No passado dia 21 de Janeiro, a Comissão Nacional de Informática e Liberdade (doravante designada por “CNIL”), órgão regulador administrativo francês, e por isso a entidade responsável pela proteção de dados em França, o equivalente à Comissão Nacional de Proteção de Dados (doravante “CNPD”) em Portugal, emitiu a sua deliberação e, por consequência, a explicação dos fundamentos que a levaram a aplicar uma coima de 50 milhões de euros à Google.
Na sequência de duas queixas coletivas apresentadas contra a Google, nos dias 25 e 28 de maio de 2018, provenientes das associações None Of Your Business (NOYB) e a Quadrature du Net, e com o intuito de investigar as queixas recebidas, a CNIL analisou todos os passos pelos quais um Utilizador de um smartphone necessita de passar para configurar o seu dispositivo Android, e por consequência, as etapas necessárias à criação de uma conta Google para utilizar o seu smartphone.
Após essa análise, a CNIL verificou a violação de princípios basilares do Regulamento Geral sobre Proteção de Dados (RGPD), como o de transparência e informação, presentes nos artigos 12.º e 13.º, respetivamente, do supramencionado Regulamento, por parte da Google.
Informações essenciais, como as finalidades para as quais os dados são tratados, os prazos de conservação, entre outros, estão excessivamente espalhados por variados documentos e em diferentes momentos de acesso, não estando dessa forma, facilmente disponíveis e claros para os Titulares.
Como sabemos, é imperatória a necessidade de a Google obter o consentimento do Titular dos dados para o tratamento dos mesmos para fins de personalização da publicidade.
Todavia, a CNIL considerou que o consentimento obtido não terá sido válido. Primeiro, porque o Titular não era suficientemente informado e em segundo lugar, pelo facto de o Titular ser levado, até pelo método de criação da Conta, a dar o seu consentimento em bloco, contrariando assim a obrigação imposta pelo RGPD, de segregação da informação e dos consentimentos.
Senão vejamos: o consentimento só pode ser considerado válido, se ao Titular dos dados, for oferecido controlo e uma opção de aceitar ou recusar as condições apresentadas, sem que a não aceitação lhe seja prejudicial. O consentimento é, na verdade, uma manifestação de vontade livre, específica, informada e explícita, pela qual o Titular aceita o tratamento dos seus dados pessoais. Para além disso, quando o serviço envolva múltiplas operações de tratamento para mais do que uma finalidade, o Titular deve ter opção de escolha sobre quais as finalidades que aceita, não sendo assim permitido que o consentimento seja dado para um conjunto de finalidades de tratamento, como podemos verificar no Considerando 43 do supramencionado Regulamento.
Assim, pela gravidade dos incumprimentos observados em relação aos princípios basilares do RGPD, de transparência, informação e validade do consentimento, e ainda pelo número massivo e o carácter intrusivo dos dados dos Titulares alvo de tratamento, a CNIL aplicou uma multa de 50 milhões de euros à Google, fazendo jus ao seu poder sancionatório.
