El 21 de enero de 2019, la Comisión Nacional de Tecnología de la Información y Derechos Humanos de Francia (CNIL)
multó a Google con 50 millones de euros por "falta de transparencia, información deficiente y falta de consentimiento válido" al procesar y utilizar los datos personales de los usuarios para mostrar anuncios personalizados.
La imposición de una gran multa fue el resultado de una investigación. Todo comenzó con el hecho de que el 25 y 28 de mayo de 2018, CNIL recibió quejas colectivas de las asociaciones de derechos humanos None Of Your Business (NOYB) y La Quadrature du Net (LQDN), que representan los intereses de más de 10,000 personas. En estas dos quejas, las asociaciones acusaron a Google de la falta de un marco legal apropiado para el procesamiento de los datos personales de los usuarios, incluida la personalización de la publicidad.
El 1 de junio de 2018, de conformidad con las disposiciones sobre cooperación europea establecidas por el GDPR, CNIL envió dos quejas a sus colegas europeos para confirmar que tiene la competencia para considerarlas. El hecho es que en la UE existe un mecanismo de "ventanilla única". Primero debe determinar en qué país se encuentra la "institución principal" del demandado. En consecuencia, el cuerpo legal de la UE de este país se convertirá en el cuerpo "líder" en la consideración de este caso. Antes de tomar una decisión, el iniciador del proceso debe coordinarse con otras autoridades nacionales de protección de datos.
La sede europea de Google se encuentra en Irlanda. Sin embargo, en este caso, en el momento de la revisión, resultó que la oficina irlandesa no tenía la autoridad para tomar decisiones sobre los procedimientos llevados a cabo bajo el sistema operativo Android y los servicios proporcionados por Google LLC en relación con la creación de una cuenta de usuario al configurar un teléfono móvil.
Dado que el sistema de Ventanilla Única no era aplicable, la comisión CNIL francesa recibió el poder de tomar decisiones con respecto a Google LLC. Lo hizo aplicando el nuevo
Reglamento Europeo
de Protección de Datos (GDPR) .
Según el GDPR , el monto de una multa para una empresa se determina en proporción al delito cometido. Una práctica típica de la UE en caso de violaciones repetidas sobre el mismo tema es un aumento de la multa. Puede aumentar rápidamente, por lo que la mayoría de las empresas tienden a solucionar el problema rápidamente. Cada interacción con las agencias de protección de datos tiene lugar de la misma manera: advertencia, multa, aumento de multa. La multa máxima es de 20 millones de euros o el
4% de la facturación anual del año fiscal anterior para la empresa, lo que sea mayor. La pena máxima se introdujo para garantizar que gigantes como Facebook y Google no ignoren la ley, simplemente paguen una multa y continúen con la práctica anterior. Por ejemplo, por la violación de la legislación rusa sobre el almacenamiento de datos personales, Facebook y Twitter ahora
enfrentan una multa de hasta 5,000 rublos .
Para atender las quejas, en septiembre de 2018, la CNIL realizó una auditoría en línea. El objetivo era verificar el cumplimiento de la ley GDPR mediante el análisis de las acciones y documentos del usuario a los que puede acceder mediante la creación de una cuenta de Google al configurar su teléfono móvil para Android.
La auditoría reveló dos filas de violaciones del GDPR.
Primera violación:
incumplimiento de las obligaciones para garantizar la transparencia y la rendición de cuentas. Para los usuarios, era difícil acceder a la información básica que la empresa estaba obligada a brindarles de acuerdo con el GDPR, que incluía:
- los fines para los que se procesan los datos;
- período de retención de datos.
Las categorías de datos utilizadas para personalizar la publicidad se distribuyeron en varios documentos que tienen botones y enlaces separados para obtener más información. Por lo tanto, la información relevante está disponible solo después de unos pocos pasos, y a veces requiere hasta cinco o seis acciones del usuario. En la medida máxima, la información sobre la recopilación de información para personalizar la publicidad o para la geolocalización está oculta para las personas. Además, la información proporcionada no siempre es clara.
Como resultado, los usuarios no pueden entender el alcance de la vigilancia instalada por Google, aunque estos métodos son "especialmente masivos e intrusivos debido a la cantidad de servicios ofrecidos (aproximadamente 20), la cantidad y la naturaleza de los datos procesados y combinados", admitió la agencia francesa.
Google deja en claro a los usuarios que se requiere el consentimiento explícito de una persona para recopilar datos. Parece que Google tiene todo el derecho de recopilar datos personales, y no se requiere el consentimiento del usuario.
Segunda violación:
incumplimiento del requisito de una base legal para procesar la personalización de publicidad . La Comisión reconoció la información insatisfactoria y la falta de consentimiento válido del usuario para el procesamiento de datos para la orientación publicitaria.
La información sobre los procedimientos "no permite al usuario darse cuenta de la escala". Por ejemplo, la sección "Personalización de anuncios" no habla sobre los muchos servicios, sitios, aplicaciones involucradas en el procesamiento de datos (búsqueda de Google, Youtube, Google Maps, Play Store, Google Photo, etc.) y, por lo tanto, el volumen de datos procesados y combinados . El experimento también mostró que el consentimiento obtenido no es "específico" y "inequívoco".
Como resultado, se llegó a una conclusión sobre una violación constante de los estándares GDPR. "Esta es la primera vez que la CNIL aplica la pena máxima estipulada por la regulación general de protección de datos", dijo el informe de la CNIL.