¿Suficiente sanción?

Fuente de la imagen: mvc archivo propio

Como probablemente conocerás, entre los servicios ofrecidos por la entidad GOOGLE LLC figura el denominado “Google Street View” que, como complemento del servicio “Google Maps”, permite observar imágenes de las calles y carreteras de numerosos países del mundo, entre los que se encuentra España. Las imágenes que utiliza el servicio son captadas por una flota de vehículos que recorren las carreteras y calles dentro del denominado “Proyecto Google Street View”, del que es responsable igualmente la entidad GOOGLE LLC, que ha diseñado el software empleado en la captación de información, dispuesto los equipos para esa captación y creado los ficheros en lo que se registra la misma para su posterior utilización a través de la red. En 2010 GOOGLE LLC admitió la recogida de datos de redes inalámbricas por parte de los vehículos del proyecto Street View. 

En concreto, en dicho comunicado se declaró lo siguiente: “GOOGLE LLC recaba datos de las redes inalámbricas para la prestación de sus servicios de localización, sin que los clientes de dichos servicios tengan acceso a los datos usados para su prestación. Los datos recabados son captados de forma pasiva (no tratan de conectarse a las redes captadas), tal y como cualquier otra persona o entidad podrían hacerlo con un dispositivo que permita la comunicación inalámbrica. Los datos recabados no están asociados a ningún usuario en particular. Otras entidades están desarrollando proyectos similares. Toda la carga útil (payload) de las tramas captadas es descartada, por lo que no recaban el contenido de las comunicaciones".

Posteriormente, GOOGLE LLC manifestó que “en respuesta a la solicitud de la autoridad alemana de protección de datos, se auditó la información recabada de redes inalámbricas y hallaron que, por error, habían captado y almacenado la carga útil de tramas de datos de redes abiertas. Ello se debió a un error consistente en incluir en el software del proyecto Google Street View un componente desarrollado para otro proyecto experimental, que sí captaba todos los datos emitidos por redes inalámbricas. Tan pronto como detectaron el problema procedieron a paralizar todos los vehículos del proyecto, segregar la información de su red para hacerla inaccesible y a revisar los procedimientos utilizados por la compañía, además de solicitar a una entidad externa una auditoría del software utilizado en la recogida de datos”. 

Igualmente, diversas informaciones de los medios de comunicación han señalado que los vehículos Street View venían recabando en territorio español datos asociados a redes WiFi. Todo ello propició que la Agencia Española de Protección de Datos (AEPD), inició de oficio actuaciones previas de investigación con objeto de determinar la adecuación de los hechos a la normativa vigente en materia de protección de datos personales, en relación con la recogida de datos de redes inalámbricas realizadas por los vehículos utilizados en el marco del proyecto Street View. Pues bien, recientemente, la AEPD ha dictado una resolución que pone fin al procedimiento abierto. En el marco de la investigación realizada, la AEPD ha constatado que Google recogió y almacenó datos personales transmitidos a través de redes WiFi abiertas sin que los afectados tuviesen conocimiento de dicha recogida y sin obtener el consentimiento de los mismos. 

En consecuencia, la Agencia declara la existencia de una infracción grave e impone a Google una sanción de 300.000 euros. Si bien la AEPD inició de oficio la investigación de estos hechos en mayo de 2010, la existencia de un procedimiento judicial penal abierto en el Juzgado de Instrucción Nº 45 de Madrid obligó a la AEPD a suspender la tramitación de su procedimiento sancionador en virtud del artículo 7 del Real Decreto 1398/1993, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora. Una vez se tuvo conocimiento de la firmeza del auto por el que se acuerda el sobreseimiento provisional y archivo de las diligencias previas, la Agencia Española de Protección de Datos reanudó el procedimiento administrativo, resolviéndolo tras el correspondiente plazo de presentación de alegaciones.

La Ley Orgánica de Protección de Datos establece en su artículo 6.1 que el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado, salvo determinadas excepciones no aplicables en este caso concreto. En el marco de la investigación realizada, la Agencia Española de Protección de Datos ha constatado que Google recogió información de diversa tipología sin que los afectados tuviesen conocimiento de que dicha recogida de datos se estaba llevando a cabo y sin su consentimiento. La compañía recabó, entre otra, información relativa a direcciones de correo electrónico de personas físicas, códigos de usuario y contraseña que permiten el acceso a cuentas de correo electrónico, direcciones IP, direcciones MAC de los routers y de los dispositivos conectados a los mismos o nombres de redes inalámbricas (SSID) configurados con el nombre y apellidos de su responsable. No se ha constatado que Google tratase datos especialmente protegidos a través de estos sistemas.

En cuanto a que los datos se recogiesen de redes WiFi abiertas, la resolución especifica que “el hecho de que los titulares de redes WiFi no aseguren el cifrado de estas redes, en perjuicio de la seguridad de sus datos, no autoriza en modo alguno la recogida de la información llevada a cabo ni ningún uso posterior de la misma”. Para determinar la cuantía de la sanción, la mayor en el caso de las infracciones graves, se ha considerado, entre otros factores, el carácter continuado de la infracción (desde mayo de 2008 a mayo de 2010), el volumen masivo de datos personales recogidos; la vinculación de la actividad de Google con la realización de tratamientos de datos de carácter personal, el volumen de negocio o actividad de la compañía considerando su modelo económico; que las infracciones son el resultado del sistema de recogida y tratamientos de datos diseñado por Google, así como el perjuicio que dicho sistema causa a la privacidad de las personas afectadas[1].

_______________________________

[1] Fuente de la información: Sitio "Protección de Datos", texto  “Proyecto Google Street View”, y AEPD. Visitados el 11/11/2017.