Carlos B Fernández. La Agencia Española de Protección de Datos (AEPD) ha impuesto a Google LLC una sanción de cinco millones de euros, por una infracción del artículo 6 del RGPD (LA LEY 6637/2016), consistente en realizar un tratamiento de datos para atender a las solicitudes de retirada de contenidos, cediéndolos a otra entidada careciendo de base legitimadora (artículos 83.5.a) RGPD (LA LEY 6637/2016), calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la LOPDGDD (LA LEY 19303/2018)) y otra por el mismo importe, por una infracción del artículo 17 del RGPD (LA LEY 6637/2016), por dificultar el ejercicio del derecho al olvido de sus usuarios (artículo 83.5.b) del RGP,alificada como muy grave a efectos de prescripción en el artículo 72.1.k) de la LOPDGDD (LA LEY 19303/2018)).
Igualmente, la Agencia requiere a Google “para que, en el plazo de seis meses, contado desde la notificación de la presente resolución, adopte las medidas necesarias para adecuar a la normativa de protección de datos personales las operaciones de tratamiento y los procedimientos de ejercicio del derecho objeto de las actuaciones”, con el alcance expresado en el Fundamento de Derecho X de la Resolución “del que se infiere con claridad cuáles son las medidas a adoptar”.
Los hechos
El procedimiento se inició con motivo ocho denuncias recibidas por la Agencia entre septiembre de 2018 y enero de 2019, y una más de fecha 01/12/2020, contra Google LLC.
Esta empresa es la entidad encargada de la provisión de productos y prestación de servicios de Google Ireland LTD, actúando como responsable del tratamiento de datos personales de los usuarios de los servicios de “Google” que se encuentren en el Espacio Económico Europeo.
En esta condición, Google ha puesto a disposición de los afectados canales de comunicación específicos (on line, y distribuidos por distintas materias), para que los mismos puedan trasladar a Google, mediante los llamados “formularios de contacto”, reclamaciones sobre contenidos difamatorios, ilícitos, o relacionados con la infracción de marcas comerciales o de derechos de autor y otras incidencias legales (identificando el sitio o URL conflictiva, su nombre y apellidos, email, documento identificativo, etc.), y pueda tomarse una decisión al respecto.
Google impone al usuario que utilice estos formularios la cesión de sus datos personales y de su reclamación a una organización llamada Lumendatabase.org.
La Política de Privacidad de Google LLC, que se encuentra accesible en el sitio web “google.com” y se aplica a todos los servicios ofrecidos por esta entidad y sus afiliados (salvo “a los servicios que estén sometidos a políticas de privacidad independientes”) no hace mención a este tratamiento de datos personales de los usuarios, ni entre las finalidades para las que serán tratados dichos datos personales figura la comunicación de datos personales al “Proyecto Lumen”, ni los fines manifestados por Google LLC para los que esta comunicación de datos personales se lleva a cabo.
En cuanto a la eliminación de los datos personales, se informa que existe la posibilidad de eliminar productos concretos de “Google”, incluida la información asociada al producto, o “Eliminar tu Cuenta de Google por completo”. De manera específica, se informa que es posible “solicitar que se retire contenido” de determinados servicios de “Google” de acuerdo con las leyes aplicables. Esta información incluye un enlace que da acceso a la página en la que se listan diversos productos de la compañía para que el usuario selecciones el producto al que corresponde el contenido que pretende eliminar, pero tampoco en esta ocasión se informa sobre la comunicación de estas eliminaciones de contenido a terceros.
Estas denuncias fueron trasladadas, el 01/02/2019, a la autoridad de protección de datos de Irlanda (DPC Irlanda), de conformidad con el artículo 56 del RGPD (LA LEY 6637/2016), para que valorase si ostentaba o no la condición de autoridad de control principal, al encontrarse radicada en ese país la entidad Google Ireland LTD., en tanto que establecimiento del responsable que decide, para Europa, los fines y los medios en el tratamiento de datos personales.
En una primera comunicación, de 10/04/2019, DPC Irlanda comunicó que no se consideraba competente para resolver este caso. Sin embargo, posteriormente, siguiendo el mecanismo de asistencia mutua regulado en el artículo 61 del RGPD (LA LEY 6637/2016), solicitó la colaboración de esta Agencia para que se trasladaran al denunciante diversas cuestiones relacionadas con las denuncias formuladas.
