Multas de GDPR contra Google

La (CNIL), la autoridad de protección de datos (DPA) de Francia, impuso una multa de 50 millones de euros ($57 millones) a Google por violar los requisitos de transparencia, información y consentimiento del RGPD al desplegar anuncios dirigidos. La multa más grande por GDPR hasta la fecha y la primera que involucra a una empresa de tecnología de EE. UU. se emitió el 21 de enero de 2019.Cumplimiento del RGPD

La investigación de la CNIL fue desencadenada por quejas de dos grupos de defensa, None of Your Business y La Quadrature du Net, presentadas inmediatamente el 25 de mayo de 2018, fecha de entrada en vigencia del RGPD. Las denuncias alegaban "consentimiento forzado", mediante el cual los usuarios de dispositivos móviles con Android tenían que aceptar la política de privacidad y los términos de servicio completos de Google antes de usar el dispositivo Android. Google carece de una base legal para procesar los datos personales de los usuarios en lo que respecta a la personalización de anuncios.

¿Por qué una multa de 50 millones de euros?

La CNIL se basó en cuatro factores al emitir su multa de 50 millones de euros.

  1. Naturaleza de las infracciones relacionadas con la legalidad (art. 6) y la transparencia (arts. 12 y 13), ambos principios básicos del RGPD y enumerados como desencadenantes del umbral de multa más alto (del 4% de ingresos internacionales) en el RGPD ( Art. 83.5).
  2. Porque las infracciones fueron continuas y constantes después de la fecha de vigencia del RGPD.
  3. Las finalidades del tratamiento, su alcance y el número de personas afectadas.
    • La investigación de CNIL se centró en los usuarios que crearon una cuenta de Google mientras configuraban su dispositivo Android y señaló que se trata de una gran cantidad de personas.
    • Sostienen que debido a la cuota de mercado dominante de Android en el mercado francés de teléfonos inteligentes y la cantidad de usuarios de teléfonos inteligentes en Francia, el procesamiento es enorme.
    • También dada la cantidad de servicios de Google involucrados (más de veinte).
      • La variedad y el tipo de datos involucrados.
      • Los múltiples procesos tecnológicos que permiten a Google combinar y analizar datos de varios servicios, aplicaciones o fuentes externas.
      • Es innegable que estos procesos tienen un “efecto multiplicador” en el conocimiento que la empresa tiene sobre sus usuarios.
      • La empresa tiene los medios para combinaciones potencialmente ilimitadas que permiten un uso masivo e intrusivo de los datos del consumidor.
  4. Al ver las infracciones desde la perspectiva del modelo económico de Google,
    • El tratamiento de los datos de los usuarios con fines publicitarios a través de Android.
    • Ventajas que Google obtiene de ese tratamiento,
    • CNIL encontró que Google debe ser extremadamente cauteloso con respecto a sus responsabilidades bajo el RGPD.

CNIL no dice cómo llegó a la cantidad de 50 millones de euros, pero indica que estas infracciones estarían sujetas a la multa máxima 4% de GDPR. Fine se basó en los ingresos globales de Google en 2017 de 96 mil millones de euros. Está claro que la CNIL no impuso la multa máxima. Sin embargo, aparte de decir que la multa de 50 millones de euros estaba "justificada". CNIL no proporciona ningún razonamiento para este monto inicial o cómo los factores mencionados anteriormente influyeron en el monto.

2018 Decisiones y Multas

Este caso contra Google representa la primera acción de cumplimiento publicada por la CNIL, explícitamente bajo el RGPD y la multa más grande que jamás haya impuesto. También destaca el escrutinio de la notificación y el consentimiento de la CNIL en la publicidad en línea, que se había estado acumulando en los últimos meses, como lo demuestran otras decisiones recientes de la CNIL.

Esta multa llega 1 mes después de que la DPA de Italia multara a Facebook con 10 millones de euros por engañar a sus propios usuarios sobre prácticas de datos. El organismo de control dijo que Facebook enfatizó erróneamente la naturaleza gratuita del servicio sin informar a los usuarios del hecho de que sus datos se utilizarían para generar ganancias para la empresa.

Google no fue la primera multa de GDPR, solo la más grande hasta la fecha.

La primera multa se emitió en Austria en octubre de 2018, aunque no está estrictamente relacionada con el tratamiento de datos personales. Una casa de apuestas recibió una multa de 4.800 € por una cámara de seguridad que estaba grabando parte del pavimento exterior, ya que el RGPD no permite la vigilancia a gran escala de los espacios públicos.

A finales de octubre, el Comisión Nacional de Protección de Dados (Comisión Nacional de Protección de Datos) en Portugal impuso tres multas al Hospital do Barreiro: Estas son las primeras multas relacionadas con el procesamiento y almacenamiento de datos personales. Dos sanciones de 150.000€ y otra de 100.000€. Por un coste total de 400.000 € para el hospital. Las dos primeras multas de 150.000€ fueron por vulneración del principio de integridad y confidencialidad de los datos, y vulneración del principio de minimización de datos, que en teoría impide el acceso indiscriminado a los datos. 985 médicos tenían cuentas activas en el sistema que les daba acceso a los expedientes clínicos, mientras que el hospital tenía solo 296 médicos activos a la fecha de la inspección.

La tercera multa estaba relacionada con la incapacidad del Hospital como controlador de datos para garantizar la confidencialidad e integridad de los datos de sus clientes y pacientes.

A mediados de noviembre, una red social en Alemania, Knuddels.de, recibió 20.000€ bien después de un ataque que provocó la filtración de 808.000 direcciones de correo electrónico, junto con más de 1,8 millones de nombres de usuario y contraseñas. Luego, esta información se publicó en línea sin encriptación. La red social reaccionó diciendo que una vez descubierta la filtración, inmediatamente mejoró sus medidas de seguridad.

Tras el incidente, se descubrió que el sitio web no tenía ningún tipo de protección sobre su información sensible. Según LfDI Baden-Württemberg, la agencia alemana de protección de datos que maneja este caso, una de las razones por las que el sitio web recibió una multa "relativamente baja" fue que actuó con transparencia e implementó rápidamente mejoras de seguridad.

Se esperan multas más altas en 2019

Las sanciones económicas hasta ahora son claramente conservadoras en comparación con las sanciones máximas posibles permitidas, pero con la reciente ola de filtraciones de datos de alto perfil de Marriott, British Airways, y Quora no pasará mucho tiempo antes de que comiencen a aparecer multas más grandes y severas.

¿Cómo puede evitar las multas del RGPD?

¿Qué puedes hacer para evitar una multa de millones de euros o dólares? Lo más importante a tener en cuenta es que es mejor prevenir que curar. Al tener apropiado protección contra fugas de datos para los datos personales que maneja su empresa, puede evitar sanciones y multas.

  • Comience por determinar si el almacenamiento en línea o en prim es la solución adecuada para sus necesidades
  • Controlar quién tiene acceso a él
  • Tenga en cuenta que si utiliza Sync and Share en lugar de un solución para compartir archivos en la nube privada, acaba de duplicar la cantidad de datos que tiene y también ha duplicado el # de ubicaciones que necesita defender. Más uno de estos lugares sobre los que no tienes control.
  • La complejidad reduce la seguridad. Cuanto más compleja sea una solución, menos se utilizará.

Bill Vann tiene más de 25 años de experiencia en TI y tecnologías empresariales. Recibió su licenciatura en Negocios y una maestría en Gestión Empresarial de la Universidad Nacional en San Diego, CA. Bill ha sido miembro activo y colaborador de asociaciones locales como AGC, NECA y CFMA.