A finales de agosto de 2016, el servicio de mensajería Whatsapp envió un mensaje a sus usuarios solicitando la aceptación de los nuevos términos de servicio pero también su consentimiento para compartir datos con Facebook, que en 2014 había procedido a la compra de la famosa app. Sin embargo, la forma en la que se solicitaba este consentimiento y su legitimidad, ha sido objeto de controversia, tal y como veremos en este artículo.
El mensaje al que hacíamos referencia y que aparecía ante todo usuario ya registrado a la App era:
“En WhatsApp estamos actualizando nuestros Términos de Servicio y nuestra Política de Privacidad para reflejar la integración de nuevas funciones, como Llamada WhatsApp. Lee los Términos y la Política de Privacidad para aprender más acerca de tus opciones. Por favor acepta los Términos y la Política de Privacidad antes del 19 de octubre de 2016 para continuar usando WhatsApp”.
Este consentimiento se solicitaba mediante una casilla premarcada y en una ventana que se mostraba a los usuarios de forma opcional.
Por su parte y para los nuevos usuarios, al instalar la aplicación, se podía acceder a un enlace de “Política de Privacidad” donde se recogía lo siguiente:
Por su parte y para los nuevos usuarios, al instalar la aplicación, se podía acceder a un enlace de “Política de Privacidad” donde se recogía lo siguiente:
1. “Nos unimos a Facebook en 2014. WhatsApp es parte de la familia de empresas de Facebook. Nuestra Política de Privacidad explica cómo trabajamos en conjunto para brindarte una mejor experiencia; por ejemplo, al combatir los mensajes no solicitados entre las aplicaciones, hacer sugerencias de productos, y mostrarte ofertas y publicidad relevantes en Facebook. Nada de lo que compartes en WhatsApp–incluyendo tus mensajes, fotos, e información de perfil-será compartido en Facebook, o en alguna de las aplicaciones que pertenecen a la familia, para que otros los vean. De la misma manera, lo que tú publiques en esas aplicaciones no será compartido en WhatsApp para que otros lo vean.
2. Si eres un usuario actual, tendrás la opción de elegir que la información de tu cuenta WhatsApp no sea compartida con Facebook para mejorar tu experiencia con la publicidad y los productos en Facebook. Los usuarios que acepten nuestros Términos y Política de Privacidad actualizados, tendrán 30 días adicionales para tomar esta decisión.”
Frente a la nueva política de privacidad se presentó denuncia ante la Agencia Española de Protección de Datos (AEPD), en la cual se indicaba que el mecanismo empleado para obtener el consentimiento de los usuarios de Whatsapp para la cesión de sus datos a Facebook con fines publicitarios es contrario a lo establecido en el artículo 15 del RLOPD, toda vez que la casilla se encuentra marcada previamente.
Sin embargo, la AEPD decidió dictar resolución acordando el archivo de las actuaciones mediante expediente Nº E/04948/2016 entendiendo no se vulneraba lo establecido en la normativa de protección de datos, y en concreto, los arts. 14 y 15 relativos a la necesidad de recabar el consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma, así como a la forma de recabar dicho consentimiento, ya que:
1. Pese a estar premarcada la casilla, el consentimiento para la finalidad indicada se requería a personas que ya tenían instalada la aplicación, de modo que no se ajusta a los presupuestos del art. 15 referido a la obtención del consentimiento “durante el proceso de formación de un contrato”.
2. El art. 14 no hace referencia alguna a que la casilla no deba encontrase premarcada, sólo exige que se ofrezca un medio sencillo y gratuito para mostrar la negativa, por lo que tampoco se está incumpliendo este artículo.
3. En el caso de nuevos usuarios, se ha comprobado que no existen casillas pre marcadas y se ofrece a los usuarios la posibilidad de configurar la opción de no compartir información con Facebook.
Este criterio establecido en su momento por la AEPD parece que no es compartido por el Grupo de Trabajo del Artículo 29 (GT29) tal y como ha puesto de manifiesto recientemente (ver aquí). Si bien es cierto que en su caso el GT9 ha tomado como base el Reglamento General de Protección de Datos para entender que, si bien la base legal para el intercambio de los datos, es el consentimiento, el RGPD señala que para que éste sea válido, debe consistir en una declaración afirmativa, ser demostrable, claramente distinguible, inteligible, de fácil acceso y que se use un lenguaje claro y pueda ser retirado. Además remarca que el propio RGPD confirma explícitamente que las casillas previamente marcadas no constituyen consentimiento.
Por tanto, el GT29 entiende que la falta de transparencia y de suficientes controles proporcionados a los usuarios, indica que la forma de recabar el consentimiento no fue justa, y que aunque se pudiera llegar a considerar que el intercambio de datos entre WhatsApp y las organizaciones del Grupo puede, en casos específicos y para fines claramente definidos, justificarse o legitimarse en base a un interés legítimo, éste debe ser real, necesario y proporcionado. Pero en este caso para el GT29 el interés legítimo no justifica el intercambio de datos sin los controles de usuario y las garantías adecuadas.
Por último el GT29 va más allá e invita a WhatsApp y Facebook a asistir a una reunión futura para exponer en detalle, cómo deben abordarse las preocupaciones planteadas con base en el cumplimiento del RGPD.