Desde que se conocen los importes de las sanciones impuestas por la Agencia Española de Protección de Datos (desde el año 2004), Google podría ser sancionado con la multa más alta impuesta en ese periodo: 2,4 millones de euros.
En agosto de 2010 se conoció que los coches que Google utiliza para su proyecto Street View en España, además de tomar fotografías de todas nuestras calles, también interceptaban las comunicaciones privadas de los ciudadanos mientras utilizaban su red WiFi. De confirmarse las sospechas iniciales, este hecho podría suponer la comisión de un total de cinco infracciones en materia de protección de datos, tal y como ha declarado la Agencia Española de Protección; en concreto, Google habría cometido dos infracciones graves y tres muy graves, cuya multa total, en el peor de los casos para Google, podría ascender hasta los 2.4 millones de euros.
La Agencia Española de Protección de Datos (AEPD), en una nota de prensa hecha pública el 18 de octubre de 2010, concluye, tras realizar una inspección al material que Google puso a su disposición, que podría haber cometido hasta cinco infracciones, pero ¿cuáles son estas infracciones?
En primer lugar es necesario precisar que la AEPD, de las cinco infracciones totales, imputa dos a Google Inc. y tres a Google Spain.
Respecto a las infracciones atribuibles a Google Spain, la AEPD señala tres:
1º: Recogida y tratamiento de datos personales sin consentimiento: el artículo 6.1 y 6.2 de la Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal (LOPD) estipula:
"1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado."
Esto es, con carácter general es necesario el consentimiento para el tratamiento de nuestros datos personales, salvo los supuestos que dispone el apartado segundo donde no encaja la conducta de Google.
Pues bien, dado que Google ha estado captando datos de carácter personal sin el debido consentimiento de los afectados, la AEPD entiende que ha podido vulnerar este artículo 6.1.
Recordemos que según la nota de prensa de la AEPD, en la inspección se ha probado que Google captó datos relativos a correos electrónicos, nombres de usuarios y contraseñas, mensajes de chat, etc, en definitiva un gran volumen de datos de carácter personal.
Esta conducta está tipificada como infracción GRAVE, con sanción de multa de entre 60 001 euros a 300 000 euros.
2º: Captar datos que permiten acceder a datos especialmente protegidos.
La LOPD otorga una especial protección a determinada naturaleza de datos, por ejemplo, los relativos a la salud, a la ideología política o a creencias religiosas.
De la nota de prensa se desprende que la inspección de datos constató que los coches de Google habían obtenido información suficiente para acceder a datos especialmente protegidos de los afectados, así por ejemplo, nombres de usuarios y contraseña de acceso a servicios de esta naturaleza.
El artículo 7.2 de la LOPD indica:
"Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias"
Y por su parte, el 7.3 de la LOPD dispone:
"Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente."
Es por tanto imprescindible un consentimiento expreso de los afectados para permitir el tratamiento de determinados datos de carácter personal especialmente sensibles.
Google obtuvo dichos datos sin el debido consentimiento.
Esta conducta está tipificada como infracción MUY GRAVE, con sanción de multa de entre 300 001 euros a 600 000 euros.
3º: Transferir datos de carácter personal a un tercer Estado sin las debidas garantías.
El artículo 33.1 de la LOPD establece:
"No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas."
Google ha reconocido, y así se desprende de la nota de prensa, que los discos duros donde almacenaba toda esta información de carácter personal ha sido enviada a Estados Unidos. Para que Google pueda transferir los datos personales recabados en España, es necesario un doble requisito: que se observen las garantías dispuestas en nuestra LOPD y que se obtenga una autorización previa del Director de la AEPD.
En este caso concreto, como ya ha quedado patente, ni se respetó lo dispuesto en la LOPD ni como es lógico existía autorización del Director de la AEPD.
Vulnerar este precepto está tipificado como infracción MUY GRAVE, con sanción de multa de entre 300 001 euros a 600 000 euros.
Respecto a las infracciones cometidas por Google Inc., debe indicarse que son las mismas que las imputadas a Google Spain excepto la relativa a la transferencia internacional de datos, como es evidente.
Si a esto sumamos, que la propia LOPD establece como criterio para graduar las sanciones la "naturaleza de los derechos personales afectados, el volumen de los tratamientos efectuados, y al grado de intencionalidad" entre otros, es presumible que la AEPD imponga dichas sanciones en su cuantía máxima, toda vez que la naturaleza de los derechos personales afectados encaja dentro de la más estricta privacidad de un ciudadano (lo que escribe por Internet, a quién escribe, qué webs visita, datos de acceso a su banca online, etc), que el volumen de los tratamiento efectuados se debe contar por miles, y que presuntamente no fue un error por parte de Google sino que existía intencionalidad en realizar esta conducta.
Todas estas consecuencias jurídicas sin perjuicio de la posible responsabilidad penal en la que pueda incurrir dado que tiene una causa penal abierta en el juzgado de instrucción nº 45 de Madrid por estos mismos hechos.
