no había evidencia de daño ocasionado a los usuarios como resultado de esta brecha.  Afirmó que “La parte demandante «El demandante reclama daños y perjuicios para cada una de las partes de la demanda colectiva sin demostrar que Google hiciese un uso indebido de los datos personales de dichas personas o que estas sufrieron daños materiales o estrés como consecuencia de ello”. Parte de la sociedad ya ha expresado su indignación por este fallo pues alegan que se socava la igualdad y que no protege de manera debida los derechos individuales frente a los gigantes tecnológicos como Google, que infringen la ley y ponen en riesgo los datos personales de los ciudadanos”.

 

 

Expertos en privacidad han seguido este caso muy de cerca debido a las implicaciones que la sentencia puede tener en otras demandas colectivas en Reino Unido.

A medida que se dan casos similares, expertos en privacidad han expresado su interés por el resultado de esta demanda colectiva que puede tener implicaciones de gran alcance. Uno de estos casos es la acusación formulada contra TikTok por utilizar datos menores sin consentimiento informado, tal y como informa la BBC. Abogados afirman que TikTok trata datos personales de menores, incluidos números de teléfono, vídeos, localización precisa e incluso datos biométricos sin los avisos necesarios, sin cumplir con el principio de transparencia y sin implementar el consentimiento requerido por ley. Presuntamente ni los niños ni los padres son informados de los usos que se hacen con dicha información. TikTok sostiene que las acusaciones son infundadas y manifiesta su intención de rebatirlas.

 

 

Cristina Contero Almagro, socia de Aphaia explica que “Este caso deriva del derecho a indemnización previsto en el RGPD, por el cual todo aquel que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción de la normativa podrá recibir del responsable o encargado del tratamiento una indemnización por los mismos. Como primer paso, debería tratar de negociarse la indemnización solicitada con la organización de manera directa. Sin embargo, si no se alcanza un acuerdo, se puede presentar una demanda en los tribunales. La seriedad de la infracción y el impacto en los usuarios afectados son dos de los elementos determinantes. El responsable o encargado sólo quedará exento de esta responsabilidad si puede demostrar que no es de ninguna manera causante del año infligido”.

 

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. También podemos ayudarte con cualquier materia relacionada con el derecho de indemnización y demandas derivadas del mismo. Infórmate aquí.