Multa récord a Google en España

Según figura en esta resolución, Google ha vulnerado los artículos 6 y 17 del Reglamento General de Protección de Datos (RGPD) que regulan el derecho al olvido por ceder datos a terceros sin legitimación para ello y obstaculizar el derecho de supresión de los ciudadanos.

10 millones de euros de multa a Google

La resolución de la AEPD ha aparecido en el BOE del 18 de mayo como una resolución adoptada el pasado 9 de mayo. Cabe recordar que se publica en el Boletín Oficial del Estado toda la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica, como es el caso.

En esta resolución constan dos multas diferentes, una por cada una de los artículos vulnerados y de idéntica cuantía: 5 millones de euros.

Además de esta multa económica, la AEPD comunica a Google su obligación de tomar las medidas necesarias para adecuar a la normativa de protección de datos personales las operaciones de tratamiento y los procedimientos de ejercicio del derecho objeto de las actuaciones realizadas.

La resolución recoge que esta comunicación de datos por parte de Google al Proyecto Lumen se impone al usuario que pretenda utilizar sus formularios, sin opción de oponerse a la misma y, por tanto, sin que exista un consentimiento válido para que esa comunicación se lleve a cabo.

Artículos 6 y 17 vulnerados por Google

El Reglamento General de Protección de Datos es un documento que recoge la normativa referente a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Según la resolución de la AEPD, Google ha vulnerado tanto el artículo 6 como el artículo 17. Estos describen los siguientes derechos.

El Artículo 6 hace referencia a la «licitud del tratamiento». Expresa que el tratamiento de datos solamente será lícito si se cumplen algunas condiciones como que el interesado diera su consentimiento, el tratamiento sea necesario para la ejecución de un contrato, necesario para el cumplimiento de una obligación legal, o de una misión realizada para el interés público.

Por su parte, el Artículo 17 habla del derecho a supresión, conocido comúnmente como «el derecho al olvido». Este refleja el derecho del interesado a obtener » sin dilación indebida del responsable del tratamiento la supresión de los
datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales».

Esto se aplica principalmente cuando los datos recogidos no sean necesarios para los fines que fueron recogidos o tratados de otro modo, el interesado retire el consentimiento inicial o se oponga al mismo tras una modificación de las condiciones o necesiten suprimirse por imperativo legal.

La AEPD considera que Google vulneró ambos artículos, y por tanto la multa es de 5 millones de euros por cada uno de ellos.

Vodafone también ha sido sancionada

Vodafone, que hasta ahora también ostentaba el récord de la mayor sanción que había impuesto la AEPD, con 8 millones de euros, ha vuelto a ser sancionada, tal y como recoge el BOE por ser un caso de más de un millón de euros.

En esta ocasión, la sanción impuesta es de 3.940.000 euros y los motivos son la vulneración de los Artículos 5.1.f) y 5.2 del RGPD.

El Artículo 5.1 f) recoge la obligación de que los datos tratados sean «tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

El Artículo 5.2 obliga a que «el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 [correcto tratamiento] y capaz de demostrarlo («responsabilidad proactiva»).