A Comissão Nacional de Informática e das Liberdades (CNIL) da França na decisão de 21/01/2019 aplicou ao Google uma multa no valor de R$ 50 milhões de euros, por violação ao Regulamento de Proteção de Dados Pessoais (GDPR).

Em destaque na decisão a ofensa às regras do mencionado Regulamento Europeu que tratam das obrigações de transparência e informação em proteção aos usuários dos serviços de internet. Bem como o descumprimento da obrigação de obtenção de consentimento válido e expresso dos usuários quanto à coleta e ao tratamento de dados pessoais.

Acusa-se que o sistema operacional Android, somente pode ser ativado mediante a criação de conta no Google. E se não houver a aceitação dos termos de confidencialidade o sistema não é ativado.

Google não informa adequadamente os usuários sobre uso dos dados para publicidade

Segundo o Relatório da Comissão, o Google não informa adequadamente os usuários sobre as condições de personalização dos dados, para fins de publicidade comercial por mecanismos de geolocalização.

No campo de anúncios personalizados, não há a menção ao consentimento específico. Assim, não há clareza diante da pluralidade de serviços que processam dados como Busca, Youtube, Google Home, Google Maps, Playstore e Google Fotos.

Também, preliminarmente, a Comissão debateu a respeito de sua competência para julgar o caso. Pois a empresa alegou a incompetência da CNIL para julgar o fato. Mencionou que seu estabelecimento principal está localizado na Irlanda (Google Ireland Limited).

Mas, em resposta, a Comissão francesa decidiu que nos termos de confidencialidade entre o Google e os usuários franceses não hão a menção a respeito da sede principal ser na Irlanda. Assim, com fundamento no Regulamento Geral de Proteção de Dados da União Europeia, a Comissão decidiu que a empresa Google Irlanda Ltda. não pode ser considerada como estabelecimento principal do Google LLC na Europa.

Deste modo, na ausência de estabelecimento principal para permitir a identidade de autoridade competente (não informado aos usuários), a Comissão francesa decidiu por ser a autoridade competente, com fundamento no art. 58 do Regulamento Europeu, pois na legislação europeia, distingue-se a definição do estabelecimento principal daquela do responsável pelo tratamento de dados pessoais.