Cumplido este trámite y conocidas las respuestas del denunciante, DPC Irlanda rechazó la competencia en la tramitación de las denuncias mediante comunicación de 22/01/2020, al considerar que es Google LLC la responsable del tratamiento, consistente en la comunicación de datos personales relacionados con solicitudes de retirada de contenido gestionadas por Google LLC, llevada a cabo por esta entidad en Estados Unidos a una base de datos también estadounidense. Finalizada esta tramitación, que determinó la competencia de esta AEPD para resolver las cuestiones suscitadas en aquellas denuncias, en fecha 09/06/2021 se acordó la apertura del procedimiento sancionador, sin haber desarrollado actuaciones previas de investigación.
Excepciones procesales
En su resolución, la Agencia descarta en primer lugar las excepciones de caducidad de las actuaciones alegadas por Google LLC, en base a las cuales solicita la declaración de nulidad de las actuaciones, por infracción de normas reguladoras del procedimiento sancionador causante de indefensión.
Así, en el Fundamento de Derecho II de su resolución, la Agencia considera a este respecto que “no existe ninguna norma aplicable al procedimiento sancionador en materia de protección de datos personales que establezca un plazo preclusivo para acordar su apertura; y, por otro lado, el plazo de caducidad del procedimiento sancionador está establecido en nueve meses y se computa desde la fecha en que se acuerda su inicio, resultando improcedente añadir a ese cómputo, a efectos de medir la duración del expediente administrativo, ningún otro período, tal como el tiempo de las actuaciones previas de investigación, en caso de que se hubiese acordado su realización”, pues “La decisión de llevar a cabo estas actuaciones previas de investigación es una potestad de la AEPD, que podrá acordar su iniciación o no (artículo 67 de la LOPDGDD (LA LEY 19303/2018))”.
La Agencia rechaza igualmente que la ampliación del objeto del procedimiento sancionador incoado se haya realizado sin acudir al mecanismo de cooperación regulado en el artículo 60 del RGPD (LA LEY 6637/2016), viciando de nulidad o anulabilidad el presente procedimiento, pues no considera “que para declarar la infracción del artículo 17 fuese necesario acudir al mecanismo de cooperación regulado en el artículo 60 citado”.
Finalmente, la Agencia no acepta el alegato de la empresa, según el cual la intervención de la Agencia está restringida por las denuncias formuladas, pues “ninguna norma impide que el órgano que ejerce la potestad sancionadora, cuando determina la apertura de un procedimiento sancionador, siempre de oficio (artículo 63.1 ley 39/2015, de 1 de octubre (LA LEY 15010/2015)), determine su alcance conforme a las circunstancias puestas de manifiesto, aunque las mismas no se ajusten estrictamente a las manifestaciones y pretensiones del denunciante”. Es decir, “el acuerdo de inicio del procedimiento sancionador no está constreñido por la denuncia (lo mismo sucede con la reclamación en el ámbito del RGPD) presentada por el particular”.
Y es que “tanto el RGPD como la LOPDGDD (LA LEY 19303/2018) consideran que una reclamación de un afectado puede ser la vía o el medio de llevar a conocimiento de la autoridad de control una posible infracción de la normativa de protección de datos, pero en ningún caso restringe la actuación de la autoridad de control a la específica y concreta queja de los afectados.
Falta de base legitimadora del tratamiento
En relación con la primera infracción denunciada, la Agencia estima que dado que los “Formularios de Google” cuestionados tienen como objetivo, según la Agencia “la recogida de una serie de datos y documentos en orden a una finalidad clara, tal y como es solicitar la retirada de contenido de algún producto o la denuncia de infracciones de derechos de autor”, finalidad a la que se une otra diferente (ya que ni media ni es imprescindible para la gestión de la referida retirada de contenido) tal cual es la comunicación de datos a un tercero, como el “Proyecto Lumen””, se considera “prioritario analizar si puede inferirse una base legitimadora que confiera licitud a la citada comunicación de datos por parte de Google LLC al “Proyecto Lumen””.
