Facebook y Whatsapp multados por operar con datos de usuarios
La Agencia Española de Protección de Datos les sanciona con 300.000 euros por cesión y tratamiento de datos sin consentimiento. Han violado la Ley Orgánica de Protección de Datos.
El organismo ha determinado que Whatsapp comunicó datos de usuario a Facebook, que posteriormente los trató para sus propios fines, en ambos casos, sin consentimiento. Según la Agencia Española de Protección de Datos, WhatsApp comunicó datos a Facebook “sin haber obtenido un consentimiento válido de los usuarios”, lo que ha derivado en una sanción al servicio de mensajería. Por su parte, Facebook ha sido multado por haber tratado esos datos para sus propios fines “sin consentimiento”.
WhatsApp fue adquirida por Facebook en 2014. En agosto de 2016, la ‘app’ de mensajería rápida actualizó los términos de su servicio y la política de privacidad, para introducir cambios como el hecho de compartir información de sus usuarios con la red social. La AEPD ha indicado que la aceptación de estas condiciones se impuso como obligatoria para poder utilizar WhatsApp, y esa comunicación de datos a Facebook, que no tiene relación con las finalidades determinadas en la recogida de datos original, se realizó sin ofrecer una información adecuada y sin la opción de mostrar su negativa a las mismas.
Para los usuarios que ya tenían instalado WhatsApp antes de esta fecha, Facebook “solo” habilitó mecanismos para rechazar que la información cedida pudiera ser utilizada con la finalidad de “mejorar” la “experiencia con los productos y publicidad en Facebook”, pero “no con otros fines” recogidos en la política de privacidad. Además, tenían que aceptar los nuevos términos “antes de un plazo concreto” para seguir utilizando el servicio.
En el caso de los usuarios nuevos, la AEPD ha criticado que “ni siquiera” se les ofrecía la opción de negarse a que sus datos fueran cedidos a Facebook para estos fines, sin permitir instalar la aplicación en caso de no aceptar esas condiciones.
Según el Artículo 11 de la LOPD, la comunicación de datos personales exige el consentimiento del afectado, que además debe ser “libre, específico e informado”. La resolución del organismo gubernamental ha recogido que exigir el consentimiento como “requisito” para hacer uso de WhatsApp, y considerando su “implantación social”, puede entenderse como “algo que ejerce una influencia real en la libertad de elección del interesado”. Por ello, ha determinado que, en este caso, el consentimiento “no puede considerarse libre” ni “válido”.
Asimismo, la validez del consentimiento prestado por el usuario depende de que este sea “informado y específico”, de modo que una información ausente o insuficiente “determina la falta de consentimiento”, ha explicado la AEPD. La resolución ha afirmado que la información sobre posibles receptores de los datos, las finalidades o el uso que se harán de los mismos se ofrece “de forma poco clara”, con expresiones “imprecisas e inconcretas” que “no permiten deducir, sin duda o equivocación”, la finalidad para la cual van a ser cedidos.
En el caso de Facebook, la resolución establece que la red social “viene utilizando” la información de usuarios cedida por WhatsApp “con finalidades específicas de sus servicios” y, en definitiva, “en beneficio de su actividad”. La AEPD ha explicado que Facebook destina esos datos con finalidad “publicitaria y de mejora de sus productos”, entre otras, por lo que requiere de un consentimiento “libre, específico e informado” de los usuarios para tratarlos.
En consecuencia, la Agencia ha determinado en su resolución que estas “deficiencias” en relación con la información facilitada a los usuarios de WhatsApp sobre la cesión de sus datos personales y el consentimiento prestado “se reproducen” en el caso de Facebook, por lo que el consentimiento otorgado por parte de los usuarios, “no puede considerarse libre, específico e informado”.
La sanción de 300.000 euros impuesta a cada entidad es la cuantía máxima correspondiente a las infracciones graves declaradas. La AEPD ha resuelto la imposición de estas dos multas teniendo en cuenta factores como el “volumen de tratamientos” efectuados, el “volumen de negocio” de ambas empresas o la vinculación de su actividad con los tratamientos de datos “de carácter personal”.