Читать книгу Anuario de Derecho Administrativo 2018 - Miguel Ángel Recuerda Girela - Страница 9

2.1. Descripción y calificación de la infracción

Mediante Resolución 02829/2017, de 20 de octubre, la AEPD pone fin al procedimiento sancionador incoado contra GOOGLE igualmente como consecuencia de una investigación iniciada de oficio, no en respuesta a una denuncia. Se le impone una multa de 300.000 € por infracción grave consistente en el tratamiento de los datos personales de los titulares de redes inalámbricas (WiFi) y otros afectados sin informar adecuadamente y sin su consentimiento. Estos datos se recogen por GOOGLE LLC y se someten a tratamiento sin que concurra ninguna causa que habilite para ello y sin el citado consentimiento.

En concreto, según este acto administrativo la compañía es responsable del servicio «Google Street View» que se ofrece como complemento del servicio «Google Maps». El proyecto contempla la recogida de la información de redes inalámbricas, que se guarda en ordenadores instalados en vehículos. Esa información incluye direcciones de correo electrónico; códigos de usuario y contraseña para sitios web; direcciones IP; direcciones MAC de los routers; nombres de las redes inalámbricas (SSID) configurados con el nombre y apellidos de su responsable; posiciones geográficas en las que fueron detectadas las redes; etc. La información se recabó por GOOGLE sin conocimiento por parte de los afectados ni consentimiento al efecto.

2.2. Criterios para la fijación de la sanción

En la resolución objeto de análisis se toman en consideración los siguientes criterios para fijar el importe de la sanción en la cuantía máxima:

- Carácter continuado de la infracción: la recogida de datos se produce en un periodo de dos años (de mayo de 2008 a mayo de 2010).

- Volumen masivo de datos personales que la entidad recaba y somete a tratamiento: se recogieron millones de tramas sin descartarse las de tipo «data» y el territorio cubierto abarca el 80% de las vías del territorio peninsular.

- Vinculación de la actividad de la entidad con la realización de tratamientos de datos de carácter personal: este criterio se justifica en que la empresa «tiene como actividad la prestación de servicios a través de Internet y tiene un constante tratamiento de datos de carácter personal». Posteriormente se valorará esta justificación que consta literalmente en la resolución.

- Volumen de negocio o actividad, sin añadir una referencia concreta a su extensión o cifra.

- Importancia de la información personal en el desarrollo de la actividad empresarial y en la obtención de beneficios. Tampoco se menciona cifra alguna.

- Las infracciones son el resultado de un sistema de recogida y tratamientos de datos diseñados por la propia entidad. La AEPD destaca que la equipación de los vehículos y el software diseñado por GOOGLE posibilitaba la recogida de información de redes WiFi, incluida las tramas de tipo data, y su almacenamiento en un formato propiedad exclusiva de dicha entidad.

- Perjuicio que dicho sistema causa a la privacidad de las personas afectadas, sin explicar la relación de causalidad ni los concretos perjuicios (económicos, morales, etc.) sufridos por individuos identificados o identificables.