A este respecto, la Agencia estima que, conforme al artículo 6.1 del RGPD (LA LEY 6637/2016), esa licitud del tratamiento debería basarse, bien en la existencia de consentimiento, bien en la existencia de un interés legítimo, “ya que un somero análisis del resto de supuestos nos hacen ver que no podrían ser aplicables (por la propia naturaleza de los hechos y de las partes intervinientes)”.
- Interés legítimo
La Agencia considera que no concurre esta base legitimadora del tratamiento de datos por cuanto la información que se facilita a los usuarios está contenida en un aviso de texto insertado en los propios formularios de solicitud de retirada de contenidos y se limita a advertir sobre la posibilidad de enviar al “Proyecto Lumen” una copia de las notificaciones, sin ninguna mención a la base jurídica que legitima el tratamiento de datos personales ni a los intereses legítimos indicados en el escrito de alegaciones.
Además, en la Política de Privacidad de Google LLC, la única información sobre la base jurídica que fundamenta el tratamiento de datos en general “se refiere a la prestación de un servicio, el cumplimiento de obligaciones legales, consentimiento del interesado (“Solicitamos tu autorización para tratar tu información para finalidades determinados y tienes derecho a revocar tu consentimiento en cualquier momento”) y el ejercicio de intereses legítimos, propios y de terceros”, información, con la que no puede entenderse que el usuario haya sido debidamente informado sobre la base jurídica que justificaría la comunicación de sus datos personales al “Proyecto Lumen”, ni tampoco sobre los intereses legítimos propios o de terceros que se invocan, de ser el interés legítimo la base jurídica.
Al contrario, añade la Agencia, “teniendo en cuenta la información que en la Política de Privacidad se ofrece sobre la información personal que se comparte de forma externa, reseñada en el apartado anterior (“No compartimos tu información personal con empresas, organizaciones o individuos ajenos a Google”, salvo que el interesado preste su consentimiento o por motivos legales), más parece que la conclusión que puede obtener el usuario sobre la base jurídica que ampara la comunicación de datos a una entidad externa como el “Proyecto Lumen” sea la prestación del consentimiento”.
“Esta base jurídica, explica la Agencia, requiere la existencia de intereses reales, no especulativos y que, además, sean legítimos. Y no solo la existencia de ese interés legítimo significa que puedan realizarse aquellas operaciones de tratamiento. Es preciso también que estos tratamientos sean necesarios para satisfacer ese interés y considerar la repercusión para el interesado, el nivel de intrusismo en su privacidad y los efectos que pueden repercutirle negativamente. Aunque el responsable tenga dicho interés legítimo, ello no significa, en sí mismo considerado, que pueda simplemente invocarse esta base jurídica como fundamento del tratamiento. La legitimidad de este interés es solo un punto de partida, uno solo de los elementos que deben ponderarse”.
Y en este caso, se considera que el tratamiento de datos personales que realiza Google LLC no es necesario o estrictamente necesario para la satisfacción del interés legítimo alegado
- Consentimiento
En otro orden de cosas, no puede decirse que la firma del formulario de solicitud de retirada de contenido en los productos de Google LLC, en los que se informa sobre el traslado de la notificación de eliminación al “Proyecto Lumen”, incluidos los datos personales que se reflejan en la misma, pueda considerarse una prestación de consentimiento válido para que dicha comunicación de datos se lleve a efecto.
Para que concurra el supuesto del consentimiento del interesado, explica la Agencia, es necesario que el mismo esté vinculado a los fines concretos del tratamiento de sus datos. Y respecto de su forma, esta, de acuerdo con el artículo 4 del RGPD (LA LEY 6637/2016) deberá ser una “manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración, o una clara acción afirmativa, el tratamiento de los datos persones que le conciernen”.
A este respecto, la Agencia, analizando los formularios que Google LLC pone a disposición de los usuarios para solicitar la retirada de información, se observa que en los enlaces relacionados con la denuncia de infracciones relacionadas con derechos de autor se informa de que “se enviará” una copia de las notificaciones a uno o varios terceros (poniendo como ejemplo al “Proyecto Lumen”), mientras que en los relativos a solicitudes de retirada de contenido, se señala que “es posible que se envíe” una copia de las notificaciones al “Proyecto Lumen” para su publicación.
