Multa a Facebook y WhatsApp por cesión y tratamiento de datos sin consentimiento
Recientemente hemos conocido la sanción por la Agencia Española de Protección de Datos a Facebook INC y a WhatsApp INC. En dicha resolución, la AEPD ha impuesto una multa de 300.000€ a WhatsApp por ceder datos a la entidad Facebook sin el requerido consentimiento; y otra de la misma cantidad a Facebook, por realizar un tratamiento de dichos datos de carácter personal.
En lo relativo al consentimiento para la cesión de los datos, la Agencia estudió el aviso de privacidad enviado a todos los usuarios existentes de la conocida red social, en el que se indicaba la nueva política de privacidad. En dicho aviso se establecía el siguiente mensaje “compartir la información de mi cuenta de WhatsApp con Facebook para mejorar mi experiencia con los productos y publicidad en Facebook. Tus chats y número de teléfono no serán compartidos en Facebook independientemente de este ajuste”. En el caso en el que el usuario no aceptase la cesión se indicaba que “la información de la cuenta no será usada para mejorar tu experiencia con los productos y publicidad de Facebook”. Por lo tanto, si el usuario no marcaba la casilla Aceptar los datos no serían utilizados por Facebook, pero no significa que la misma se realice con otras finalidades. En el caso de los nuevos usuarios, al descargarse la aplicación, la entidad denunciada no ofrece tan siquiera la posibilidad de aceptar o rechazar la cesión y posterior tratamiento de los datos, infringiendo claramente la normativa actual. Así la compañía de mensajería instantánea sólo habilitó mecanismos para aceptar la cesión con la finalidad de mejorar el servicio de Facebook y a los usuarios existentes, “ejerciendo una influencia real en la libertad de elección del interesado”.
El aviso de privacidad, según la Agencia, no permite al usuario conocer la utilización que se hará de los mismos; no se especifica qué servicios concretos requieren la utilización de la información recogida. Tampoco establece restricción alguna sobre los datos que se cederán en relación con las finalidades expresadas, ni informa de manera expresa e inequívoca acerca del carácter obligatorio o facultativo de la respuesta del usuario a la presuntas que le sean planteadas o de las consecuencias de la obtención de los mismos o de la negativa a suministrarlos.
En consecuencia, la AEPD ha considerado que el consentimiento requerido para la libre aceptación de la política de Privacidad y Términos de Servicios de WhatsApp no puede ser libre, especifico e informado y por ese motivo se considera que no ha sido válido.
En cuanto a las actuaciones de Facebook, entiende la AEPD, tras las declaraciones realizadas por las dos entidades, la red social ha utilizado la información cedida para mejorar sus servicios publicitaros y por tanto el tratamiento realizado exige un consentimiento previo del interesado, que conforme a lo anteriormente explicado no ha sido de conformidad con la Ley Orgánica de Protección de Datos.
El acceso a los datos de usuarios WhatsApp a Facebook no se realiza con la finalidad exclusiva de prestar un servicio al responsable del fichero, sino en propio beneficio publicitarios y empresariales, para mejorar sus productos por lo que la acción realizada no puede ampararse en la actividad del encargado del tratamiento, sino que supone una verdadera cesión de datos, por lo que al no contar con un consentimiento válido constituyendo una infracción grave del art 45.2 y 4 LOPD que implica la sanción de 300.000€ a cada una de las entidades.