viernes. 29.03.2024

La Agencia Española de Protección de Datos (AEPD) ha multado con sendas sanciones de 300.000 euros a WhatsApp y Facebook por haber incurrido en dos infracciones graves de la Ley Orgánica de Protección de Datos (LOPD). El organismo ha determinado que la primera compañía comunicó datos de usuarios a la segunda, que posteriormente los trató para sus propios fines, en ambos casos, "sin haber obtenido un consentimiento válido de los usuarios".

En agosto de 2016, WhatsApp, que fue adquirida por Facebook en 2014, actualizó los términos de su servicio y la política de privacidad, para introducir cambios como el hecho de compartir información de sus usuarios con la red social.

La AEPD ha indicado que la aceptación de estas condiciones se impuso como "obligatoria" para poder utilizar WhatsApp, y esa comunicación de datos a Facebook, que "no tiene relación" con las finalidades determinadas "en la recogida de datos original", que se realizó "sin ofrecer una información adecuada y sin la opción de mostrar su negativa a las mismas". 

Para los usuarios que ya tenían instalado WhatsApp antes de esta fecha, Facebook "solo" habilitó mecanismos para rechazar que la información cedida pudiera ser utilizada con la finalidad de "mejorar" la "experiencia con los productos y publicidad en Facebook", pero "no con otros fines" recogidos en la política de privacidad. Además, tenían que aceptar los nuevos términos "antes de un plazo concreto" para seguir utilizando el servicio. 

En el caso de los usuarios nuevos, la AEPD ha criticado que "ni siquiera" se les ofrecía la opción de negarse a que sus datos fueran cedidos a Facebook para estos fines, sin permitir instalar la aplicación en caso de no aceptar esas condiciones.

Según el Artículo 11 de la LOPD, la comunicación de datos personales exige el consentimiento del afectado

INFORMACIÓN "IMPRECISA E INCONCRETA"

Según el Artículo 11 de la LOPD, la comunicación de datos personales exige el consentimiento del afectado, que además debe ser "libre, específico e informado". Así, la resolución del organismo gubernamental ha recogido que exigir el consentimiento como "requisito" para hacer uso de WhatsApp, y considerando su "implantación social", puede entenderse como "algo que ejerce una influencia real en la libertad de elección del interesado". Por ello, ha determinado que, en este caso, el consentimiento "no puede considerarse libre" ni "válido".

Asimismo, la validez del consentimiento prestado por el usuario depende de que este sea "informado y específico", de modo que una información ausente o insuficiente "determina la falta de consentimiento", ha explicado la AEPD. La resolución ha afirmado que la información sobre posibles receptores de los datos, las finalidades o el uso que se harán de los mismos se ofrece "de forma poco clara", con expresiones "imprecisas e inconcretas" que "no permiten deducir, sin duda o equivocación", la finalidad para la cual van a ser cedidos.

FACEBOOK MANIFIESTA LAS MISMAS "DEFICIENCIAS"

En el caso de Facebook, la resolución establece que la red social "viene utilizando" la información de usuarios cedida por WhatsApp "con finalidades específicas de sus servicios" y, en definitiva, "en beneficio de su actividad". La AEPD ha explicado que Facebook destina esos datos con finalidad "publicitaria y de mejora de sus productos", entre otras, por lo que requiere de un consentimiento "libre, específico e informado" de los usuarios para tratarlos. 

En consecuencia, la Agencia ha determinado en su resolución que estas "deficiencias" en relación con la información facilitada a los usuarios de WhatsApp sobre la cesión de sus datos personales y el consentimiento prestado "se reproducen" en el caso de Facebook, por lo que el consentimiento otorgado por parte de los usuarios, "no puede considerarse libre, específico e informado". 

La sanción de 300.000 euros impuesta a cada entidad es la cuantía máxima correspondiente a las infracciones graves declaradas. La AEPD ha resuelto la imposición de estas dos multas teniendo en cuenta factores como el "volumen de tratamientos" efectuados, el "volumen de negocio" de ambas empresas o la vinculación de su actividad con los tratamientos de datos "de carácter personal". 

Multan con 600.000 euros a WhatsApp y Facebook por utilizar datos de usuarios sin...