La Corte Suprema de Francia confirmó que la multa impuesta por el regulador francés de privacidad CNIL no es desproporcionada, por lo tanto, Google tendrá que pagar la cifra de 50 millones de euros. Esta ha sido la multa impuesta más alta por violación a la normas del Reglamento de Protección de Datos Europea (GDPR).
El tribunal emitió la confirmación de la multa después de rechazar una apelación por parte de Google dirigida contra la sanción impuesta por CNIL. El Consejo de Estado confirmó que Google no entregó “información suficientemente clara y transparente a los usuarios del sistema de explotación de Android y no les ha permitido dar su consentimiento libre e informado para el procesamiento de sus datos personales con el fin de personalizar anuncios”.
La multa por la que apeló Google fue anunciada en un inicio por el regulador francés en enero de 2019, respondiendo a las quejas presentadas por las asociaciones None Of Your Business (NOYB) y Quadrature du Net.
Las conclusiones de CNIL señalaron que Google violó el GDPR porque no proporcionó información adecuada sobre su política de consentimiento para el procesamiento de datos de usuarios de Android.
Por su parte, el Tribunal Supremo señaló que la información disponible a veces es incompleta, particularmente con respecto a la duración del almacenamiento de datos y los propósitos del procesamiento de datos llevado a cabo por el gigante de Internet. “Google no permite al usuario dar su consentimiento libre e informado para el procesamiento de sus datos con el fin de personalizar la publicidad”, dijo en un comunicado.
Según las normas del GDPR, el usuario debe dar su consentimiento libre, específico e informado y sin ambigüedades para el procesamiento de sus datos personales. Sin embargo, el tribunal declaró que para usar el sistema Android, Google obliga a los usuarios a aceptar que sus datos sean recopilados de forma predeterminada, incluyendo las funciones de personalización de anuncios.
“Si bien la recopilación de consentimiento se lleva a cabo, en este primer nivel (…) el Consejo de Estado confirma la evaluación de la CNIL de que la información relacionada con la focalización de la publicidad no se presenta de una manera suficientemente clara y distinta para que el consentimiento del usuario se recopile de manera válida”.
El Tribunal Supremo francés rechazó el argumento de Google de que CNIL no tiene jurisdicción en este caso. Según la defensa de Google, sólo la autoridad irlandesa de protección de datos tenía jurisdicción.Pero el Consejo del Estado cree que la autoridad de CNIL está justificada por el hecho de que, en el momento de la multa, las operaciones irlandesas de Google no estaban involucradas en las reglas de privacidad de datos relativas a los usuarios que configuraron un nuevo teléfono inteligente Android.