En lo que constituye un importante precedente en materia de protección de datos personales, en un expediente administrativo por presunta infracción a la Ley N° 25.326 de Protección de Datos Personales (“LPDP”), la Agencia de Acceso a la Información Pública (“AAIP”) resolvió aplicar a las empresas Google Argentina S.R.L. (“Google Argentina”) y Google LLC el pasado 1e3 de abril de 2020, las siguientes sanciones pecuniarias:
- Google Argentina: Multa de pesos ochenta mil ($80.000) por la comisión de infracción grave al haber negado el derecho de acceso a la información de una usuaria conforme el art. 14 de la LPDP.
- Google Argentina y Google LLC: Multa de pesos cien mil ($100.000) a cada una de dichas compañías, por la comisión de infracción muy grave por “realizar maniobras tendientes a sustraerse o impedir el desarrollo de la actividad de contralor de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES”, conforme el Punto 3, inc. g) del Anexo I a la Disposición DNPDP N° 7/05 y modificatorias.”
El expediente administrativo en cuyo marco se dispusieron las sanciones aludidas, se inició a partir de la denuncia formulada por un usuario contra Google Argentina -y en el cual posteriormente se incorporó a Google LLC-, sobre la base de una supuesta denegación al acceso a la información relativa a su propia cuenta de Gmail y a diversas cuentas relacionadas (Google Drive, Google Fotos, YouTube), que previamente habrían sufrido el ingreso de un tercero no autorizado, que modificó las contraseñas de ingreso y eliminó el historial de acceso a todos los dispositivos que se encontraban vinculados a dichas cuentas, según expuso la AAIP en los considerandos de la Resolución.
Según consta en la Resolución, el usuario afectado habría requerido a Google Argentina el acceso a sus cuentas y que su información sea restituida, recibiendo una respuesta negativa a lo solicitado y una exclusión de responsabilidad, e informándole asimismo que el requerimiento en cuestión debía en todo caso ser dirigido a Google LLC, de Estados Unidos; reclamo que a posteriori se habría formalizado, sin obtenerse una respuesta favorable.
En dicho marco, el usuario formuló su denuncia ante la Dirección Nacional de Protección de Datos Personales (“DNPDP”), dependiente de la AAIP, dándose intervención a Google Argentina, quien a su turno expuso -entre otras cuestiones- que no tenía responsabilidad por los servicios de Gmail y que carecía de legitimación pasiva, dado a que el titular de Gmail era Google LLC; mientras que, por su parte, Google LLC se presentó espontáneamente y argumentó que la plataforma Google proveía una herramienta online específica para recuperar el acceso a una cuenta de Gmail y sostuvo que solo podría dar información sobre la cuenta en cuestión si hubiera mediado una orden judicial emanada de tribunal competente, a través de una acción de hábeas data.
Al resolver el expediente, la AAIP desestimó las defensas de las denunciadas y sancionó a las mismas en los términos previamente referidos, conforme lo normado en el Punto 2, Inc. b) y en el Punto 3, Inc. g) del Anexo I a la Disposición DNPDP N° 7/05 y sus modificatorias.
Los argumentos importantes que fueron esgrimidos por la AAIP al fundamentar la Resolución fueron los siguientes:
- Alcance de la LPDP: Google LLC es responsable ante la AAIP, dado que la LPDP es una ley de orden público y tiene aplicación en el territorio nacional y que “[l]a jurisdicción federal regirá respecto de los registros, archivos, bases o bancos de datos interconectados en redes de alcance interjurisdiccional, nacional o internacional”. Google LLC no rehusó la jurisdicción de los juzgados federales argentinos, ni la aplicación obligatoria de la LPDP, sino que desconoció la competencia y la autoridad de la AAIP en Argentina.
- Competencia de la AAIP: La AAIP tiene competencia para entender sobre los reclamos de los titulares de datos bajo la LPDP, por lo que Google LLC no solo debe responder ante los estrados judiciales, sino ante también ante la autoridad administrativa.
- Responsabilidad de Google Argentina SRL: Google Argentina SRL es corresponsable ante la AAIP por la administración del servicio Gmail que presta su matriz, Google LLC, en virtud de la interdependencia económica que existe entre las empresas mencionadas. Siendo a modo de ejemplo, que los servicios publicitarios promovidos por filiales tales como Google Argentina rentabilizan la recolección y tratamiento de datos personales efectuados por Google LLC a través de, por ejemplo, Gmail.
- Representación de Google LLC en el país: Google Argentina SRL representa a Google LLC en la República Argentina a los fines de su notificación y emplazamiento. La AAIP consideró que resulta inadmisible que Google Argentina dé traslado de los reclamos de acceso a la información a su matriz, Google LLC, radicada en Estados Unidos y luego pretenda desentenderse.
- Ausencia de mecanismos alternativos: A criterio de la AAIP, es inadmisible que Google LLC no contemple mecanismos alternativos para la recuperación de cuenta y/o de información al mecanismo estándar que se encuentra disponible en su sitio Web.
A partir de dicho razonamiento, la AAIP finalmente concluyó que: “1) las empresas no han colaborado de ninguna manera con la denunciante para que pueda ejercer su derecho de acceso; y 2) tampoco han colaborado con esta Agencia de Acceso a la Información Pública, desconociendo arbitrariamente su autoridad y poder de contralor”, entendiendo por tanto que Google Argentina y Google LLC habían incumplido las previsiones de la LPDP.
Si bien este tipo de sanciones administrativas a Google por infracción a la regulación legal de protección de datos personales vienen ocurriendo en Europa, es la primera vez en Argentina, lo que constituye un precedente administrativo relevante, sin que ello importe que se comparta el razonamiento de la Resolución y aun cuando la misma pudiera no encontrarse firme.
Opinión
Barreiro
opinión
ver todosPASBBA
NORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law