Antecedentes. Siguiendo a un queja por noyb y un similar denuncia por la ONG francesa "La Quadrature du Net" la CNIL (la autoridad francesa de protección de datos) impuso una multa de 50 millones de euros en Google por la política de privacidad opaca de la compañía y la falta de base legal para los anuncios personalizados. Esto es hasta ahora el más alto multa adoptada por un DPA como decisión final. Sin embargo, está muy por debajo de la multa máxima bajo el PIBR del 4% del volumen de negocios global de Google (esto sería 3.700 millones de euros) La decisión de la CNIL se centró principalmente en dos infracciones específicas de la RPI: la falta de información suficiente sobre los usuarios y la falta de fundamento jurídico para el tratamiento de datos personales con fines publicitarios
Max Schrems, presidente honorario de Noyb: "La cantidad es diminuta para Google, pero sigue siendo un símbolo importante para mostrar que las multas de la GDPR pueden llegar a ser graves".
La decisión fue apelada por Google ante el Consejo de Estado francés (el más alto tribunal administrativo) debido a que la DPA francesa no tiene jurisdicción sobre la sede europea de Google. Google alegó, entre otras cosas, que la autoridad irlandesa de protección de datos debía dirigir todos los casos o investigaciones sobre sus prácticas. El Consejo de Estado confirma la decisión de la CNIL en todos los puntos
Google no puede elegir el regulador irlandés En la actual decisiónel Consejo de Estado confirmó la sanción y la jurisdicción de la DPA francesa sobre Google. Google ha intentado huir a Irlanda, ya que el Regulador Irlandés ("DPC") no ha emitido hasta ahora ni una sola multa en virtud de GDPR contra un actor privado. A diferencia del Regulador Irlandés, que tardó más de 18 meses en completar una informe en quejas presentada contra Facebook, Instagram y Whatsapp, la CNIL emitió su informe en un plazo de 5 meses el 22 de octubre de 2018 y emitió una decisión final en un plazo de ocho meses.
Max Schrems: "Es muy importante que empresas como Google no puedan declararse simplemente 'irlandesas' para escapar de la supervisión de los reguladores de privacidad"
Lucha por las competencias nacionales Dentro de la UE, el "establecimiento principal" define qué Estados miembros se encargan de hacer cumplir la RPI. Si no hay un "establecimiento principal" cualquier autoridad puede decidir por sí misma. El Consejo de Estado confirmó que, aunque la sede europea de Google estuviera situada en Irlanda, el establecimiento irlandés no tenía poder de decisión sobre las operaciones de procesamiento en cuestión en el momento de la decisión. Por consiguiente, como el "mecanismo de ventanilla única" no era aplicable, la CNIL era competente para adoptar cualquier decisión relativa a las operaciones de tratamiento realizadas por Google, como cualquier otra DPA de la UE
La información no es fácilmente accesible. El Consejo de Estado confirmó la evaluación de la CNIL: la información de la política de privacidad de Google no era fácilmente accesible para los usuarios. La información básica que debe proporcionarse se difunde en demasiados documentos y sólo es accesible después de varias etapas (a veces hasta 5 o 6 acciones). Por lo tanto, no cumplía con la RPI
La información no es clara. La CNIL también llegó a la conclusión de que cierta información no siempre es clara ni completa. El usuario no puede comprender de forma realista lo que Google hace con sus datos personales. Por ejemplo, las razones por las que Google utiliza los datos, la base legal para procesarlos o las categorías de datos procesados se consideraron demasiado vagas
No hay consentimiento válido para los anuncios personalizados. Mientras que Google considera que obtuvo el consentimiento del usuario para el tratamiento de los datos con fines de personalización de los anuncios, la CNIL concluyó que dicho consentimiento no era válido por dos razones
1) el consentimiento si no está suficientemente informado y no puede ser ni "específico" ni "inequívoco" considerando que la información se diluye en varios documentos
Además, la GDPR dispone que el consentimiento es "específico" sólo si se da de forma distinta para cada propósito. Sin embargo, Google ha solicitado un consentimiento para todas las operaciones de procesamiento.
Consecuencias. Max Schrems: "Esta decisión requiere mejoras sustanciales por parte de Google. Su política de privacidad ahora necesita dejar muy claro lo que hacen con los datos de los usuarios. Los usuarios también deben tener la opción de aceptar sólo algunas partes de lo que Google hace con sus datos y rechazar otras cosas".
