Las sanciones a Facebook y Whatsapp
Recientemente, la Agencia Española de Protección de Datos (AEPD), ha sancionado a las entidades Whatsapp y Facebook, por ceder y tratar -
respectivamente- datos de carácter personal de sus usuarios sin el preceptivo consentimiento libre, informado e inequívoco. Tanto la aplicación de mensajería instantánea, como el servicio de Facebook, entran en bajo el concepto o definición de red social, y ambas, por consiguiente, deben facilitar a sus usuarios información veraz, clara y transparente, acerca del uso y tratamiento que realizan sobre sus datos personales.
Fundamentos de la sanción
La sanción por parte de la AEPD, se ha fundamentado en los siguientes motivos: con respecto a Whatsapp, por una infracción del artículo 11 de la LOPD, por proceder a la cesión de datos personales a un tercero (Facebook), sin contar con el consentimiento previamente informado e inequívoco de los interesados o afectados (es decir, los usuarios); de otra parte, en relación a Facebook, además de haber obtenido los datos de los usuarios en base a una cesión no legítima, por proceder al tratamiento y utilización de los mismos, infringiendo el preceptivo consentimiento recogido por el artículo 6 de la LOPD.
Asimismo, ha de tenerse en cuenta que, para la apreciación de ambas infracciones, se ha descartado la aplicación de las excepciones al consentimiento contempladas en los artículos 6 y 11 de la LOPD, incluido, para ambos casos, la doctrina sobre el interés legítimo del responsable del tratamiento, dado que esta opción requeriría que no prevalecieran los derechos y libertades del interesado o usuario.
Recordemos además, que la entidad Whatsapp fue adquirida por el gigante Facebook, en el año 2014, y que la primera introdujo cambios en su política de privacidad, dos años después, haciendo referencia a la posibilidad de compartir datos con la segunda red social.
¿Qué sanción les imponen?
La Resolución de la AEPD (R/00259/2018), por la cual se aprecia la comisión de dos infracciones graves en materia de protección de datos, y que procede a imponer sendas sanciones a ambas entidades (300.000 euros de multa, a cada una de ellas), destaca varias consideraciones de relevancia, a tener en cuenta para comprender el alcance de la infracción:
1.- En primer lugar, la Resolución señala que ambas entidades han detallado, que los datos de los usuarios que comparten entre sí, serían los siguientes: el identificador de la cuenta de usuario de WhatsApp, información sobre el dispositivo (Ej: el prefijo y código de la red móvil del país, información de la plataforma, versión de la aplicación, entre otros datos), el estado de última conexión del usuario (o la última vez en que el usuario utilizó el servicio), y la fecha en que el usuario se dio de alta en su cuenta de WhatsApp.
2.- Respecto al consentimiento prestado por los usuarios, para la comunicación o cesión de datos de responsable a responsable –es decir, de Whatsapp a Facebook-, la AEPD considera que la Política de Privacidad de Whatsapp, “por su indefinición, no permite al usuario conocer en la forma precisa que resulta exigible el fundamento que justifica la cesión de sus datos personales, con carácter general, y, menos aún, la utilización que se hará de los mismos; no se especifica qué servicios concretos requieren la utilización de sus datos y qué finalidades específicas justifican esta utilización por un servicio del que puede que no sea usuario; o para un servicio que se creará en el futuro”. Por tanto, considera la AEPD que se produciría una infracción grave del artículo 11 de la LOPD.
3.- En tercer lugar, la AEPD señala que el intercambio de información o datos de los usuarios entre ambas entidades, no atiende a una relación derivada de un encargo de tratamiento de datos, a consecuencia de la prestación de un servicio por parte de Facebook a Whatsapp; por el contrario, la AEPD considera que se trata de una comunicación de datos entre dos responsables del tratamiento, dado que Facebook emplea con posterioridad los datos objeto de la cesión, para finalidades propias, que además difieren de aquéllas para las que originalmente se han recabado los datos por parte de los usuarios. Es decir, considera que emplea tales datos, para fines de su exclusivo interés, fines empresariales, promocionales, comerciales o de otro tipo.
4.- En base al punto anterior, Facebook obtiene datos por medio de una cesión que no se encuentra legitimada, y complementariamente, procede al tratamiento, uso y empleo de dichos datos, actuando como responsable del tratamiento, y sin haber obtenido el previo consentimiento inequívoco, informado, libre y específico, en relación a las finalidades concretas que motivan el tratamiento de los datos de usuarios cedidos por Whatsapp. Se produce, por tanto, sin poder acudir a ninguna de las excepciones que plantea la legislación española, una infracción grave del artículo 6 de la LOPD.
Sin duda alguna, esta decisión adoptada por la AEPD, complica aún más las cosas para los dos gigantes del sector, especialmente para Facebook, empresa sobre la que últimamente se ha centrado el foco de atención, en relación al tratamiento de datos que realiza, la privacidad de sus usuarios y la confidencialidad de su información respecto a terceros. Todo ello, avivado por la inminente aplicación del Reglamento General de Protección de Datos (RGPD), que precisamente, en su regulación del consentimiento del interesado, excluye específicamente la posibilidad de que el mismo se realice de forma tácita o por omisión, debiendo mediar siempre una clara acción afirmativa por parte del titular de los datos.
