Recientemente hemos conocido la Decisión de la Comisión Nacional de Informática y Libertades (CNIL) por la que se sanciona a Google LLC con una multa de 50 millones de euros por “falta de transparencia, información insuficiente y ausencia de consentimiento válido en la publicidad personalizada” según publicó esta autoridad francesa de control. Los hechos objeto de sanción se refieren a la información y obtención del consentimiento por parte de los usuarios con ocasión de la descarga del sistema operativo Android y de la creación o conexión a una cuenta Google. El procedimiento sancionador se inició como consecuencia de dos reclamaciones presentadas en mayo de 2018 por una asociación francesa y otra austriaca que habían recibido el correspondiente mandato de representación por parte 9.974 personas. Se trata de una multa record impuesta conforme al nuevo Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés).
Llaman la atención varios contenidos de esta sanción. Entre los más evidentes, la cuantía de la multa: ciertamente es muy elevada en comparación con las que los Estados miembros de la Unión Europea dictaban antes del RGPD (era muy excepcional que alcanzaran el millón de euros). Lo preocupante es que puede haber quien opine que resulta limitada si se compara con el máximo posible (el 4% de 96.000 millones de euros, cifra de facturación de Google LLC en 2017 según consta en la Decisión).
Los criterios esgrimidos para fijar el importe de la multa consisten en: (i) la naturaleza de los incumplimientos, que afectan a garantías fundamentales tales como la licitud del tratamiento y las obligaciones de transparencia; (ii) la continuidad en la infracción que al parecer no cesó tras el inicio del procedimiento sancionador; (iii) la gravedad de los incumplimientos en atención al elevado número de personas afectadas (“millones de usuarios”) y de datos, así como a la gran variedad y sensibilidad de estos (hábitos de vida, opiniones e interacciones sociales, etc.); y (iv) a las ventajas o beneficios que la compañía obtuvo de estos tratamientos, considerando cuál es su modelo económico y que aplicó el tratamiento de datos de los usuarios para fines publicitarios a través del sistema de explotación Android.
De ello se desprende la importancia que tiene el diseño de los textos informativos y de las casillas de obtención del consentimiento cuando se prevé un uso de datos personales a gran escala pues otros criterios de modulación de la sanción previstos en el GDPR no se han tomado en consideración –o al menos la Decisión no los cita- pese a su relevancia para delimitar la responsabilidad en cada caso concreto. Por ejemplo, los daños causados (en este caso, en principio, inexistentes); o la categoría de datos tratados (no parecen haberse manejado datos de categorías especiales como los de salud, por ejemplo); o la propia naturaleza de los tratamientos objeto de análisis, que plantean la dificultad de informar suficientemente de todos ellos pero cumpliendo también con la obligación de hacerlo de manera concisa.
En relación con la competencia de la CNIL y del procedimiento utilizado, según la empresa, el caso afecta a tratamientos transfronterizos dentro de la Unión Europea; su establecimiento principal radica en Irlanda; y por tanto la autoridad de control principal es la irlandesa, quien debería haber puesto en marcha los procedimientos de cooperación y de coherencia previstos en el GDPR. La CNIL considera que la empresa no tiene su establecimiento principal en Irlanda y que, ante la ausencia de este, no es posible identificar una autoridad de control principal. Ello lleva a la CNIL a confirmar su competencia y la no aplicación de los citados procedimientos.
Esta justificación de la CNIL llama la atención porque el presupuesto para que haya o no una autoridad de control principal, viene determinado por la existencia o no de tratamientos transfronterizos. De hecho, el Grupo de Trabajo del Artículo 29 (grupo europeo independiente que hasta el 25 de mayo de 2018 se ocupaba de la protección de datos) explica en una de sus guías que si hay tratamientos transfronterizos por parte de una empresa establecida en varios países de la UE sin que en ninguno de ellos radique su administración central ni se tomen decisiones sobre los tratamientos –es decir, las decisiones se adoptan fuera de la UE-, la consecuencia no es que no exista autoridad de control principal sino que la empresa debe designar el establecimiento en la UE con capacidad para ejecutar las decisiones y ese será el establecimiento principal (WP244 citado en la Decisión).
Por último, llama la atención que en apenas ocho meses desde que la CNIL recibió las dos reclamaciones y en apenas cuatro meses desde que se las notificó a la empresa, esta haya sido objeto de sanción por valor de 50 millones de euros. Estas circunstancias ponen de manifiesto que las obligaciones en relación con la protección de datos personales generan un riesgo cierto para las organizaciones de sufrir en el corto plazo daños económicos y de imagen. Por tanto, resulta clave que estas dispongan de programas de cumplimiento y de mecanismos ágiles de respuesta que permitan abordar estos riesgos con la importancia que la Unión Europea ha querido darle a esta materia.
