La Agencia Española de Protección de Datos (AEPD) ha dictado una resolución que dice que Google usó sin permiso los datos personales de redes WiFi que fueron recogidos por los vehículos empleados en el servicio de Street View de Google Maps. De este modo, la Agencia declara una infracción grave e impone a Google una sanción de 300.000 euros.

Gracias a la investigación realizada, la AEPD ha constatado que Google recogió y almacenó datos personales transmitidos a través de redes WiFi abiertas sin que los afectados tuviesen conocimiento de ello y sin obtener el necesario consentimiento de los mismos. 

La compañía recabó información relativa a direcciones de correo electrónico de personas físicas, códigos de usuario y contraseña que permiten el acceso a cuentas de correo electrónico, direcciones IP, direcciones MAC de los routers y de los dispositivos conectados a los mismos o nombres de redes inalámbricas (SSID) configurados con el nombre y apellidos de su responsable. 

La Ley Orgánica de Protección de Datos establece en su artículo 6.1 que el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado, salvo determinadas excepciones no aplicables en este caso concreto. 

En cuanto a que los datos se recogiesen de redes WiFi abiertas, la resolución especifica que “el hecho de que los titulares de redes WiFi no aseguren el cifrado de estas redes, en perjuicio de la seguridad de sus datos, no autoriza en modo alguno la recogida de la información llevada a cabo ni ningún uso posterior de la misma”. 

Para determinar la cuantía de la sanción de 300.000 euros, la mayor en el caso de las infracciones graves, se ha considerado, entre otros factores: el carácter continuado de la infracción (desde mayo de 2008 a mayo de 2010), el volumen masivo de datos personales recogidos, la vinculación de la actividad de Google con la realización de tratamientos de datos de carácter personal, así como el perjuicio que dicho sistema causa a la privacidad de las personas afectadas.

La AEPD inició de oficio la investigación de estos hechos en mayo de 2010. No obstante, la existencia de un procedimiento judicial penal abierto en el Juzgado de Instrucción Nº 45 de Madrid obligó a la AEPD a suspender la tramitación de su procedimiento sancionador en virtud del artículo 7 del Real Decreto 1398/1993, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora.

Una vez se tuvo conocimiento de la firmeza del auto por el que se acuerda el sobreseimiento provisional y archivo de las diligencias previas, la Agencia Española de Protección de Datos ha reanudado el procedimiento administrativo, resolviéndolo tras el correspondiente plazo de presentación de alegaciones.