Google en Francia mult贸 50 millones de euros por GDPR por mal uso de datos personales

El 21 de enero de 2019, la Comisi贸n Nacional de Tecnolog铆a de la Informaci贸n y Derechos Humanos de Francia (CNIL) mult贸 a Google con 50 millones de euros por "falta de transparencia, informaci贸n deficiente y falta de consentimiento v谩lido" al procesar y utilizar los datos personales de los usuarios para mostrar anuncios personalizados.

La imposici贸n de una gran multa fue el resultado de una investigaci贸n. Todo comenz贸 con el hecho de que el 25 y 28 de mayo de 2018, CNIL recibi贸 quejas colectivas de las asociaciones de derechos humanos None Of Your Business (NOYB) y La Quadrature du Net (LQDN), que representan los intereses de m谩s de 10,000 personas. En estas dos quejas, las asociaciones acusaron a Google de la falta de un marco legal apropiado para el procesamiento de los datos personales de los usuarios, incluida la personalizaci贸n de la publicidad.

El 1 de junio de 2018, de conformidad con las disposiciones sobre cooperaci贸n europea establecidas por el GDPR, CNIL envi贸 dos quejas a sus colegas europeos para confirmar que tiene la competencia para considerarlas. El hecho es que en la UE existe un mecanismo de "ventanilla 煤nica". Primero debe determinar en qu茅 pa铆s se encuentra la "instituci贸n principal" del demandado. En consecuencia, el cuerpo legal de la UE de este pa铆s se convertir谩 en el cuerpo "l铆der" en la consideraci贸n de este caso. Antes de tomar una decisi贸n, el iniciador del proceso debe coordinarse con otras autoridades nacionales de protecci贸n de datos.

La sede europea de Google se encuentra en Irlanda. Sin embargo, en este caso, en el momento de la revisi贸n, result贸 que la oficina irlandesa no ten铆a la autoridad para tomar decisiones sobre los procedimientos llevados a cabo bajo el sistema operativo Android y los servicios proporcionados por Google LLC en relaci贸n con la creaci贸n de una cuenta de usuario al configurar un tel茅fono m贸vil.

Dado que el sistema de Ventanilla 脷nica no era aplicable, la comisi贸n CNIL francesa recibi贸 el poder de tomar decisiones con respecto a Google LLC. Lo hizo aplicando el nuevo Reglamento Europeo de Protecci贸n de Datos (GDPR) .

Seg煤n el GDPR , el monto de una multa para una empresa se determina en proporci贸n al delito cometido. Una pr谩ctica t铆pica de la UE en caso de violaciones repetidas sobre el mismo tema es un aumento de la multa. Puede aumentar r谩pidamente, por lo que la mayor铆a de las empresas tienden a solucionar el problema r谩pidamente. Cada interacci贸n con las agencias de protecci贸n de datos tiene lugar de la misma manera: advertencia, multa, aumento de multa. La multa m谩xima es de 20 millones de euros o el 4% de la facturaci贸n anual del a帽o fiscal anterior para la empresa, lo que sea mayor. La pena m谩xima se introdujo para garantizar que gigantes como Facebook y Google no ignoren la ley, simplemente paguen una multa y contin煤en con la pr谩ctica anterior. Por ejemplo, por la violaci贸n de la legislaci贸n rusa sobre el almacenamiento de datos personales, Facebook y Twitter ahora enfrentan una multa de hasta 5,000 rublos .

Para atender las quejas, en septiembre de 2018, la CNIL realiz贸 una auditor铆a en l铆nea. El objetivo era verificar el cumplimiento de la ley GDPR mediante el an谩lisis de las acciones y documentos del usuario a los que puede acceder mediante la creaci贸n de una cuenta de Google al configurar su tel茅fono m贸vil para Android.

La auditor铆a revel贸 dos filas de violaciones del GDPR.

Primera violaci贸n: incumplimiento de las obligaciones para garantizar la transparencia y la rendici贸n de cuentas. Para los usuarios, era dif铆cil acceder a la informaci贸n b谩sica que la empresa estaba obligada a brindarles de acuerdo con el GDPR, que inclu铆a:

  • los fines para los que se procesan los datos;
  • per铆odo de retenci贸n de datos.

Las categor铆as de datos utilizadas para personalizar la publicidad se distribuyeron en varios documentos que tienen botones y enlaces separados para obtener m谩s informaci贸n. Por lo tanto, la informaci贸n relevante est谩 disponible solo despu茅s de unos pocos pasos, y a veces requiere hasta cinco o seis acciones del usuario. En la medida m谩xima, la informaci贸n sobre la recopilaci贸n de informaci贸n para personalizar la publicidad o para la geolocalizaci贸n est谩 oculta para las personas. Adem谩s, la informaci贸n proporcionada no siempre es clara.

Como resultado, los usuarios no pueden entender el alcance de la vigilancia instalada por Google, aunque estos m茅todos son "especialmente masivos e intrusivos debido a la cantidad de servicios ofrecidos (aproximadamente 20), la cantidad y la naturaleza de los datos procesados 鈥嬧媦 combinados", admiti贸 la agencia francesa.

Google deja en claro a los usuarios que se requiere el consentimiento expl铆cito de una persona para recopilar datos. Parece que Google tiene todo el derecho de recopilar datos personales, y no se requiere el consentimiento del usuario.

Segunda violaci贸n: incumplimiento del requisito de una base legal para procesar la personalizaci贸n de publicidad . La Comisi贸n reconoci贸 la informaci贸n insatisfactoria y la falta de consentimiento v谩lido del usuario para el procesamiento de datos para la orientaci贸n publicitaria.

La informaci贸n sobre los procedimientos "no permite al usuario darse cuenta de la escala". Por ejemplo, la secci贸n "Personalizaci贸n de anuncios" no habla sobre los muchos servicios, sitios, aplicaciones involucradas en el procesamiento de datos (b煤squeda de Google, Youtube, Google Maps, Play Store, Google Photo, etc.) y, por lo tanto, el volumen de datos procesados 鈥嬧媦 combinados . El experimento tambi茅n mostr贸 que el consentimiento obtenido no es "espec铆fico" y "inequ铆voco".

Como resultado, se lleg贸 a una conclusi贸n sobre una violaci贸n constante de los est谩ndares GDPR. "Esta es la primera vez que la CNIL aplica la pena m谩xima estipulada por la regulaci贸n general de protecci贸n de datos", dijo el informe de la CNIL.

Source: https://habr.com/ru/post/437026/


All Articles