El RGPD entró en vigor el pasado 25 de mayo de 2018, fecha en la que todas las empresas debían estar ya adaptadas. Sin embargo, llegada la fecha pocas eran las empresas que estuviesen totalmente adaptadas. El gigante Google era una de estas empresas que no cumplían con las exigencias del RGPD.
El pasado 21 de enero, la CNIL (Comisión Nacional de la Informática y las Libertades), la autoridad de control en Francia publicaba la sanción de 50 millones de euros impuesta a GOOGLE en aplicación del RGPD. ¿El motivo? Falta de transparencia, información insatisfactoria proporcionada y falta de consentimiento válido para la personalización de la publicidad.
La CNIL comenzó las investigaciones en junio 2018, tras las reclamaciones de dos asociaciones (NOYB y La Quadrature du Net) donde acusaban a GOOGLE de no tener una base legal lícita para procesar los datos personales de los usuarios y, en particular, respecto de la personalización de la publicidad.
La CNIL ha constatado dos incumplimientos del RGPD:
i. Incumplimiento de las obligaciones de transparencia e información.
La CNIL señala que la información que facilita GOOGLE no es fácilmente accesible y además no respeta las obligaciones principales del RGPD: información esencial, el tiempo de almacenamiento de los datos o categorías de datos empleados. Además, la información aportada no era del todo comprensible, clara o concisa.
ii. Incumplimiento de la obligación de tener base legitima para el tratamiento de personalización de la publicidad.
Aunque GOOGLE dijese que tenían el consentimiento de los interesados, la CNIL considera que el consentimiento no se recogía de forma lícita porque (a) el consentimiento no era suficientemente informado y (b) tampoco era específico e inequívoco.
A pesar de las medidas implementadas por GOOGLE, los incumplimientos son tan graves que privan a los usuarios de garantías fundamentales. Por todo ello, la CNIL le impuso una sanción de 50 millones.