En el último caso se deja claro que el “Proyecto Lumen” será quien se encargue de retirar la información de contacto personal, lo
que se une a que es el propio proyecto el que anonimiza la información que considera sensible.
La comparación entre el artículo 13 del RGPD (LA LEY 6637/2016) con la información proporcionada en los formularios, pone de relieve, aprecia la Agencia “la falta de información imprescindible, como es la relativa a todos los fines del tratamiento (en los supuestos de retirada de contenido no queda claro si la información aportada, además de ser utilizada para analizar y gestionar la retirada va a ser o no comunicada y en qué casos), los terceros a los que se comunican los datos (en las denuncias por infracción de los derechos de autor se habla de uno o varios terceros), así como algo fundamental, como es la información referente acerca de la base jurídica que sirve de base a dicha comunicación de datos o si la misma responde a algún interés legítimo del responsable o del tercero”.
Además, el requisito de especificidad se vincula íntimamente con el requisito de consentimiento “informado”, por lo que al no cumplirse esto último, tal y como se ha expuesto, difícilmente el interesado podrá obtener una información precisa acerca de una finalidad diferente en el tratamiento de sus datos a la de gestión de la retirada de contenido.
En tercer lugar, añade la Agencia, “un consentimiento prestado libremente significa que el interesado que rellena el formulario ha de tener una opción real para no otorgar el consentimiento de comunicación de sus datos al “Proyecto Lumen”, sin que ello implique ninguna penalización en el uso del servicio de retirada de contenido o reclamación”.
Sin embargo, aprecia que en los formularios estudiados esto no ocurre, “ya que la cesión de datos al “Proyecto Lumen” viene incluida incondicionalmente con la propia solicitud de retirada de contenido o denuncia, sin que quepa la posibilidad de elegir esta cesión o no y con el agravante de que no otorgar el consentimiento global implica no poder interponer la denuncia o solicitar el contenido, algo que podría conculcar el derecho supresión enunciado en el artículo 17 del RGPD”.
Por tanto, “al igual que ocurría con el cumplimiento del requisito de especificidad, para poder configurarse como requisito libre, es necesario garantizar que el consentimiento de comunicación de datos al “Proyecto Lumen” se presta de manera independiente y desvinculado de la solicitud de retirada de contenido o denuncia de infracción”.
Ejercicio del derecho al olvido
En relación con este derecho, regulado en el art. 17 del RGPD (LA LEY 6637/2016), la Agencia señala, en primer lugar, que su ejercicio “no está sujeto a forma y que un interesado puede formular la solicitud con un simple escrito elaborado por él mismo”.
Pero, añade a continuación, lo que se analiza en este caso es “la idoneidad y legalidad de los mecanismos habilitados por Google LLC para que un usuario pueda solicitar la supresión de sus datos personales cuando esta supresión implique la eliminación de contenidos en línea de los productos y servicios que la entidad presta”, en particular, “considerando que la existencia de estos medios puede llevar al interesado a utilizarlos, desconociendo el verdadero alcance y efectos que tendrá en relación con sus propósitos el hecho de servirse de ellos”.
A estos efectos, “es importante destacar que la información que la Política de Privacidad ofrece sobre el derecho de supresión, la forma de ejercerlo y los medios a disposición del interesado, en el apartado “Exportar, retirar y eliminar tu información”, informa expresamente que se puede “solicitar que se retire contenido de determinados servicios de Google de acuerdo con las leyes aplicables””. Esta información incluye un enlace que da acceso a la página “Cómo retirar contenido de Google” en la que se listan los productos y servicios y que conduce a los formularios que se analizan” y se entiende que “si la Política de Privacidad se refiere a “eliminación de información” y a “retirar contenidos” se está refiriendo al derecho de supresión de datos personales”.
En estas condiciones, la Agencia considera que “No puede aceptarse, por tanto, que la Política de Privacidad conduzca a este sitio web, en el que se ponen a disposición del usuario medios para el ejercicio del derecho de supresión, con el que se persigue la eliminación de contenidos (debe entenderse que se refiere a datos personales) y, posteriormente, las solicitudes que se formulan no se traten como tales, a criterio de la entidad responsable”.
