L’AEPD vs Google
El passat dia 13 de febrer, vàrem analitzar a l’ICAB, dins dels Digital Loft organitzats per la Secció TIC, la interminable resolució que l’AEPD va dictar vs Google el passat mes de desembre.
Com ja ha estat llargament comentat, l’Autoritat de Protecció de Dades Espanyola, va imposar tres sancions de 300.000 € a Google Inc. (empresa amb seu a Califòrnia), exonerant expressament a Google Spain, SL de les mateixes infraccions, per incompliment dels articles 6.1 (consentiment), 4.5 (retenció injustificada de dades) i 15 i 16 (drets ARCO), tots ells de la LOPD.
Com dic la resolució (de 139 pàgines), analitza de forma detallada les característiques de la nova Política de Privacitat de Google (efectiva des del 01-03-12 i, per cert, ja modificada) i esmicola la forma en que aquesta política trepitja els drets garantits en la LOPD.
Lògic, en tractar-se d’una política redactada a la llum d’una legislació diferent. I aquest és a la meva manera de veure l’element essencial d’aquesta resolució, que no és un altre que justificar l’aplicabilitat de la LOPD a una empresa amb seu a Califòrnia (EUA).
Resulta per tant necessari analitzar de forma crítica, els criteris que usa l’AEPD per determinar que la LOPD és aplicable, circumstància que origina tots els incompliments atribuïts a Google. L’AEPD indica que la LOPD és aplicable ja que el tractament de dades que realitza Google, encaixen en els dos supòsits d’aplicació extraterritorial de la LOPD, inclosos en els articles 2.1 a) i c) de la normativa.
Concretament, s’aplicarà la LOPD quan “el tractament sigui efectuat en territori espanyol en el marc de les activitats d’un establiment del responsable del tractament” o “Quan el responsable del tractament no estigui establert en territori de la Unió Europea i utilitzi en el tractament de dades mitjanes situades en territori espanyol, tret que tals mitjans s’utilitzin únicament amb finalitats de trànsit”. Segons el parer de l’AEPD, tots dos suposats s’observen en el cas jutjat i per tant la LOPD és plenament aplicable.
En relació al primer dels supòsits d’aplicabilitat, que no és un altre que Google Spain, SL és un establiment permanent de Google Inc. la pròpia AEPD cita en la seva resolució el Considerant 19 de la Directiva 95/46/CE que assenyala que l’element determinant per considerar que hi ha establiment permanent, és que aquest sigui necessari per a el “exercici efectiu i real” de les activitats del responsable del tractament.
Segueix l’AEPD indicant que “Google Spain SL esdevé necessari i fonamental, atès que segons les seves pròpies al·legacions té per objecte la captació de clients en territori espanyol”. I aquí està el problema: realment Google Spain SL tracta les mateixes dades que Google Int.? No serà que Google Spain SL tracta les dades dels anunciants que contracten els seus serveis (p.ej Google Awords) i l’empresa americana les de els usuaris que naveguem en les seves múltiples aplicacions o funcionalitats?
Si Google Spain, SL és “necessari i fonamental” per a l’activitat de Google Int, com s’entén que països on Google no té presència en forma de sucursal, tingui activitat? En resum, l’argument pel qual Google Spain SL és un establiment permanent de Google Int, no té al nostre judici base jurídica ja que a part d’existir establiment permanent, ha de ser exigible que aquest establiment participi o tracti les mateixes dades que el responsable fos del territori d’aplicació de la llei, circumstància que en aquest cas no s’observa.
Si aquesta fos d’aplicació, com és possible que una de les grans polèmiques del futur reglament europeu, sigui la possibilitat que el mateix s’apliqui a empreses de fora de la UE que presten serveis als seus ciutadans? Aquesta polèmica mancaria de sentit ja que vist l’argument de l’AEPD, aquesta aplicació extraterritorial, ja seria possible.
Segueix l’AEPD argumentant que la LOPD també és aplicable ja que el responsable del tractament (Google Int.) utilitza mitjans a Espanya per al tractament de les dades. Quins són aquests mitjans? Els dispositius dels usuaris. Així és. En considerar que Google instal·la en els dispositius dels usuaris Cookies i altres identificadors que utilitza per tractar les seves dades personals, tot això porta a l’aplicació de la LOPD segons l’article 2.1 c).
Per sustentar aquest argument vs Google l’AEPD cita un Document de Treball de l’Article 29 de 30 de maig de 2002, en el qual en abordar de l’ús de la Cookies considera que serà aplicable la llei d’on es situï l’ordinador de l’usuari ja que l’ús de mitjans implica operacions tècniques sense control de l’interessat. I aquí ens assalta un altre dubte, realment el fet d’instal·lar Cookies o altres dispositius en l’ordinador de l’usuari, implica que aquest no té control per desinstal·lar-les o desactivar-les?
La mediàtica resolució de l’AEPD vs Google, genera des del nostre punt de vista importants dubtes sobre un punt tan important com si és aplicable o no la LOPD al tractament de dades realitzat pel gegant d’Internet. Creiem que en aquest cas l’AEPD (com totes les Autoritats de Control europees que han sancionat a Google, com la CNIL), han estirat de forma poc justificada una normativa comunitària que en l’origen no podia preveure usos de les dades com les que duu a terme Google, gairebé 20 anys després de l’aprovació d’aquesta normativa.
És per això que en honor de la defensa de la privadesa dels usuaris d’Internet, esdevé més necessari que mai l’aprovació del nou reglament europeu, ja que la legislació actual no permet al nostre criteri, la seva aplicació a supòsits de tractament de dades de tanta rellevància com els que realitza de Google, que l’AEPD ha tractat en la seva resolució.
Si tens dubtes sobre aquest o qualsevol altra tema, no dubtis en contactar-nos!