La AEPD impone una multa de 10 millones de euros a Google LLC

20-05-2022 — AR/2022/060

La Agencia Española de Protección de Datos ha impuesto una multa de 10 millones de euros a Google LLC por infracciones muy graves de la normativa de protección de datos, al ceder datos a terceros sin legitimación y obstaculizar el ejercicio del derecho de supresión.

La Agencia Española de Protección de Datos (AEPD), en su resolución PS/00140/2020, declara dos infracciones muy graves de la normativa de protección de datos (artículos 6 y 17 del RGPD1) e impone una sanción de 10 millones de euros a Google LLC por ceder datos personales a terceros sin legitimación para ello y obstaculizar el ejercicio del derecho de supresión de los ciudadanos.

Describimos los aspectos más importantes de esta resolución.

Antecedentes de la resolución

Denuncias recibidas

La resolución se origina por varias denuncias interpuestas contra Google, entre 2018 y 2019, por la comunicación de datos personales al «Proyecto Lumen».

El Proyecto Lumen analiza las solicitudes de retirada de contenidos de la web y lo desarrolla la Universidad de Harvard en los Estados Unidos.

Google, como otras grandes tecnológicas, participa en este proyecto, aportando información de las solicitudes que recibe.

Para tramitar las solicitudes de retirada de contenidos, Google tiene disponibles unos formularios en su página web, distintos según el servicio y el tipo de contenido que se denuncie por el interesado. Estas solicitudes pueden fundamentarse en la infracción de derechos de propiedad intelectual, de la protección de datos, al honor y la propia imagen o su falsedad.

También abarcan estas denuncias el derecho al olvido y persiguen la retirada de la lista de resultados del motor de búsqueda de información personal del interesado.

Tratamiento de las solicitudes

Según la AEPD, Google traslada los formularios de solicitud de retirada de contenidos en línea que recibe, que pueden incluir datos de carácter personal, al Proyecto Lumen, para que los registre y publique en la página web <http://www.lumendatabase.org/>, sin permitir a los interesados oponerse a esta comunicación.

Antes de publicarlas, el Proyecto Lumen anonimiza esas notificaciones, pero, en muchas ocasiones, este proceso falla, según ha podido comprobar la propia AEPD, y la página web presenta datos personales de los interesados.

Cesión de datos

El interés legítimo

Según la resolución, Google alegó en su defensa que ostenta un interés legítimo para comunicar los datos al Proyecto Lumen, no solo singular de la empresa, sino de toda la sociedad, pues esta cesión permite y fomenta la investigación, la transparencia y la educación, que prevalecen sobre los derechos y libertades de los interesados y que sirven de fundamento de licitud para esa comunicación.

Sin embargo, la AEPD rechaza este argumento y afirma que la escasa información proporcionada sobre la finalidad y el fundamento de legitimación no puede ponderar los intereses concurrentes para concluir sobre la prevalencia del interés legítimo de Google responsable o de los terceros interesados.

Afirma asimismo que la comunicación de datos personales al Proyecto Lumen no atiende los principios de proporcionalidad y necesidad, y considera además que existen otras formas menos intrusivas para satisfacer el interés legítimo alegado.

La transparencia de un mercado único de servicios digitales

Google también alegó en su defensa que la propuesta de la Comisión Europea de un reglamento sobre un mercado único de servicios digitales (conocido como ley de mercados digitales, DMA por sus siglas en inglés) realza la transparencia en la forma en la que los prestadores de servicios de intermediación moderan los contenidos cuya retirada se ha solicitado e incluye la obligación de que se publiquen en una base de datos de acceso público las decisiones de retirada de contenidos.

Sin embargo, la Agencia rechaza este argumento con la afirmación de que el artículo 15.4 del proyecto de reglamento citado recoge que los prestadores de servicios de alojamiento de datos deberán publicar en una base de datos de acceso público las decisiones de retirar contenidos concretos proporcionados por destinatarios del servicio, o inhabilitar el acceso a ellos mismos, y dispone expresamente que dicha información no contendrá datos personales. Pero esta base de datos tendrá que gestionarla la Comisión Europea.

Derecho al olvido

Google alega, por último, que las solicitudes de retirar contenidos no están relacionadas con los derechos de protección de datos, sino con otros derechos (por ejemplo, derechos de propiedad intelectual, derecho al honor o de marcas) y que, para ejercer el derecho al olvido, los interesados disponen de un formulario especial que no se traslada al Proyecto Lumen.

En relación con este argumento, la Agencia responde que la comunicación al Proyecto Lumen de los datos personales de las solicitudes de retirada de contenido en línea implica dejar de atender la solicitud de supresión de datos personales.

Además, las deficiencias en el proceso diseñado para la formulación, recepción y gestión del ejercicio del derecho al olvido del artículo 17 del RGPD constituyen una infracción diferenciada de la comunicación de datos personales de las solicitudes de retirada de contenidos al Proyecto Lumen, en la medida en que resulta de una conducta diferenciada.

Por ello, la infracción del artículo 17 del RGPD se comete con independencia de que los datos personales incluidos en la solicitud del interesado se comuniquen o no al Proyecto Lumen.

En este sentido, afirma la Agencia que el sistema diseñado por Google que conduce al interesado a través de diversas páginas para cumplimentar su solicitud, obligándole a seleccionar y marcar opciones puede confundir al interesado y provocar que termine cumplimentando un formulario inapropiado sometido a un régimen normativo distinto, que podrá ser objeto de comunicación al Proyecto Lumen con los datos personales.

Esta situación, entiende la Agencia, la ha provocado Google y su solución se decidirá conforme a las políticas internas de esta misma entidad.

Solo Google decide qué solicitudes responden a un criterio u otro, lo que equivale a asumir que decide sobre qué solicitudes se resolverán aplicando el RGPD y cuáles no. Según la Agencia, permitir está situación supondría dejar al criterio de Google la decisión de cuándo debe aplicarse o no el RGPD y aceptar que pueda eludir la aplicación de la normativa de protección de datos personales y, en concreto para este caso, aceptar que el derecho al olvido o de supresión de datos personales está condicionado por el sistema de eliminación de contenidos diseñado por la entidad responsable.

Requerimientos a Google

Además, de la sanción económica, la AEPD ha requerido a Google para que:

  1. adecue a la normativa de protección de datos personales:
    • la comunicación de datos al Proyecto Lumen,
    • los procesos de ejercicio y atención del derecho de supresión frente a las solicitudes de retirada de contenido de sus productos y servicios, y
    • la información que facilita a los usuarios;
  2. suprima todos los datos personales de las solicitudes de derecho de supresión que haya comunicado al Proyecto Lumen e inste a esta entidad para que suprima y cese en la utilización de los datos personales que haya recibido.

1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.