Google: “Demanda colectiva” por recollida de dades personals en navegació privada

Un nou cas entela la imatge de Google posant en qüestió la seva política de protecció de dades al presentar-se una demanda col·lectiva (class action) contra el gegant digital, la raó: qüestionar el seu mode de “Navegació d’incògnit” a Chrome [1]. De fet, Google està acusat de recopilar les dades personals i de navegació dels seus usuaris sense el seu consentiment, tot i que aquests últims estiguin en mode de navegació privat (o d’incògnit) [2].

1.¿Què se li retreu a Google?

El passat 2 de juny, s’ha presentat una demanda col·lectiva a la Cort federal de San Jose a California contra Google. Aquesta acció judicial afecta potencialment a “milions” d’usuaris del cercador Chrome, segons el gabinet d’advocats que va presentar l’acció

La demanda reclama 5 mil milions de dòlars a Google i a la seva casa-matriu Alphabet en compensació pel perjudici, és a dir 5000 dòlars per usuari interessat. S’hi distingeixen dues categories d’usuaris: els propietaris d’un dispositiu Android (clase 1) i els visitants de pàgines web que utilitzen els serveis Google, com Google Analytics o Google Ad Manager, antigament DoubleClick For Publishers (clase 2).

En efecte, el “Mode d’incògnit” promet als usuaris navegar per la web sense ser “rastrejats” i sense que l’historial de navegació sigui guardat per Google. En la presentació del seu servei, Google diu explica:

Quan fa servir la navegació privada, […] Chrome no guarda l’historial de navegació, les galetes, les dades de llocs web ni la informació introduïda en els formularis. Quan navegues en privat, altres usuaris que utilitzin el dispositiu no podran veure el teu historial. Chrome no guarda l’historial de navegació ni la informació introduïda en els formularis. El navegador emmagatzema les galetes i dades del lloc web mentre navegues, però els elimina quan surts del mode d’incògnit” [3].

Així pel que fa a aquesta declaració, és raonable que els usuaris de Google puguin esperar que els seus gestos i accions, mentre naveguen en mode d’incògnit, no siguin recopilats ni utilitzades.

No obstant això, la demanda afirma el contrari: Google rastrejaria les dades de navegació i d’identificació (com la direcció IP) dels usuaris a través de Google Analytics (present a més del 70% de les pàgines d’Internet, segons la demanda), Google Ad Manager, i altres plug-ins, integrats en el codi de la pàgina web. Aquest recull es faria, en la gran majoria dels casos, sense el coneixement dels usuaris i per tant sense el seu consentiment.

No només els usuaris no saben que Google recull les seves dades, sinó que no tenen cap forma significativa d’evitar aquesta recollida de dades, tal com explica la demanda, encara que segueixin les instruccions del cercador per “navegar de manera privada”. En efecte, les pàgines que han implantat serveis com ara Google Analytics o Google Ad Manager, continuen recollint les dades i les transmeten a Google.

A més a més, en relació amb els usuaris de sistema Android, els demandants afirmen que Google recull les seves dades personals a través d’una pràctica de “recopilació passiva”, i això, fins i tot, en mode “Navegació d’incògnit”.

No obstant això, segons la regulació en vigor actualment als EUA, i sobretot el Federal Wiretap Act de 1986, està prohibida la intercepció intencional del contingut de qualsevol comunicació electrònica, sense importar el tipus de dispositiu, independentment del tipus de dispositiu. La demanda també es fonamenta en el California Invasion of Privacy Act (CIPA) que prohibeix qualsevol recopilació de dades durant una comunicació electrònica (com la navegació web) sense el consentiment de l’usuari.

El cercador, per la seva banda, nega el caràcter il·legal d’aquesta recollida d’informació i assegura ser perfectament transparent amb els seus usuaris.

2. Possible paral·lelisme amb les regulacions europees

Si el mode “Incògnit” es veu qüestionat des del punt de vista de la reglamentació nord-americana, pot ser interessant analitzar els fets a través de del prisma de la normativa europea. En efecte, a Europa recopilar les dades personals dels seus usuaris, sense haver-los informat per endavant, pot sortir molt car.

Com a recordatori, les empreses espanyoles i europees han de complir amb les obligacions previstes pel RGPD, vigent des del 25 de maig 2018. Això emmarca la recopilació i el tractament de dades personals, és a dir qualsevol informació relativa a una persona física identificada o identificable (nom, cognom, número de telèfon o fins i tot dades de localització, per exemple).

