La AEPD vs Google
El pasado día 13 de febrero, analizamos en el ICAB, dentro de los Digital Loft organizados por la Sección TIC, la interminable resolución que la AEPD dictó vs Google el pasado mes de diciembre.
Como ya ha sido largamente comentado, la Autoridad de Protección de Datos española, impuso tres sanciones de 300.000 € a Google Inc. (la empresa con sede en California), exonerando expresamente a Google Spain, SL de las mismas infracciones, per incumplimiento de los artículos 6.1 (consentimiento), 4.5 (retención injustificada de datos) y 15 y 16 (derechos ARCO), todos ellos de la LOPD.
Como digo la resolución (de 139 páginas), analiza de forma pormenorizada las características de la nueva Política de Privacidad de Google (efectiva desde el 01-03-12 y, por cierto, ya modificada) y desmenuza la forma en que dicha política pisotea los derechos garantizados en la LOPD.
Lógico, al tratarse de una política redactada a la luz de una legislación diferente. Y ese es a mi modo de ver el elemento esencial de dicha resolución, que no es otro que justificar la aplicabilidad de la LOPD a una empresa con sede en California (EUA).
Resulta, por tanto, necesario analizar de forma crítica, los criterios que usa la AEPD para determinar que la LOPD es aplicable, circunstancia que origina todos los incumplimientos atribuidos a Google. La AEPD indica que la LOPD es aplicable ya que el tratamiento de datos que realiza Google, encaja en los dos supuestos de aplicación extraterritorial de la LOPD, incluidos en los artículos 2.1 a) y c) de la normativa.
A saber, se aplicará la LOPD cuando “el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento” o “Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito”. A juicio de la AEPD, ambos supuestos se observan en el caso enjuiciado y por tanto la LOPD es plenamente aplicable.
En relación al primero de los supuestos de aplicabilidad, que no es otro que Google Spain, SL es un establecimiento permanente de Google Inc. la propia AEPD cita en su resolución el Considerando 19 de la Directiva 95/46/CE que señala que el elemento determinante para considerar que hay establecimiento permanente, es que este sea necesario para el “ejercicio efectivo y real” de las actividades del responsable del tratamiento.
Sigue la AEPD indicando que “Google Spain SL deviene necesario y fundamental, dado que según sus propias alegaciones tiene por objeto la captación de clientes en territorio español”. Y ahí está el problema. ¿Realmente Google Spain SL trata los mismos datos que Google Int.? ¿No será que Google Spain SL trata los datos de los anunciantes que contratan sus servicios (p.ej Google Awords) y la empresa americana los de los usuarios que navegamos en sus múltiples aplicaciones o funcionalidades?
Si Google Spain, SL es “necesario y fundamental” para la actividad de Google Int, ¿cómo se entiende que países donde Google no tiene presencia en forma de sucursal, tenga actividad? En resumen, el argumento por el cual Google Spain SL es un establecimiento permanente de Google Int, no tiene a nuestro juicio base jurídica puesto que aparte de existir establecimiento permanente, debe ser exigible que dicho establecimiento participe o trate los mismos datos que el responsable fuera del territorio de aplicación de la ley, circunstancia que en este caso no se observa.
Si esta fuera la aplicación, ¿cómo es posible que una de las grandes polémicas del futuro reglamento europeo, sea la posibilidad que el mismo se aplique a empresas de fuera de la UE que prestan servicios a sus ciudadanos? Esta polémica carecería de sentido ya que visto el argumento de la AEPD, esta aplicación extraterritorial, ya sería posible.
Sigue la AEPD argumentando que la LOPD también es aplicable ya que el responsable del tratamiento (Google Int.) utiliza medios en España para el tratamiento de los datos. ¿Cuáles son dichos medios? Los dispositivos de los usuarios. Así es. Al considerar que Google instala en los dispositivos de los usuarios Cookies y otros identificadores que utiliza para tratar sus datos personales, todo ello lleva a la aplicación de la LOPD según el artículo 2.1 c).
Para sustentar este argumento vs Google, la AEPD cita un Documento de Trabajo del Artículo 29 de 30 de mayo de 2002, en el que al abordar del uso de la Cookies considera que será aplicable la ley de dónde se sitúe el ordenador del usuario ya que el uso de medios implica operaciones técnicas sin control del interesado. Y ahí nos asalta otra duda, ¿realmente el hecho de instalar cookies u otros dispositivos en el ordenador del usuario, implica que éste no tiene control para desinstalarlas o desactivarlas?
La mediática resolución de la AEPD vs Google, genera desde nuestro punto de vista importantes dudas acerca de un punto tan importante como si es aplicable o no la LOPD al tratamiento de datos realizado por el gigante de Internet. Creemos que en este caso la AEPD (como todas las Autoridades de Control europeas que han sancionado a Google, como la CNIL), han estirado de forma poco justificada una normativa comunitaria que en su origen no podía prever usos de los datos como los que lleva a cabo Google, casi 20 años después de la aprobación de dicha normativa.
Es por ello que en aras de la defensa de la privacidad de los usuarios de Internet, deviene más necesario que nunca la aprobación del nuevo reglamento europeo, puesto que la legislación actual no permite a nuestro criterio, su aplicación a supuestos de tanta relevancia como los que realiza Google, que la AEPD ha tratado en su resolución.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!