La Agencia Española de Protección de Datos ha sancionado a la empresa Google con 300.000 euros (la multa más alta correspondiente a las infracciones de carácter grave) por recoger y almacenar, a través de los vehículos que emplea para desarrollar la prestación Street View, datos personales de personas físicas transmitidos a través de redes WiFi abiertas. Los afectados no han tenido conocimiento de la captación ni Google ha recabado su consentimiento para almacenarla.
De acuerdo con la información proporcionada por la AEPD, Google recabó, entre otros, datos relativos a direcciones de correo electrónico de personas físicas, códigos de usuario y contraseñas que permiten el acceso a cuentas de correo electrónico, direcciones IP, direcciones MAC de los routers y de los dispositivos conectados a los mismos o nombres de redes inalámbricas (SSID) configurados con el nombre y apellidos de su responsable.
La infracción se ha tipificado como grave porque no se ha constatado que Google tratase datos especialmente protegidos a través del sistema que utiliza para su proyecto Street View.
La AEPD inició de oficio la investigación sobre Google en mayo de 2010. No obstante, tuvo que suspenderla por la existencia de un procedimiento judicial penal abierto en el Juzgado de Instrucción número 45 de Madrid, finalmente archivada. La Agencia Española de Protección de Datos reanudó entonces el procedimiento administrativo que ha acabado con la imposición de una sanción, decisión contra la que cabe recurso contencioso-administrativo en los tribunales.
La Ley Orgánica de Protección de Datos establece en su artículo 6.1 que el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado, salvo determinadas excepciones no aplicables en este caso concreto. La resolución especifica que “el hecho de que los titulares de redes WiFi no aseguren el cifrado de estas redes, en perjuicio de la seguridad de sus datos, no autoriza en modo alguno la recogida de la información llevada a cabo ni ningún uso posterior de la misma”.
Para determinar la cuantía de la sanción, la AEPD ha considerado el carácter continuado de la infracción (al menos desde mayo de 2008 a mayo de 2010), el volumen masivo de datos personales recogidos; la vinculación de la actividad de Google con la realización de tratamientos de datos de carácter personal; el volumen de negocio y la actividad de la compañía, considerando su modelo económico; que las infracciones son el resultado del sistema de recogida y tratamientos de datos diseñado por Google, así como el perjuicio que dicho sistema causa a la privacidad de las personas afectadas.