La AEPD sanciona a Google LLC con 10 millones de euros por ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión

La Agencia Española de Protección de Datos (AEPD) ha dictado resolución del procedimiento iniciado contra la compañía Google LLC en la que declara la existencia de dos infracciones muy graves de la normativa de protección de datos e impone una sanción de 10 millones de euros por ceder datos a terceros sin legitimación para ello y obstaculizar el derecho de supresión de los ciudadanos (artículos 6 y 17 del Reglamento General de Protección de Datos).

Google LLC es la responsable del tratamiento analizado y lo lleva a cabo en EEUU. En el caso de la comunicación de datos a terceros, la Agencia ha constatado que Google LLC envía al Proyecto Lumen información de solicitudes que le realizan los ciudadanos, incluida su identificación, dirección de correo electrónico, los motivos alegados y la URL reclamada. La misión de ese proyecto es la recogida y puesta a disposición de solicitudes de retirada de contenido, por lo que la Agencia considera que, dado que se remite toda la información contenida en la solicitud del ciudadano para que se incluya en otra base de datos accesible al público y para que se divulgue a través de una web, “supone en la práctica frustrar la finalidad del ejercicio del derecho de supresión”.

La resolución recoge que esta comunicación de datos por parte de Google LLC al Proyecto Lumen se impone al usuario que pretenda utilizar sus formularios, sin opción de oponerse a la misma y, por tanto, sin que exista un consentimiento válido para que esa comunicación se lleve a cabo. Establecer esta condición en el ejercicio de un derecho reconocido a los interesados no está amparado por el Reglamento General de Protección de Datos al generarse “un tratamiento adicional de los datos sobre los que versa la solicitud de supresión al comunicarlos a un tercero”. Además, en la política de privacidad de Google LLC, no se hace mención a este tratamiento de datos personales de los usuarios, y tampoco aparece entre las finalidades la comunicación al Proyecto Lumen.

La AEPD también recoge en su resolución que, presentada la solicitud de retirada de contenido y atendido el derecho, es decir, acordada la supresión de los datos personales, “no cabe un tratamiento posterior de los mismos, como es la comunicación que Google LLC realiza al Proyecto Lumen”.

En cuanto al ejercicio de derechos de los ciudadanos, la AEPD detalla en su resolución que “es difícil deducir si la solicitud se formula invocando la normativa de protección de datos personales, sencillamente porque esta normativa no se menciona en ninguno de los formularios, con independencia del motivo que el interesado seleccione de entre las opciones propuestas, salvo en el formulario denominado ‘Retirada en virtud de la ley de privacidad de la UE’, el único disponible que contiene una referencia expresa a esta normativa”.

NOTICIA COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS