Aquí hay una escena rara: España multó a Google con € 10 millones por violaciones graves del Reglamento General de Protección de Datos (GDPR) de la UE que encontró que pasó información que podría usarse para identificar a los ciudadanos que solicitan la eliminación de sus datos personales bajo la ley de la UE, incluido su correo dirección de correo electrónico; motivos dados y la URL reclamada, a un tercero ubicado en los Estados Unidos sin una base legal válida para dicho procesamiento posterior.
Además de la multa, se ordenó a Google que ajuste sus procedimientos para que cumpla con el RGPD y que elimine cualquier dato personal que aún tenga en relación con esta aplicación.
La multa no es la primera sanción en el RGPD de Google – Francia recibió la mayoría de las medallas en la implementación rápida del marco de protección de datos maestros del bloque., hace unos años, pero, hasta donde sabemos, esta es solo la segunda vez que el gigante de la tecnología publicitaria ha sido sancionado bajo el RGPD desde que la regulación entró en vigor, hace cuatro años este mes. (Aunque recientemente se han utilizado algunas herramientas de Google Se descubrió que viola las reglas de exportación de datos de GDPR. Google también ha sido golpeado con Multas significativamente más elevadas según las normas de privacidad electrónica de la UE.)
La autoridad de protección de datos de España, AEPD, anunció la sanción hoy, diciendo que estaba sancionando a Google por lo que describió como «dos infracciones muy graves»: relacionadas con la transferencia de datos de ciudadanos de la UE a un tercero sin una base legal; Al hacerlo, obstaculiza el derecho de las personas a borrar sus datos personales en virtud del Reglamento General de Protección de Datos (GDPR).
El tercero considera que Google está transfiriendo datos ilegalmente a proyecto lumenun proyecto académico con sede en EE. UU. del Centro Berkman Klein para Internet y la Sociedad de la Universidad de Harvard que tiene como objetivo recopilar y estudiar las solicitudes legales de eliminación de información en línea mediante la compilación de una base de datos de solicitudes de eliminación de contenido.
La AEPD descubrió que al pasar los datos personales de los ciudadanos europeos que solicitaban el borrado de sus datos a Project Lumen, Google estaba frustrando su derecho legal a que se borrara su información (en virtud del artículo 17 del RGPD), también conocido como «derecho al olvido»; rtbf. (Y en Google, por decirlo suavemente, un Larga trayectoria con peregrinos contra la rtbf eu – que, en el modelo de desindexación de búsqueda, es anterior al RGPD, a través de un Árbitro del TJUE 2014. Por lo tanto, la capacidad de las personas en la Unión Europea para realizar ciertas solicitudes legales vinculadas a sus datos personales no es en absoluto nueva).
en eso resoluciónSin embargo, la AEPD dice que Google no les dio a los usuarios que solicitaban que se borraran sus datos una opción para pasar su información a Project Lumen, lo que significa que carece de una base legal válida para compartir datos.
El regulador también criticó el sistema basado en modelos que ideó Google para que las personas soliciten el borrado de sus datos, por ser confuso y pedirles que hagan una opción para su solicitud que, según dijo, podría dar lugar a que se trate bajo un régimen regulatorio diferente al de los datos. proteccion. .
“La decisión de la agencia establece que esta regulación equivale a ‘dejar la decisión de Google LLC sobre cuándo y cuándo no se aplica el RGPD, y esto significa aceptar que esta entidad puede eludir la aplicación de las normas de protección de datos personales y, más específicamente, aceptar el derecho de supresión de datos personales’ Supeditado al sistema de eliminación de contenidos diseñado por la entidad responsable”, señala la AEPD en nota de prensa.
Un portavoz de Google nos dijo que está evaluando la decisión del regulador.
La empresa afirmó que ya ha tomado medidas para ajustar sus operaciones, como reducir la cantidad de información que comparte con Lumen para las solicitudes de eliminación que provienen de países de la UE. Google también ha sugerido que su política general es no compartir ningún derecho a borrar/derecho a olvidar solicitudes de eliminación de búsqueda o cualquier otra solicitud de eliminación en la que se invoquen los derechos de privacidad o protección de datos, pero si este es el caso, no está claro por qué. la AEPD resultó ser eso.
Un portavoz de Google agregó en un comunicado:
Tenemos un compromiso de larga data con la transparencia en nuestra gestión de las solicitudes de eliminación de contenido. Al igual que muchas otras empresas de Internet, trabajamos con Lumen, un proyecto académico del Centro Harvard Berkman Klein para Internet y la Sociedad, para ayudar a los investigadores y al público a comprender mejor las solicitudes de eliminación de contenido en línea.
Estamos revisando la decisión y colaborando continuamente con los reguladores de privacidad, incluida la AEPD, para reevaluar nuestras prácticas. Siempre tratamos de lograr un equilibrio entre los derechos de privacidad y nuestra necesidad de transparencia y responsabilidad por nuestro papel en la moderación del contenido en línea. Ya hemos comenzado a reevaluar y rediseñar nuestras prácticas de intercambio de datos con Lumen a la luz de estas acciones.
Nos comunicamos con Project Lumen con preguntas.
La AEPD también ha ordenado a Google que «inste» a Project Lumen a que deje de usar y borrar los datos de personas de la UE que les haya enviado sin una base legal válida, aunque el regulador en España en última instancia tiene medios limitados para obligar a una entidad fuera de la UE a cumplir. al derecho de la Unión Europea.
El caso es interesante debido a una pregunta separada sobre la jurisdicción del RGPD.
OSS canaliza las quejas a través de las fronteras a través de un administrador ‘principal’, generalmente en el mercado de la UE donde la empresa tiene su organización principal, que en el caso de Google (y para muchos otros gigantes tecnológicos) es la Comisión de Protección de Datos de Irlanda (DPC), que continúa enfrentar fuertes críticas por el ritmo extenuante de la aplicación de GDPR, especialmente en casos transfronterizos que se aplican a gigantes tecnológicos. De hecho, DPC está actualmente en marcha Presentar una demanda por inacción en Google queja de tecnología publicitaria.
Esta queja se remonta a casi cuatro años en este punto. DPC también tiene una serie de otras consultas de Google de larga data, incluida una que busca Seguimiento de ubicación practicas Pero el regulador irlandés aún no ha tomado ninguna decisión sobre ninguno de los problemas de Google. Por lo tanto, la aplicación de GDPR de Google se ha convertido en algo raro.
Si la agencia de protección de datos de España, que cuenta con escasos recursos, puede decidir e implementar fuera de la puerta (de hecho, es uno de los acuerdos de protección de datos más activos de la UE), los críticos seguramente se preguntarán, ¿por qué Irlanda no puede hacerlo?
Mientras tanto, la superación del Reglamento General de Protección de Datos (GDPR) de Francia solo fue posible porque el gigante de la tecnología publicitaria aún tiene que remodelar su negocio para reducir los «riesgos regulatorios» en la región, a través del «foro de compras» de OSS, al mover las cuentas de los ciudadanos a su cuenta irlandesa. localización. Entidad, colocando así a los usuarios de la UE bajo el (extenuante) DPC irlandés.
Entonces, ¿cómo superó España el cuello de botella de la aplicación del RGPD de la DPC en este caso de Google-Lumen?
Esencialmente, la agencia es eficiente porque Google, con sede en EE. UU., ha estado llevando a cabo el procesamiento en cuestión, y Project Lumen tiene su sede en EE. UU. También se suponía que el regulador podía demostrar que los datos de los ciudadanos españoles estaban siendo procesados, lo que significa que podría intervenir en su nombre.
La AEPD confirmó que se apoya en un mecanismo del RGPD para contactar con la DPC irlandesa en el tema de la competencia, diciéndonos: «Una vez finalizado este procedimiento, y una vez establecida la jurisdicción, la AEPD ha acordado abrir este procedimiento sancionador». .»
«Aspirante a adicto a la televisión. Devoto gurú del alcohol. Explorador. Galardonado aficionado a los zombis. Malvado evangelista web. Amante de los viajes».