Multa récord a Google por no respetar el Derecho al Olvido

España ha dado un paso al frente en la protección de la intimidad de todos los usuarios de la red. Desde hace años se lleva denunciando la excesiva accesibilidad que permiten los gigantes tecnológicos a cualquier información del presente o del pasado de cualquier ciudadano, así como imágenes o vídeos. Las redes sociales han favorecido que urja aún más acometer este conflicto. Esta permisividad Google la justificaba hasta ahora como «un ejercicio de transparencia». Sin embargo, la Agencia Española de Protección de Datos decide ahora actuar en defensa del Derecho al Olvido.

Ayer el Boletín Oficial del Estado recogía una multa de récord a Google. Ésta alcanza la penalización de 10 millones de euros por vulnerar los artículos 6 y 17 del Reglamento de Protección de Datos. La actividad de Vodafone tampoco ha quedado impune, siendo también penalizada aunque por un volumen inferior (4 millones de euros). En este segundo caso la multa de la AEPD responde a la vulneración de los artículos 5.1 y 5.2 del RGPD y no asegurar el nivel de seguridad y confidencialidad necesarios a un cliente. La Ley de Protección de Datos establece que todas las multas contra una persona jurídica que superen el millón de euros aparecerán publicadas en el BOE.

En lo referente a Google LLC la AEPD aprecia dos infracciones «muy graves», castigadas con multas de 5 millones cada una (10 millones). Estas dos infracciones consisten en «ceder datos a terceros» y «obstaculizar el derecho a la supresión (o al olvido) de los ciudadanos».

Aunque es desconocido por muchos, Google LLC (donde se integran las actividades de su buscador homónimo y de la herramienta Maps, entre otras) cuenta con un apartado específico para que las personas que quieran hacerlo, puedan solicitar -por motivos de privacidad- la retirada de resultados obtenidos en búsquedas. Pero paradójicamente, para hacerlo estos usuarios deben cumplimentar un formulario facilitando datos como país de residencia, nombre completo, correo electrónico, URL del contenido que incluye la información personal que debe ser retirada, la información personal que se quiere eliminar y los motivos. Esa solicitud (con toda la información que contiene) se incluye en otra base de datos accesible al público (lumendatabase.org), algo que para la Agencia supone una evidente contradicción y mala praxis. En concreto, la AEPD valora que «el hecho de que el ciudadano tenga que remitir la solicitud para que se incluya en otra base de datos (el proyecto de la Universidad de Harvard, conocido como Lumen) y para que se divulgue a través de esa web, frustra la finalidad del ejercicio del derecho de supresión». Por si fuera poco, la Agencia denuncia que «la comunicación de datos por parte de Google LLC al Proyecto Lumen es un paso obligado para quienes quieren retirar contenidos y al que no pueden oponerse, sin un consentimiento válido por parte del usuario».

Más allá de las sanciones económicas la Agencia exige que adecúe a la normativa de protección de datos personales la comunicación de datos al Proyecto Lumen, los procesos de ejercicio y atención del derecho de supresión, y la información que ofrece a sus usuarios. Como también debe suprimir todos los datos personales facilitados en todas las solicitudes del derecho de supresión que ha enviado al Proyecto Lumen, mientras también es responsable de instar a este último para que suprima y deje de usar los datos personales que le ha comunicado.

Por su parte, en declaraciones a EFE, fuentes de Google se refugian en que «como muchas otras compañías, colaboramos con Lumen para ayudar a los investigadores y al público en general a entender mejor las solicitudes de retirada de contenido en línea». Al menos públicamente Google sí se compromete a «seguir interactuando con los reguladores en materia de privacidad, incluida la Agencia Española de Protección de Datos (AEPD), para reevaluar nuestras prácticas».

Pero dicha compañía no ha sido la única sancionada por la AEPD. En el caso de Vodafone su resolución se justificapor «no garantizar un nivel de seguridad y de confidencialidad adecuados a uno de sus clientes y por vulnerar el principio de responsabilidad proactiva. Éste obliga a la empresa a poner en marcha las medidas técnicas apropiadas para garantizar el cumplimiento de la protección de datos». Esta compañía aún no ha reaccionado.