Además, subraya la Agencia, “Para la correcta valoración de lo aquí tratado, es preciso considerar el nivel de implantación social de los productos y servicios de Google LLC” que es “casi global respecto de la población de los territorios en los que se ofertan esos productos y se prestan esos servicios”. En este sentido, considera que este sistema de retirada de contenidos en línea y sus efectos, “exige para su correcta comprensión un nivel de formación en la materia que no se da en el perfil del ciudadano medio”.
En definitiva, “este sistema no solo provoca aquellas dificultades y efectos en el interesado. A juicio de esta Agencia, también la gestión de las solicitudes que debe realizar la propia entidad reclamada puede verse afectada”.
- No sirve la referencia a lo que hace la propia Agencia
Por último, y en relación con la alegación de vulneración del principio de confianza legítima realizado por la demandada, invocando la existencia de signos externos producidos por la Administración “lo suficientemente concluyentes” para que le induzcan razonablemente a confiar en la legalidad de la actuación administrativa”, la Agencia indica que “esa esperanza o confianza generada ha de ser “legítima” y estar basada en actos externos anteriores, cuyo sentido sea indudablemente contrario a lo acordado posteriormente, sin que deba incluirse en este principio de confianza legítima una mera convicción psicológica del particular”.
Y en este caso, “consta que la web de esta Agencia incluye información general dirigida a los usuarios de internet sobre el ejercicio del derecho de supresión y advierte a los mismos, en diversos apartados, sobre la posibilidad de utilizar para ello los formularios específicos habilitados por distintos proveedores de servicios, entre los que figura la entidad “Google”.
Con tal motivo, en dicha información se insertan enlaces que conducen a los formularios habilitados por Google LLC, en los que “cabe destacar, por su especial interés para las actuaciones, los incluidos en el apartado “Eliminar fotos y vídeos de internet” y en la “Guía para el ciudadano”, que dan acceso a la página “Cómo retirar contenido de Google”, de “google.com”, a través de la cual se accede a los formularios objeto del presente procedimiento”.
En consideración de la Agencia, “este hecho no representa un acto externo propio de la Administración que haya podido influir en la conducta de Google LLC determinante de la infracción del artículo 17 del RGPD (LA LEY 6637/2016), en la medida en que la inclusión de esos enlaces en la web de la AEPD no puede llevar a confusión a dicha entidad ni le permite concluir que en aquellos formularios no existe ningún elemento que contraviniera lo establecido en el RGPD y LOPDGDD”.
Siendo así, se añade, “no puede decirse que Google LLC se ha visto sorprendida por la citada infracción al RGPD que se imputa en este acto”, pues dicha empresa “no dispone de hechos externos anteriores a esta resolución (“signos innegables externos”) que puedan considerarse favorables a dicha entidad de forma concluyente y suficientes para haber inducido a la misma a pensar que la AEPD validó los repetidos formularios de retirada de contenido”.
Por tanto, continúa, “La actuación de esta Agencia no ha influido en modo alguno en la conducta de Google LLC determinante de la infracción analizada, ni influye en el diseño de aquellos formularios o en su utilización para la gestión de derechos en materia de protección de datos personales o de reclamaciones legales en general que den lugar a la aplicación de sus propias políticas internas de eliminación de contenidos u otras normativas distintas a la de protección de datos personales; ni esta Agencia ha realizado ninguna otra actuación que haya permitido a dicha entidad concluir la idoneidad de su actuación”.
Es más, “Google LLC no puede aportar ningún pronunciamiento o actuación de esta Agencia que le llevase a esa presunta confusión, simplemente porque no existe actuación alguna en ese sentido. La Agencia se ha limitado a informar a los ciudadanos de sus derechos y de cómo pueden ejercitarlos, incluyendo un enlace a los formularios de los responsables del tratamiento”.
En definitiva, concluye su argumentación, “proyectando la doctrina del Tribunal Supremo al caso presente, y en los términos de la STS de 18/12/2007, resulta que no concurren circunstancias que permitan entender que Google LLC se ha visto sorprendida por la actuación de la Administración”.