Google: “Demanda colectiva” por recogida de datos personales en navegación privada

Un nuevo caso empaña la imagen de Google poniendo en cuestión su política de protección de datos al presentarse una demanda colectiva (class action) contra el gigante digital, la razón: cuestionar su modo “Navegación de incognito” en Chrome [1]. De hecho, Google está acusado de recopilar los datos personales y de navegación de sus usuarios sin su consentimiento, a pesar de que estos últimos estén en modo de navegación privado (o de incognito) [2].

1.¿Qué se reprocha a Google?

El pasado 2 de junio, se ha presentado una demanda colectiva ante la Corte federal de San Jose en California contra Google. Esta acción judicial concierne potencialmente a “millones” de usuarios del buscador Chrome, según el gabinete de abogados que presentó la acción.

La demanda reclama 5 mil millones de dólares a Google y a su casa-matriz Alphabet en compensación por el perjuicio, es decir 5000 dólares por usuario interesado. En ella se distinguen dos categorías de usuarios: los propietarios de un dispositivo Android (clase 1) y los visitantes de páginas web que utilizan los servicios Google, como Google Analytics o Google Ad Manager, antiguamente DoubleClick For Publishers (clase 2).

En efecto, el “Modo incognito” promete a los usuarios navegar por la web sin ser “rastreados” y sin que el historial de navegación sea guardado por Google. En la presentación de su servicio, Google precisa:

Cuando usa la navegación privada, […] Chrome no guarda tu historial de navegación, las cookies, los datos de sitios web ni la información introducida en los formularios. Cuando navegas en privado, otros usuarios que utilicen el dispositivo no podrán ver tu historial. Chrome no guarda el historial de navegación ni la información introducida en los formularios. El navegador almacena las cookies y los datos de sitios web mientras navegas, pero los elimina cuando sales del modo de incógnito” [3].

Así con respecto a esta declaración, es razonable que los usuarios de Google puedan esperar que sus gestos y acciones, mientras navegan en modo incognito, no sean recopilados ni utilizados.

Sin embargo, la demanda afirma lo contrario: Google rastrearía los datos de navegación y de identificación (como la dirección IP) de los usuarios a través de Google Analytics (presente en más del 70% de las páginas de Internet, según la demanda), Google Ad Manager, y otros plug-ins, integrados en el código de la página web. Esta recopilación se haría, en la gran mayoría de los casos, sin el conocimiento de los usuarios y por tanto sin su consentimiento.

No solo los usuarios no saben que Google recoge sus datos, sino que no tienen ninguna forma significativa de evitar esta recogida de datos, tal como lo señala la demanda, aunque sigan las instrucciones del buscador para “navegar en la web de forma privada”. En efecto, las páginas que han implantado servicios tales como Google Analytics o Google Ad Manager, continúan recogiendo los datos y los transmiten a Google.

Además, en relación con los usuarios del sistema Android, los demandantes afirman que Google recoge sus datos personales a través de una práctica de “recopilación pasiva”, y esto incluso estando en modo “Navegación incognito”.

Sin embargo, según la regulación en vigor actualmente en EE.UU., y sobretodo el Federal Wiretap Act de 1986, está prohibida la intercepción intencional del contenido de cualquier comunicación electrónica, independientemente del tipo de dispositivo. La demanda también se fundamenta en el California Invasion of Privacy Act (CIPA) que prohíbe cualquier recopilación de datos durante una comunicación electrónica (como la navegación web) sin el consentimiento del usuario.

El buscador, por su parte, niega el carácter ilegal de esta recogida de información y asegura ser perfectamente transparente con sus usuarios.

2. Posible paralelismo con las regulaciones europeas

Si el modo “Incognito” se ve cuestionado desde el punto de vista de la reglamentación estadounidense, puede ser interesante analizar los hechos a través del prisma de la normativa europea. En efecto, en Europa recopilar los datos personales de sus usuarios, sin haberlos informado de antemano, puede salir muy caro.

