Cada vez más, los gigantes tecnológicos como Google o Facebook, se convierten en el foco de atención, entre otras cuestiones, con motivo del tratamiento de datos que realizan respecto de sus millones de usuarios y la forma en que lo llevan a cabo.
A este respecto, ha tenido gran repercusión mediática la resolución del procedimiento sancionador iniciado de oficio en septiembre de 2017 por la Agencia Española de Protección de Datos (en adelante AEPD), en la que la autoridad de control española impone a Whatsapp y a Facebook una multa de 300.000 € a cada una de las entidades: a Whatsapp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento.
Esta no es la primera vez que la AEPD analiza la comunicación de datos entre Whatsapp y Facebook, pues hemos de recordar que como analizamos en otro artículo de este Blog, en agosto de 2017 la AEPD archivó las actuaciones iniciadas a este respecto mediante expediente Nº E/04948/2016, entendiendo en aquel momento que no se vulneraba lo establecido en la normativa de protección de datos.
¿Por qué en esta ocasión la AEPD sí ha sancionado a ambas entidades?
Para poder analizar la resolución y las consideraciones de la AEPD, debemos comenzar recordando que en el año 2014 Whatsapp fue adquirida por Facebook Inc., y en agosto de 2016 la primera entidad actualizó los términos de su servicio y la política de privacidad, introduciendo cambios como el hecho de compartir información de los usuarios de Whatsapp con Facebook.
La aceptación de esas nuevas condiciones se impuso como obligatoria para poder hacer uso de la aplicación de mensajería, y esa comunicación de datos personales a Facebook, que no tiene relación con las finalidades determinadas en la recogida de datos original, se realizó sin ofrecer a los usuarios una información adecuada y sin la opción de mostrar su negativa a las mismas.
Para aquellos usuarios que ya contaban con la aplicación Whatsapp instalada, la compañía solamente habilitó mecanismos para negarse a que la información cedida pudiera ser utilizada con la finalidad de “mejorar la experiencia con los productos y publicidad en Facebook”, pero no con otros fines recogidos en la política de privacidad. Para ello, se ofreció a los usuarios un mensaje con un checkbox premarcado, con la leyenda “Compartir la información en mi cuenta de WhatsApp con Facebook para mejorar mi experiencia con los productos y publicidad de Facebook (…)”.
En el supuesto de usuarios nuevos, no se les proporcionó la opción de negarse a que sus datos fueran cedidos a Facebook para los fines publicitarios o de “mejora de experiencia”, sin permitir instalar la aplicación en caso de oponerse a estas condiciones.
Tal y como expone la AEPD en su resolución sancionadora, la comunicación de datos personales exige el consentimiento del afectado de conformidad con el artículo 11 de la Ley Orgánica, 15/1999 de 13 de diciembre de de Protección de Datos de Carácter Personal (en adelante LOPD), y este consentimiento debe ser libre, específico e informado. Consentimiento que además, con el nuevo Reglamento General de Protección de Datos y el Proyecto de Ley Orgánica de Protección de Datos ha de consistir en una declaración afirmativa, ser demostrable, claramente distinguible, inteligible, de fácil acceso y que se use un lenguaje claro y pueda ser retirado.
En el caso presente, a diferencia de lo que llevó a la AEPD a acordar el archivo de las actuaciones, la AEPD considera que tanto en el caso de usuarios existentes como en el de usuarios nuevos, la aceptación de los nuevos Términos de Servicio y de la Política de Privacidad en su totalidad, se impone como obligatoria para poder hacer uso de la misma, y el consentimiento que se presta con la aceptación de tales términos y política no se considera libre, y por tanto no puede entenderse como válido.
Por otra parte, atendiendo a la necesidad de que el consentimiento prestado por el usuario también ha de ser informado y específico, la resolución de la AEPD añade que la información sobre a quién se pueden ceder los datos, las finalidades para las que se le ceden o la utilización que harán de los mismos los cesionarios “se ofrece de forma poco clara, con expresiones imprecisas e inconcretas que no permiten deducir, sin duda o equivocación, la finalidad para la cual van a ser cedidos”. Así, la AEPD ha seguido la línea del criterio manifestado en su día por el Grupo de Trabajo del Artículo 29 (ver aquí), que consideraba entre otras cuestiones, que a falta de transparencia y de suficientes controles proporcionados a los usuarios, la forma de recabar el consentimiento no fue justa.
Por todo ello, la AEPD determinó que la cesión de datos realizada por Whatsapp a Facebook Inc. es contraria a lo establecido en el artículo 11 de la LOPD, infracción tipificada como grave en el artículo 44.3.k) de la LOPD, siendo sancionada por la AEPD con una multa de 300.000€ de acuerdo con el artículo 45.2 de la citada norma.
En el caso de la infracción declarada a Facebook, la resolución establece que, la red social viene utilizando la información de los usuarios cedida por Whatsapp con finalidades específicas de sus servicios y en beneficio de su actividad. En el momento en que Facebook destina esos datos para sus propios fines publicitarios, de mejora de productos, u otros, requiere de un consentimiento libre, específico e informado de los usuarios para tratar esos datos, que no se ha recabado de conformidad con las normas aplicables.
En base a ello, la AEPD considera que se ha producido una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.b) de la LOPD, sancionándola con una multa de 300.000€ de conformidad con el artículo 45.2 de la mencionada Ley Orgánica.
A pesar de haber impuesto la cantidad más alta de la horquilla establecida por la LOPD para las infracciones graves, esta cuantía parece no ser suficiente para ciertos usuarios, que no han hecho esperar su opinión en internet a este respecto, seguramente debido a que esta sanción llega en un momento de gran revuelo en torno a Facebook tras el escándalo que la entidad ha protagonizado con Cambridge Analytics.