Multas a Google Inc


Es noticia en estos días la Resolución de la Agencia Española de Protección de Datos que sanciona a GOOGLE por incumplir la normativa sobre protección de datos de carácter personal.

En concreto, es la Resolución 2892/2013, dictada en el Procedimiento Sancionador nº  345/2013.

¿Y qué habría vulnerado exactamente Google con su política de privacidad según la AEPD? Pues ni más ni menos que:

1º. El artículo 4.1 LOPD, que establece que: Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean  adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas,  explícitas y legítimas para las que se hayan obtenido. Esta vulneración constituye infracción grave según la LOPD.

2º. El artículo 4.2 LOPD (también infracción grave), según el cual: Los datos de carácter personal objeto de tratamiento no  podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido  recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

3º. El artículo 5.1 LOPD (infracción leve, en este caso), que recoge el conocido principio de información, según el cual se ha de informar al titular de los datos, sobre todos los puntos indicados por dicho precepto.

4º. El artículo 6.1 LOPD (infracción grave), o principio del consentimiento. Establece con claridad este artículo que: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del  afectado, salvo que la Ley disponga otra cosa.

5º. El artículo 4.5 LOPD (infracción grave) que determina lo siguiente:

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o  pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el  mantenimiento íntegro de determinados datos.

6º. El artículo 15 y el 16 LOPD, en relación con los artículos 27 a 36 del Reglamento de desarrollo de la LOPD (infracción igualmente grave), al considerar la AEPD que Google estaría impidiendo u obstaculizando el ejercicio de los derechos de acceso, rectificación, cancelación y oposición).

Y estas son las multas que finalmente se imponen a GOOGLE INC (ojo, que no a Google Spain, SL):

1. Sanción de 300.000 euros por infracción del artículo 6.1 LOPD.

2. Sanción de 300.000 euros por infracción del artículo 4.5 en relación con el 16 LOPD.

3. Sanción de 300.000 euros por infracción de los artículos 15 y 16 LOPD en relación con los arts. 27 a 36 del Reglamento de la LOPD.

Además, se requiere a la empresa para que subsane, sin dilación, las infracciones cometidas.

Si quieres leer más, puedes hacerlo en la página de la Agencia Española de Protección de Datos, en este enlace:

https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2013/notas_prensa/news/2013_12_19-ides-idphp.php

 

 

 

 

 

Funcion autocompletar Google


En el Procedimiento de Tutela de Derechos nº  1105/2012 de la Agencia Española de Protección de Datos, se dictó la Resolución número 2647/2012, en la que se trata un tema que a mí me parece bastante curioso: el de la función autocompletar de Google.

Se trata de esa función que tiene activada Google por la cual, cuando empiezas a escribir un término de búsqueda en el conocido buscador, éste añade o sugiere palabras o frases a los vocablos que tú has introducido.

La resolución que ahora os comento se dictó ante la denuncia formulada por un particular frente a GOOGLE SPAIN, SL, quien ejercitaba su derecho de oposición porque al introducir su nombre y apellidos en el campo de búsqueda de la función Autocompletar, se le asocia a la palabra “gay”, resultándole “molesto y ofensivo”, convirtiéndose en “una puerta a la difamación”.

Sobre esta función “autocompletar” explica Google que se trata de un algoritmo que predice los términos de búsqueda, sin intervención manual ni humana, y que los datos que allí aparecen no se pueden considerar información concerniente  a personas. Concretamente se dice que:

Se trata de una mera yuxtaposición de términos de búsqueda que la estadística indica que con cierta frecuencia aparecen juntos, sin que se pueda establecer una relación semántica entre ellos, sin que, ni mucho menos, unos proporcionen información sobre los otros, y sin que pueda decirse que constituyen información acerca de una persona.

Pero lo cierto es que la Agencia Española de Protección de Datos dice que Google debió admitir el derecho de oposición ejercitado por el interesado porque entiende que sí que hay un tratamiento de datos de carácter personal y además de datos especialmente protegidos, ya que en este caso se asocia una determinada condición sexual a los nombres y apellidos de una persona identificable. Y por si fuera poco, esos datos se ceden a través de internet a usuarios del buscador de todo el mundo.

Y considera la Agencia que no procede la alegación de Google consistente en que no habría tratamiento de datos, porque la función autocompletar se gestiona mediante algoritmos y procedimientos totalmente automatizados. La AEPD tiene claro que los tratamientos, por muy automatizados que sean, constituyen supuestos que se encuentran bajo el ámbito de aplicación de la LOPD. De hecho, el artículo 3.C) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece que son tratamientos de datos de carácter personal:

Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Por todo ello, la resolución  comentada estima la petición de oposición del interesado e insta a Google para que adopte las medidas necesarias que eviten la asociación indebida de los datos personales del reclamante en los índices sugeridos producidos por la función Autocompletar con el término “gay”.

Derechos ARCO y computo plazos



El ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO, en fórmula abreviada) se regula con detalle en los artículos 23 y siguientes del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En lo que se refiere a los plazos, la norma fija los siguientes:

1. La solicitud de ACCESO ha de ser respondida en el plazo de un mes, y el acceso se facilitará en el plazo de 10 días a contar desde la comunicación de concesión del acceso.

2. En las solicitudes de RECTIFICACIÓN Y CANCELACIÓN          , el responsable del fichero tiene un plazo de diez días para contestar, a contar desde la recepción de la solicitud.

3. En las solicitudes de OPOSICIÓN, el responsable cuenta con idéntico plazo de 10 días para responder.

¿Y cómo se han de computar estos plazos?

Aclaró este tema la propia Agencia Española de Protección de Datos, por escrito, en su 1ª Sesión Anual Abierta del año 2008. Así, a la pregunta “¿Cómo operan los plazos computados por días en el nuevo Reglamento (por ejemplo para el ejercicio de los derechos de rectificación, cancelación y oposición?”, se respondió que:

Los plazos se computarán en días hábiles, excluyendo los domingos y festivos en el lugar donde se encuentre quien deba resolver la solicitud de ejercicio de los derechos.

Y mucho ojo con el incumplimiento de alguno de estos plazos, ya que darán lugar con mucha probabilidad al inicio de un expediente sancionador contra ti o tu empresa.