Protección de Datos se declara no competente para investigar a Google por el uso de las ‘cookies’

La Agencia Española de Protección de Datos (AEPD) recaudó 85.000 euros el año pasado en multas a páginas web que incumplían las reglas sobre ‘cookies’, los permisos requeridos al navegar en internet para guardar los datos del internauta y ofrecerle publicidad personalizada. Una normativa europea obliga desde 2020 a los sitios a autorizar el acceso aunque no se acepte el consentimiento. El regulador español ha notificado 22 sanciones, una de 30.000 euros a la aerolínea Iberia.

Esas cifras contrastan con la nula capacidad sancionadora del regulador español, vinculado al Ministerio de Justicia, frente a la tecnológica Google, tal y como admite en un documento la directora de Protección de Datos, Mar España, al que ha tenido acceso Confidencial Digital.

“Tras el análisis realizado no se aprecian indicios racionales de la existencia de una infracción” por parte de Google “en el ámbito competencial de la Agencia Española de Protección de Datos”, afirma en el documento la directora en respuesta a una denuncia.

Mar España explica que sus funciones no alcanzan a investigar al buscador, puesto que Protección de Datos “no es competente respecto de los posibles incumplimientos por parte de operadores no autorizados que no estén establecidos en territorio español”. En el documento responde a la consulta de un particular sobre Google y su sede en Irlanda. La compañía de California (EEUU) tiene una filial en España, Google Spain S.L., con oficinas en Madrid que prestan servicio a las ubicadas en Dublín, la capital irlandesa, con una menor presión fiscal.

Tampoco es competente “en determinados supuestos, respecto de la observancia de los requisitos contenidos en la normativa de servicios de la sociedad de la información, en relación con el envío de comunicaciones electrónicas comerciales (‘spam’) o con la instalación de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios (‘cookies’)”, asegura la directora de la AEPD en el documento, de tres hojas y firmado el pasado 26 de octubre.

Fuera de sus atribuciones

Protección de Datos, continúa el escrito, “no es competente en ningún caso cuando, estando el prestador de servicios establecido en un Estado no perteneciente al EEE [Espacio Económico Europeo], no dirija sus servicios específicamente al territorio español”. Irlanda y España pertenecen al EEE como países miembros de la Unión Europea.

Sobre las ‘cookies’ en concreto, Protección de Datos se declara incapacitada cuando “el prestador de servicios está establecido en otro Estado del EEE”. Como la pregunta se dirige sobre Google Irlanda, que controla la filial española, queda fuera de su ámbito de actuación.

En 2019, Google implantó una renovada política de privacidad y de condiciones de servicio. La iniciativa traspasaba a la filial en Irlanda la gestión de los datos de los usuarios en Europa. El movimiento centralizó las reclamaciones relativas a las ‘cookies’ en la jurisdicción irlandesa.

Francia, sin embargo, ha sancionado en enero con 150 millones de euros a la compañía tecnológica estadounidense por poner trabas a los usuarios a la hora de rechazar las ‘cookies’. También ha multado con 60 millones a Facebook. La Comisión Nacional de Informática y Libertades (CNIL) les recrimina haber obtenido con esta práctica grandes beneficios económicos a través de la publicidad. El organismo francés reparó en lo fácil que es, con un solo clic, aceptar los permisos, mientras que para negarse hay que pulsar varias veces.

La CNIL relacionó esa dificultad con “desalentar a los usuarios a rechazar las ‘cookies’ e incitarlos a privilegiar la facilidad del botón” de aceptar. Con anterioridad había llamado la atención a Google, que afronta la multa porque la legislación en Francia, distinta a la española, afecta “al tratamiento de datos personales que se lleve a cabo en el marco de las actividades en territorio francés, tanto si el tratamiento tiene lugar en Francia como si no”, y por tanto tiene competencia en relación a las ‘cookies’. Google cuenta en París con la filial Google France.

La denuncia, preferible en Irlanda

Gerard Espuga, experto en privacidad, señala a ECD que la clave de este embrollo está en que la AEPD no puede atender las reclamaciones respecto a las ‘cookies’ “en base al artículo 3 de la Ley 34/2002, de servicios de la sociedad de la información y comercio electrónico (LSSI), entre cuyos supuestos no se encuentran los relativos a la instalación de recuperación de datos en el terminal del usuario (‘cookies’)”.

“La norma especial (en este caso la LSSI) se aplica sobre la norma general, el Reglamento Europeo de Protección de Datos (RGPD), por lo que el ámbito competencial de la AEPD viene establecido en dicha norma especial y no el RGPD, salvo excepciones”, resume.

Aun así, incide Espuga, abogado de BetaLegal, “la LSSI también prevé, en el artículo 2, su aplicación ‘a los servicios de la sociedad de la información que los prestadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España’. En ese caso, hay que tener en cuenta que Google cuenta con la filial Google Spain, teniendo esta la finalidad de garantizar en España la promoción y venta de los espacios publicitarios que ofrece su buscador, que se utilizan para rentabilizar el servicio ofrecido”.

Espuga precisa que para el criterio de la AEPD, en su opinión “erróneo”, “la reclamación debería dirigirse a la autoridad competente del Estado miembro en el que está establecido el prestador, en este caso Irlanda y la Agencia de Protección de Datos Irlandesa (DPA)”.