Se trata de la primera ocasión en la que la CNIL multa con la sanción máxima prevista en el nuevo reglamento europeo, señalando que la gravedad de la misma se justifica por la gravedad de las deficiencias observadas, que se refieren a principios esenciales del RGPD como la transparencia, la información y el consentimiento.
La autoridad francesa abrió una investigación el pasado mes de junio tras las reclamaciones colectivas presentadas por las asociaciones None Of Your Business (NOYB) y La Quadrature du Net (LQDN), donde acusaban al buscador de no tener una base legal válida para procesar los datos personales de los usuarios de sus servicios, en particular respecto de la personalización de la publicidad.
En el contexto de sus pesquisas, la CNIL realizó un control en línea en septiembre de 2018 con el objetivo de verificar el cumplimiento de la Ley de Protección de Datos y RGPD en el procesamiento de datos personales por Google, concluyendo que la compañía confía en el consentimiento de los usuarios para procesar sus datos con fines de personalización.
En este sentido, la autoridad destacó que "el consentimiento del usuario no está suficientemente informado", ya que la información sobre el tratamiento de los datos se encuentra diluida en varios documentos y no permite al usuario tomar conciencia de su magnitud.
Asimismo, la institución juzgó que el consentimiento obtenido no es "específico" y "no ambiguo, señalando que el método empleado lleva al usuario a dar su consentimiento en bloque, para todos los fines perseguidos por Google (personalización de la publicidad, reconocimiento de voz...).
"Los usuarios esperan altos estándares de transparencia y control por nuestra parte", indicaron desde la compañía estadounidense. "Estamos muy comprometidos con alcanzar estas expectativas y los requisitos de consentimiento del RGPD. Vamos a analizar la decisión para determinar cuáles serán nuestros siguientes pasos", añadieron.