Es tracta de fer-se la pregunta següent: si se sospiten els mateixos fets contra Google a Espanya / Europa, seria reprensible pel que fa a l’RGPD?

En virtut de l’artícle 5 a) del RGPD: “Les dades personals seran tractades de manera lícita, lleial i transparent en relació amb l’interessat («licitud, lleialtat i transparència») “.

El deure de lleialtat és satisfet per la informació de les persones interessades en el moment de recopilar les dades. Conforme a l’artícle 12 del RGPD, la persona interessada ha de ser informada sobre el tractament “de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill.

En aquest cas, l’ambigüitat mantinguda per Google sobre el fet que l’usuari pot navegar sense ser rastrejat, tot que Google, per mitjà de les pàgines web visitades, recopila una important quantitat de dades via diverses galetes i plug-ins, podria interpretar-se com un incompliment del seu deure de lleialtat.

En fi, es pot evocar la condició de legalitat del tractament de les dades, si l’usuari no ha donat el seu consentiment.

Aquest cas també obre la pregunta de fins a quin punt les demandes col·lectives (“class actions”) podran desenvolupar-se a Europa, encara que aquest és un tema per a professionals de l’dret [4].

3. Sancions

¿Que arrisca una empresa si aquests fets es demostressin pels usuaris europeus?

En cas d’incompliment a la lleialtat i/o a la legalitat del tractament, l’artícle 83 del RGPD estableix una sanció que es presenta com una multa administrativa de fins 20.000.000€ o 4% de la facturació, a la qual es poden afegir eventuals danys i perjudicis pel perjudici sofert per les persones interessades o, fins i tot, demandes penals per recopilació de dades a través de mitjans deslleials (Art. 72 LOPDGDD) [5].

Tot i que la xifra sembli contundent, no és la primera vegada, aquests últims anys, que Google s’enfronta a multes importants en diferents països i per diferents motius. Entre ells, una violació del RGPD per la que França, l’any passat, li va imposar una sanció de 50 milions d’euros, a més a més d’una altra de 150 milions de euros por abús de posició dominant. Però és la Unió Europea qui li ha aplicat les multes més quantioses, sobretot per monopoli, entre les quals en destaca una de 4.343 millones de euros per l’ús de d’Android de fa dos anys i que la companyia va apelar en el seu dia. El tema del monopoli en les cerques, també va fer que, el 2017, la UE li imposés una altra multa de 2.400 millones d’euros [6].

Si t’interessa saber alguna cosa més respecte de les sancions previstes pel RGPD, pots llegir el nostre post “RGPD: Un focus sobre las sancions“.

Tot i que encara no se sap si Google serà condemnat en aquest nou cas que l’afecta, aquesta demanda destaca, la necessitat d’una major vigilància al configurar els rastrejadors en una pàgina web per part d’usuaris i empreses, en particular en un període en què el teletreball està a l’ordre del dia.

A Escuda som experts en l’aplicación del RGPD en las organitzacions com en els Serveis TIC, si tens dubtes o vols més informació no dubtis a trucar-nos al 931 931 848 o en contactarnos a través de d’aquest formulari.

[1] Google faces $5 billion lawsuit in U.S. for tracking “private” internet use

[2] Wikipedia: Modo privado

[3] Ayuda de Google Chrome: Navegar en privado

[4] Signatura: The Future Op Personal Data Class Actions In Europe – Mathilde Gérot and Simon Fitzpatrick

[5] Legislación consolidada: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

[6] MCPRO: Demandan a Google en Estados Unidos por rastrear la navegación privada por Internet

Si vols llegir més sobre aquest tema:

Top Class Actions: Una demanda colectiva sobre Google afirma que su seguimiento viola la privacidad de consumidores

Digital Trends: Modo incognito suscita milionaria demanda contra Google

Computer Hoy: A qué se enfrenta Google por el caso del modo incógnito en Chrome

 

#escuda #Ciberseguretat #Cibersecurity #RGPD #LOPDGDD #NavegacioModeIncognit #NavegarModePrivat #ProteccióDadesPersonals #DadesdeNavegació #RastreigDadesdeNavegacio #PC #Android #Sancions #RastrejarWebs