Asufin, la asociación de financieros de España, ha demandado a Google ante la Agencia Española de Protección de Datos (AEPD) al considerar que el gigante norteamericano no cumple con el Reglamento General de Protección de Datos (RGPD), la Directiva europea que vela por el buen tratamiento de la información de los ciudadanos del viejo continente.
Asufin asegura que cuando se solicita la creación de una cuenta de correo se piden datos que no deberían reclamarse, como lo es el registro de actividad en Google Maps (la aplicación de mapas de Google) o Youtube, aplicaciones que nada tienen que ver con un servicio de correo electrónico. Para fundamentar la demanda, Asufin realizó la apertura de una cuenta en el buscador durante los días 25 y 26 de agosto del presente año, y analizó las peticiones de consentimiento de acceso a datos de usuario por parte del gigante norteamericano, .
La asociación de financieros de España hace hincapié en que Google ofrece dos formatos diferentes para que el usuario acepte los permisos para el tratamiento de datos, uno rápido, en el que aparecen marcadas por defecto varias de las opciones, y otro más lento, en el que el usuario va seleccionando una a una.
Asufin pide a la Agencia Española de Protección de Datos que, si es menester, eleve el caso a su organismo equivalente en Europa, la agencia de protección de datos irlandesa
Asufin considera que la compañía norteamericana utiliza un lenguaje poco claro, que no explica con precisión qué sucede con los datos del usuario en el proceso más corto. "En este procedimiento rápido, como vemos, aparecen pre-marcadas por defecto todos los permisos para tratamiento de los datos para fines ajenos al de gestión de una cuenta de correo. Además se facilita esta opción con expresiones como : “búsquedas más rápidas”, “ experiencia personalizada”, “mayor control en los anuncios que ves”, “adaptado a tus preferencias”", refleja la demanda, a la que ha tenido acceso Vozpópuli.
El RGPD exige del responsable una configuración por defecto de los tratamientos que sea respetuosa con los principios de protección de datos, abogando por un procesamiento mínimamente intrusivo: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales. Asufin considera que no se cumple con esta parte del reglamento.
La asociación también acusa a Google de que se ofrecen determinadas ventajas para el usuario que en realidad son para beneficio del buscador. "Se ofrecen como ventajosas determinadas funciones para el usuario (navegación más rápida, ofertas personalizadas…) cuando el principal beneficiado es el propio Google".
Por otra parte, Asufin subraya que el Reglamento General de Protección de Datos exige que, en el caso de una configuración por defecto, los tratamientos sean respetuosos con los principios de protección de datos, abogando por un procesamiento mínimamente intrusivo: mínima cantidad de datos personales, mínima extensión del tratamiento, mínimo plazo de conservación y mínima accesibilidad a datos personales.
La asociación de financieros pide además a la Agencia Española de Protección de Datos que, si es menester, eleve el caso a su organismo equivalente en Europa, la agencia de protección de datos irlandesa.
Google: peticiones encubiertas
La demanda apunta que "de forma intencionalmente confusa, se ofrece una personalización del servicio que oculta una solicitud de consentimiento para el tratamiento de datos que no son necesarios para la finalidad principal (cuenta de correo), que debía ser solicitado de forma clara, inequívoca e informada sin ambigüedades ni vaguedades, conforme al RGPD".
Todas estas infracciones se ven agravadas, siempre según la asociación, por la indeterminación de las "finalidades de la captación de datos y por los numerosos servicios en el marco de los cuales, Google solicita de forma encubierta el consentimiento para el tratamiento. Tratamiento que además presenta de forma secundaria".
El texto de la denuncia concluye que "ni en su política de protección de datos ni en ninguno de los apartados del proceso de alta, se provee por parte del prestador del servicio, información específica ni del fundamento legal ni del legítimo interés que le habilite a proveer esos “servicios personalizados”, cuando la finalidad del contrato para el usuario es tan solo la de abrir una cuenta de correo electrónico. La asociación esgrime que "sin esta justificación, no puede decirse que el tratamiento cumpla con los requisitos del art 6.1 RGPD"".
Finaliza asegurando que "igualmente incurre Google en mala práctica , infringiendo el precepto art 5 .1 a) del RGPD, mediante la obstaculización de los procesos de ajustes de privacidad, que son mucho más largos de lo necesario, de complicado acceso e intencionalmente confusos; lo que obviamente desincentiva al usuario autilizarlos".
.