Como recordatorio, las empresas españolas y europeas deben cumplir con las obligaciones previstas por el RGPD, vigente desde el 25 de mayo 2018. Este enmarca la recopilación y el tratamiento de datos personales, es decir cualquier información relativa a una persona física identificada o identificable (nombre, apellido, número de teléfono o incluso datos de localización, por ejemplo).

Se trata de hacerse la pregunta siguiente: si se sospechan los mismos hechos contra Google en España/Europa, ¿sería reprensible con respecto al RGPD?

En virtud del artículo 5 a) del RGPD: “Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)”.

El deber de lealtad es satisfecho por la información de las personas interesadas en el momento de recopilar los datos. Conforme al artículo 12 del RGPD, la persona interesada debe ser informada sobre el tratamiento “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

En este caso, la ambigüedad mantenida por Google sobre el hecho que el usuario puede navegar sin ser rastreado, a pesar que Google, por medio de las páginas web visitadas, recopila una importante cantidad de datos vía diversas cookies y plug-ins, podría analizarse como un incumplimiento de su deber de lealtad.

En fin, se puede evocar la condición de legalidad del tratamiento de los datos, si el usuario no ha dado su consentimiento.

Este caso también abre la pregunta de hasta qué punto las demandas colectivas (“class actions”) podrán desarrollarse en Europa, aunque ese es un tema para profesionales del derecho [4].

3. Sanciones

¿Que arriesga una empresa si tales hechos se demostraran por los usuarios europeos?

En caso de incumplimiento a la lealtad y/o a la legalidad del tratamiento, el artículo 83 del RGPD establece una sanción que se presenta como una multa administrativa de hasta 20.000.000€ o 4% de la facturación, a la cual pueden agregar eventuales daños y perjuicios por el perjuicio sufrido por las personas interesadas, o incluso demandas penales por recopilación de datos por medios desleales (Art. 72 LOPDGDD) [5].

Aunque la cifra parezca contundente, no es la primera vez, estos últimos años, que Google se enfrenta a multas importantes en distintos países y por diferentes motivos. Entre ellos, una violación de la RGPD por la que Francia, el año pasado, le impuso una sanción de 50 millones de euros, además de otra de 150 millones de euros por abuso de posición dominante. Pero es la Unión Europea quien le ha aplicado las multas más cuantiosas, sobre todo por monopolio, entre las que destaca una de 4.343 millones de euros por el uso de Android de hace dos años y que la compañía apeló en su día. El tema del monopolio en las búsquedas, también hizo que, en 2017, la UE le impusiera otra multa de 2.400 millones de euros [6].

Si te interesa saber algo más respecto de las sanciones previstas por el RGPD, puedes leer nuestro post “RGPD: Foco sobre las sanciones“.

Aunque todavía no se sabe si Google será condenado en este nuevo caso que lo toca, esta demanda destaca, más si cabe, la necesidad de una mayor vigilancia al configurar rastreadores en una página web por parte de usuarios y empresas, en particular en un periodo en que el teletrabajo está a la orden del día.

En Escuda somos expertos en la aplicación del RGPD en las organizaciones como en los Servicios TIC, si tienes dudas o quieres más información no dudes en llamarnos al 931 931 848 o en contactarnos a través de este formulario.

[1] Google faces $5 billion lawsuit in U.S. for tracking “private” internet use

[2] Wikipedia: Modo privado

[3] Ayuda de Google Chrome: Navegar en privado

[4] Signatura: The Future Op Personal Data Class Actions In Europe – Mathilde Gérot and Simon Fitzpatrick

[5] Legislación consolidada: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

[6] MCPRO: Demandan a Google en Estados Unidos por rastrear la navegación privada por Internet

Si quieres leer más sobre este tema:

Top Class Actions: Una demanda colectiva sobre Google afirma que su seguimiento viola la privacidad de consumidores

Digital Trends: Modo incognito suscita milionaria demanda contra Google

Computer Hoy: A qué se enfrenta Google por el caso del modo incógnito en Chrome

 

#escuda #Ciberseguridad #Cibersecurity #RGPD #LOPDGDD #NavegaciónDeIncognito #NavegarModoPrivado #ProtecciónDatosPersonales #DatosdeNavegación #RastreoDatosDeNavegación #PC #Android #Sanciones #RastrearWebs