La Agencia Española de Protección de Datos (AEPD) ha impuesto sanciones a Google LLC – por importe total de 10 millones de euros – y a Vodafone – por importe de 3,9 millones de euros -.

En el caso de Google LLC, la AEPD entiende que ésta ha cometido dos infracciones “muy graves” por dos hechos concretos; ceder datos a terceros sin legitimación para ello – infringiendo el art. 6 del RGPD -, y obstaculizar el derecho de supresión de los ciudadanos “derecho al olvido” – contraviniendo disposiciones del artículo 17 RGPD -.

A criterio de la AEPD, Google LLC es responsable del tratamiento analizado, que se lleva a cabo en EEUU pero con incidencia en espacio europeo. La AEPD considera que, en  ámbito del Proyecto Lumen, la sancionada envío información sobre peticiones de retirada de contenido que permitía identificar al ciudadano, “frustrando la finalidad del ejercicio de derecho de supresión”, ya que le obligaba a remitir solicitud, sin que el interesado pudiera oponerse, por lo que la comunicación se llevaba  a cabo “sin consentimiento válido” del usuario.

A mayor abundamiento, la AEPD entiende que el usuario no fue debidamente informado, pues en la política de privacidad la sancionada no hace mención al tratamiento analizado, ni éste se incluye en las finalidades de comunicación al Proyecto Lumen.

Por otro lado, el órgano regulador entiende que Google LLC “obstaculiza el derecho de supresión de los ciudadanos” (derecho al olvido) ya que ésta no indica claramente «si la solicitud se formula invocando la normativa de protección de datos personales«, por lo que la AEPD entiende que la formula usada por Google LLC, y puesta al servicio del usuario  para cumplimentar el formulario, «puede provocar que éste termine marcando una opción que se adapte a los motivos que considera apropiados a su interés«.

Respecto a la sanción impuesta  a Vodafone, que se deriva de distintas reclamaciones y procedimientos sancionadores analizados por la AEPD, ésta considera que la sancionada ha vulnerado el principio de integridad y confidencialidad (art. 5.1, f) y el principio de responsabilidad proactiva (art. 5.2) recogidos en el Reglamento General de Protección de Datos.

En concreto, la AEPD concluye que, tras analizar “la adecuación de las medidas de seguridad implementadas por VDF en el marco de la gestión del riesgo para la correcta identificación de los clientes en el momento de expedir el duplicado de la tarjeta SIM”, Vodafone facilitó duplicados de tarjetas SIM a terceros, sin que estos fueran los titulares de las mismas, evidenciándose “la falta de un modelo eficaz de evitación del riesgo de suplantación de identidad, la ausencia de medidas de seguridad adecuadas y tendentes a asegurar el procedimiento de identificación y entrega de la tarjeta SIM, la materialización de los riesgos, la reacción temporal tardía frente a los hechos descritos, amén de la insuficiencia de las medidas adoptadas “.

Enlaces de interés;

La AEPD sanciona a Google LLC por ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión 

Resolución de procedimiento sancionador (Expediente Nº: PS/00140/2020)

Resolución de procedimiento sancionador (Procedimiento N.º: PS/00001/2021)

Más información en nuestra sección de Smartnews

Redacción/autor: Gabriel Tamames