La Agencia Española de Protección de Datos (AEPD) impone una sanción de 10 millones de euros a Google por dos infracciones graves en atención al Reglamento General de Protección de Datos (RGPD): por un lado, infracción del artículo 6 RGPD, por la que se imponen 5 millones de euros de sanción y, por otro lado, infracción del artículo 17 del RGPD, por la que se imponen otros 5 millones de euros de sanción.
Las infracciones se dan en el contexto del buscador que recibe el nombre de Proyecto Lumen, un buscador que recoge reclamaciones relacionadas con el contenido en línea y con el que colaboran empresas como Google, Twitter, YouTube, Wikipedia, Medium, WordPress, entre otros. En otras palabras, se trata de un buscador en el que se recogen las reclamaciones dirigidas contra empresas como Google en internet, con motivo del ejercicio de derechos de protección de datos o de propiedad intelectual.
Google, en su colaboración con este buscador, envía los datos de aquellas personas que le dirigen reclamaciones, por lo que, según ha entendido la AEPD, se estaba produciendo una cesión de datos a terceros, cesión que no se podía justificar con ninguna de las bases de legitimación previstas en el RGPD. En este caso, las cesiones de los datos se llevaban a cabo sin el conocimiento y, en consecuencia, sin el consentimiento de los interesados. Para más inri, ninguna política de protección de datos menciona esta cesión ni finalidad de tratamiento.
La AEPD, en cambio, no se queda ahí, sino que considera que, además de un tratamiento de datos sin base de legitimación, se está produciendo una infracción relacionada con la posibilidad de los interesados de ejercitar su derecho al olvido: si Google ha atendido a este derecho, no debería ser posible que hubiera un tratamiento ulterior de los datos, como es el envío de los mismos a un tercero; los datos no se han eliminado en realidad.