La AEPD sanciona a Facebook y WhatsApp por ceder y tratar datos personales sin consentimiento

  • Seguridad

La Agencia Española de Protección de Datos ha multado con 300.000 euros tanto a Facebook como a WhatsApp por ceder y tratar datos respectivamente sin consentimiento expreso de los usuarios. La investigación fue abierta a finales de 2016.

Quizá te interese...

DevOps: cómo fomentar la agilidad de tu negocio

Principales retos de los CIO en un mundo cloud nativo

Gestión de vulnerabilidades (IT Webinar) 

Dominando la complejidad operativa de las aplicaciones IoT

La Agencia Española de Protección de Datos anunció a principios del mes de octubre de 2016 que iba a abrir una investigación contra WhatsApp para conocer de qué manera afectaba a la privacidad su decisión de compartir los datos con Facebook. Esta actuación de la Agencia española estaba en línea y se ha coordinado con iniciativas similares de Autoridades de Protección de Datos como Alemania, Italia o Reino Unido, si bien cada una actúa ejerciendo las potestades que le confieren sus respectivos ordenamientos nacionales.

En el caso de España, la AEPD ha declarado la existencia de dos infracciones graves de la Ley Orgánica de Protección de Datos, sancionadas cada una con 300.000 euros. Una de ellas a Whatsapp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento.

Cabe recordar que WhatsApp fue adquirida por Facebook en 2014. En agosto de 2016, la primera actualizó los términos de su servicio y la política de privacidad, como el hecho de compartir información de los usuarios de Whatsapp con Facebook.

“La aceptación de esas nuevas condiciones se impuso como obligatoria para poder hacer uso de la aplicación de mensajería, y esa comunicación de datos personales a Facebook, que no tiene relación con las finalidades determinadas en la recogida de datos original, se realizó sin ofrecer a los usuarios una información adecuada y sin la opción de mostrar su negativa a las mismas”, asegura la AEPD en un comunicado en el que recuerda que “en el caso de usuarios que ya tenían instalada Whatsapp, la compañía sólo habilitó mecanismos para rechazar que la información cedida pudiera ser utilizada con la finalidad de “mejorar” la “experiencia con los productos y publicidad en Facebook”.En el caso de los usuarios nuevos, “ni siquiera se les ofrecía la opción de negarse a que sus datos fueran cedidos a Facebook para los fines publicitarios o de “mejora de experiencia” antes mencionados, sin permitir instalar la app en caso de no aceptar esas condiciones”.

Normativa

La AEPD recuerda que la comunicación de datos personales exige el consentimiento del afectado según el artículo 11 de la LOPD. El actual marco normativo exige que ese consentimiento, además, debe ser libre, específico e informado. En este caso, la resolución de la Agencia recoge que exigir que los usuarios presten su consentimiento como requisito para poder hacer uso de la aplicación de mensajería Whatsapp y considerando su implantación social puede entenderse, en los términos del Grupo de Autoridades Europeas de Protección de Datos, como “algo que ejerce una influencia real en la libertad de elección del interesado. El consentimiento, en este caso, no puede considerarse libre y, en consecuencia, no puede considerarse válido".

Además, para que el consentimiento prestado por el usuario sea válido, este ha de ser informado y específico, de tal modo que la ausencia de información o una información insuficiente determina la falta de consentimiento.

En el caso de la infracción declarada a Facebook la red social viene utilizando la información de los usuarios cedida por Whatsapp con finalidades específicas de sus servicios y, en definitiva, en beneficio de su actividad, señala la AEPD.