La CNIL, El regulador francés de protección de datos emitió su primera multa GDPR de $ 57 millones (€ 50 millones). El organismo regulador afirma que Google no ha cumplido con el Reglamento General de Protección de Datos (GDPR) cuando los nuevos usuarios de Android configuran un nuevo teléfono y siguen el proceso de incorporación de Android.

Dos organizaciones sin fines de lucro llamadas "None Of Your Business" (noyb) y La Quadrature du Net originalmente presentaron una queja en mayo de 2018; noyb originalmente presentó una queja contra Google y Facebook, así que veamos qué pasa con Facebook a continuación. Bajo el GDPR, las quejas se transfieren a los perros guardianes de protección de datos locales.

Mientras que Google El cuartel general europeo se encuentra en Dublín. La CNIL llegó a la conclusión de que el equipo de Dublín no tiene la última palabra cuando se trata del procesamiento de datos para los nuevos usuarios de Android: esa decisión probablemente suceda en Mountain View. Por eso la investigación continuó en París.

La CNIL llegó a la conclusión de que Google no cumple con el GDPR cuando se trata de transparencia y consentimiento.

Empecemos por la supuesta falta de transparencia. “La información esencial, como los fines del procesamiento de datos, los períodos de almacenamiento de datos o las categorías de datos personales utilizados para la personalización de los anuncios, se difunde excesivamente en varios documentos, con botones y enlaces en los que se debe hacer clic para acceder a información complementaria. ”Escribe el regulador.

Por ejemplo, si un usuario desea saber cómo se procesan sus datos para personalizar los anuncios, se necesitan 5 o 6 toques. La CNIL también dice que a menudo es demasiado difícil entender cómo se utilizan sus datos, ya que la redacción de Google es amplia y oscura a propósito.

En segundo lugar, el flujo de consentimiento de Google no cumple con el GDPR de acuerdo con la CNIL. De forma predeterminada, Google realmente lo empuja a iniciar sesión o registrarse en una cuenta de Google. La compañía le dice que su experiencia será peor si no tiene una cuenta de Google. De acuerdo con la CNIL, Google debe separar la acción de crear una cuenta de la acción de configurar un dispositivo: el paquete de consentimiento es ilegal bajo la GDPR.

Si elige registrarse en una cuenta, cuando la compañía le pide que marque o desmarque algunas configuraciones, Google no explica qué significa. Por ejemplo, cuando Google le pregunta si desea anuncios personalizados, la compañía no le dice que se trata de muchos servicios diferentes, desde YouTube a Google Maps y Google Photos, no se trata solo de su teléfono Android.

Además de eso, Google no solicita un consentimiento específico e inequívoco al crear una cuenta: la opción de no recibir anuncios personalizados está oculta detrás del enlace "Más opciones". Esa opción está marcada previamente de forma predeterminada (no debería).

Finalmente, de forma predeterminada, Google marca una casilla que dice "Acepto el procesamiento de mi información como se describe anteriormente y se explica con más detalle en la Política de privacidad" cuando crea su cuenta. El consentimiento amplio como este también está prohibido bajo el GDPR.

La CNIL también recuerda a Google que nada ha cambiado desde su investigación en septiembre de 2018.

El presidente de noyb, Max Schrems, nos ha enviado la siguiente declaración:

"Estamos muy contentos de que por primera vez una autoridad europea de protección de datos está utilizando las posibilidades de GDPR para castigar las violaciones claras de la ley". Tras la introducción de GDPR, hemos encontrado que grandes corporaciones como Google simplemente "interpretan la ley de manera diferente" y con frecuencia solo han adaptado superficialmente sus productos. Es importante que las autoridades dejen en claro que simplemente reclamar quejas no es suficiente. También nos complace que nuestro trabajo para proteger los derechos fundamentales esté dando frutos. También me gustaría agradecer a nuestros partidarios que hacen posible nuestro trabajo ".

Actualizar: Un portavoz de Google nos ha enviado la siguiente declaración:

“La gente espera de nosotros altos estándares de transparencia y control. Estamos profundamente comprometidos con el cumplimiento de esas expectativas y los requisitos de consentimiento del GDPR. Estamos estudiando la decisión de determinar nuestros próximos pasos ".