La famosa empresa Google ha resultado sancionada por la Agencia Española de Protección de Datos (AEPD) por el manejo sin consentimiento expreso de datos de índole personal recogidos, mediante redes de wifi, con los coches del conocido servicio de Street View. Ante este hecho, la resolución que la AEPD ha tomado para poner fin al procedimiento abierto por esta causa es la de declarar que existe una infracción de gravedad, imponiéndosele a Google una multa por valor de 300.000 euros.
El desarrollo del procedimiento
La investigación de la agencia de protección de datos se inició de oficio en mayo de 2010, aunque un procedimiento judicial y penal abierto en el Juzgado de Instrucción Nº 45 de Madrid obligó a la AEPD a suspenderlo. Esta suspensión del procedimiento se debió al respeto del artículo 7 del Real Decreto 1398/1993, por el que se aprueba el Reglamento de Procedimiento para el Ejercicio de la Potestad Sancionadora.
Con conocimiento de la firmeza del auto por el que se acordaban tanto el archivo de diligencias previas como el sobreseimiento provisional, la agencia pudo reanudar el procedimiento administrativo, resolviéndolo al cumplirse el plazo de presentación de las alegaciones.
La LOPD, que establece en el artículo 6.1 el consentimiento inequívoco de aquellos afectados por el tratamiento de todos los datos de índole personal, determina también las excepciones, las cuales no resultaron aplicables en este caso. La investigación resultante constató que la empresa Google recopiló información de varios tipos sin ponerlo en conocimiento de las personas a las que pertenecía dicha información y sin que dichas personas ni siquiera estuvieran al tanto de tal recogida de información.
Los datos recabados, entre otros, comprenden las direcciones de correo electrónico de personas físicas, códigos de diversos usuarios y contraseñas que permiten el acceso tanto a cuentas de email como a direcciones IP y MAC de los routers y otros dispositivos conectados a ellos. También los nombres de redes inalámbricas (SSID) configurados con los nombres y apellidos personales de sus responsables. Sin embargo, no se ha demostrado que Google tramitase datos protegidos a través de los sistemas mencionados.
Los datos recogidos de redes WiFi abiertas, según especifica la resolución, no son susceptibles de recogerse de forma autorizada ni de utilizarse, en modo alguno, posteriormente, aun cuando los titulares de las redes inalámbricas no hayan decidido asegurar el cifrado de sus redes.
De este modo, velando por la integridad de la Ley de Servicios de la Sociedad de la Información (LSSICE), se ha determinado la cuantía de la sanción, que es la mayor para casos de infracciones graves. Para ello, entre otras valoraciones, se consideraron tanto la continuidad en el tiempo de la infracción (mayo de 2008 a mayo de 2010) como el alto volumen de datos personales recogidos.
Además, también se han tenido en cuenta la actividad de Google y su vinculación con la realización sistemática de manipulación de datos personales y capacidad de negocio como compañía; en vistas de su modelo económico y que las infracciones son resultado de su sistema de recogida de información, quedando demostrado el perjuicio a la privacidad de los afectados.
