O Conselho de Estado francês confirmou nesta sexta-feira, 19, a multa de 50 milhões de euros dada ao Google em janeiro de 2019 pela Comissão Nacional de Informática e Liberdades (CNIL), regulador de proteção de dados do país. A CNIL havia alegado “falta de transparência, informações insuficientes e falta de consentimento válido para a personalização de publicidade.”
O relator público na audiência informou que penalidade representa 0,05% do faturamento da empresa e cerca de 1% da multa máxima permitida pelo Regulamento Geral sobre a Proteção de Dados (GDPR), disse o relator público na audiência.
A reguladora recebeu duas reclamações coletivas nos dias 25 e 28 de maio de 2018: uma da associação None Of Your Business (NOYB) e outra da La Quadrature du Net (LQDN) e, a partir daí, começou a investigação para ver se o Google estava ou não de acordo com Regulamento Geral de Proteção de Dados (GDPR), que entrou em vigor em maio de 2018 na União Europeia.
De acordo com a CNIL, o Google não respeita alguns dos princípios fundamentais da legislação europeia sobre dados pessoais, principalmente porque a empresa não informa corretamente o que é feito com os dados pessoais dos usuários do sistema Android. De acordo com o órgão francês, as informações são dispersas, difíceis de serem acessadas, incompletas e pouco imprecisas.
O Conselho de Estado tem como alvo o coração do modelo de negócios da gigante digital: publicidade direcionada usando dados do usuário. O órgão enfatizou em sua decisão: “O primeiro nível de informação oferecido aos usuários parece excessivamente geral, tendo em vista a extensão dos processamentos operados pela empresa, até o grau de intrusão na vida privada que eles implicam e o volume e a natureza dos dados coletados”.
Apelação
O Google apelou e tentou cancelar a multa. O Conselho de Estado rejeitou metodicamente os argumentos da gigante americana. Entre as últimas alegações dadas pelo Google foi de que os usuários quando criam uma conta do Google via Android, eles são devidamente informados sobre o que seria feito com os seus dados.
A empresa norte-americana também alegou que apenas a CNIL irlandesa teria o direito de sanciona-la – uma vez que a GDPR estabelece que as empresas podem determinar o país em que sua conformidade com a lei europeia de proteção de dados deve ser avaliada. Porém, como o Google selecionou a Irlanda somente depois que a sanção foi pronunciada pela CNIL, o Conselho de Estado julgou que a autoridade francesa de proteção de dados tinha o direito perfeito de sancionar a gigante americana.
