La investigación abierta a WhatsApp y Facebook por la Agencia Española de Protección de Datos ha concluido con una multa de 300.000 euros para cada una de las compañías; el máximo posible para este tipo de infracción. Ambas empresas, filial y matriz respectivamente, entraron
en el punto de mira de varios países europeos a raíz de una
política de datos compartidos que contravenía las leyes locales.
De forma más concreta, la AEPD señala que WhatsApp cedió información de sus usuarios de forma ilícita a Facebook, que a su vez los trató igualmente de forma contraria a la ley. Ambas situaciones se consideran una infracción grave. Cabe señalar que este no es el primer roce de Facebook con la AEPD, puesto que el año pasado fue
multada con 1,2 millones de euros por el uso ilícito de datos personales y su no eliminación.
El comunicado de prensa de la agencia señala que las nuevas condiciones de uso, necesarias para justificar la política de datos compartidos, fueron impuestas con carácter obligatorio y sin ofrecer información adecuada a los consumidores. Asimismo, los nuevos usuarios de WhatsApp ni siquiera tenían la oportunidad de negarse a compartir dichos datos con Facebook de otra forma que no fuera desinstalando la aplicación de mensajería.
Según señala la AEPD:
La comunicación de datos personales exige el consentimiento del afectado según el artículo 11 de la LOPD. El actual marco normativo exige que ese consentimiento, además, debe ser libre, específico e informado. En este caso, la resolución de la Agencia recoge que exigir que los usuarios presten su consentimiento como requisito para poder hacer uso de la aplicación de mensajería Whatsapp y considerando su implantación social puede entenderse, en los términos del Grupo de Autoridades Europeas de Protección de Datos, como “algo que ejerce una influencia real en la libertad de elección del interesado”. El consentimiento, en este caso, no puede considerarse libre y, en consecuencia, no puede considerarse válido.
Además, para que el consentimiento prestado por el usuario sea válido, este ha de ser informado y específico, de tal modo que la ausencia de información o una información insuficiente determina la falta de consentimiento. La resolución añade que la información sobre a quién se pueden ceder los datos, las finalidades para las que se le ceden o la utilización que harán de los mismos los cesionarios “se ofrece de forma poco clara, con expresiones imprecisas e inconcretas que no permiten deducir, sin duda o equivocación, la finalidad para la cual van a ser cedidos”.
En el caso de la infracción declarada a Facebook, la resolución establece que, como se deduce de las propias declaraciones de ambas entidades, la red social viene utilizando la información de los usuarios cedida por Whatsapp con finalidades específicas de sus servicios y, en definitiva, en beneficio de su actividad. Facebook destina esos datos a su propia finalidad publicitaria y de mejora de sus productos así como para otras finalidades, por lo que requiere de un consentimiento libre, específico e informado de los usuarios para tratar esos datos.
En consecuencia, las deficiencias expuestas en relación con la información facilitada a los usuarios de Whatsapp sobre la cesión de sus datos personales y el consentimiento prestado se reproducen respecto a Facebook, por lo que el consentimiento otorgado a la compañía por parte de los usuarios, “no puede considerarse libre, específico e informado”, añade la resolución de la Agencia.
La resolución (
PDF) incluye algunos detalles interesantes, como que a 15 de febrero de 2017 había 37 millones de usuarios de Whatsapp registrados en España. Según los datos facilitados por WhatsApp, "más del 21% del total de usuarios existentes de WhatsApp que aceptaron los nuevos Términos y Política de Privacidad optaron por no autorizar el uso por Facebook de la información de sus cuentas". Asimismo, "los datos que se comparten con Facebook se refieren a todos los usuarios de WhatsApp, incluyendo aquellos que no son usuarios de Facebook".
La sanción de la AEPD llega tan solo un día después de que WhatsApp anunciara que dejará de compartir información de sus usuarios de la Unión Europea con su matriz hasta que este tipo de operaciones puedan hacerse en cumplimiento con la regulación en materia de datos de la UE, conocida por las siglas
GDPR. La nueva normativa, de aplicación casi inminente, contempla sanciones de hasta 20 millones de euros o el 4 % de la facturación global del infractor en el caso de las faltas de mayor gravedad.
Fuente: AEPD