La Agencia Española de Protección de Datos (AEPD) ha comunicado que sanciona con 300.000 euros a Google por incumplimiento de la LOPD en su servicio de recogida de imágenes Street View.
En el año 2010 Google reconoció la existencia de un error en su servicio de Street View. Este fallo suponía la recogida de datos personales sin que existiera consentimiento de los propietarios de los mismos, cuando estas informaciones eran transmitidas a través de redes Wifis abiertas.
La AEPD estudió este fallo y corroboró que a través de sus coches de recogida de imágenes Street View, se estaban recogiendo datos personales sin consentimiento cuando se hacía uso de redes Wifi abiertas. Esto supone un incumplimiento del artículo 6.1 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) que establece que “el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado, salvo determinadas excepciones”, que no son aplicables en este caso concreto.
Aunque la Agencia inició esta investigación en mayo de 2010 tuvo que dejarla en suspensión al cursarse una denuncia por vía judicial penal, cumpliendo con lo exigido en el artículo 7 del Real Decreto 1398/1993, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora. Una vez resuelto este proceso judicial que supuso el sobreseimiento provisional y archivo de las diligencias previas, la AEPD reanudó sus investigaciones que ahora concluyen con la imposición de una sanción de 300.000 euros, la máxima aplicable en esta infracción.
El carácter continuado de esta infracción (desde mayo de 2008 a mayo de 2010), el volumen masivo de datos personales recogidos; la vinculación de la actividad de Google con la realización de tratamientos de datos de carácter personal, el volumen de negocio o actividad de la compañía considerando su modelo económico; que las infracciones son el resultado del sistema de recogida y tratamientos de datos diseñado por Google, así como el perjuicio que dicho sistema causa a la privacidad de las personas afectadas, han sido las causas para aplicar el máximo de sanción.
Google recogió información relativa a direcciones de correo electrónico de personas físicas, códigos de usuario y contraseña que permiten el acceso a cuentas de correo electrónico, direcciones IP, direcciones MAC de los routers y de los dispositivos conectados a los mismos o nombres de redes inalámbricas (SSID) configurados con el nombre y apellidos de su responsable, señala la Agencia en su comunicado.
La resolución de la Agencia está disponible en el siguiente enlace.
En ella se remarca que el hecho de que los titulares de redes Wifi abiertas no tomen las medidas necesarias para cifrarlas y proteger los datos, no supone en ningún caso la libertad para recoger dichos datos, sin que medie consentimiento alguno.
Google solucionó este fallo en 2013 y como hemos dicho reconoció su error. Está dispuesto a hacer efectivo el pago de la sanción y asegura que entre sus compromisos está el de asegurar la privacidad de sus usuarios y servicios.