La Agencia Española de Protección de Datos (AEPD, en adelante) ha sancionado a las empresas WhatsApp y Facebook a pagar 300.000 euros cada una por dos infracciones graves de la Ley Orgánica de Protección de Datos, al no ajustarse a la normativa española y europea en esta materia.

Concretamente, las sanciones han sido una de ellas a WhatsApp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por haber tratado esos datos para sus propios fines y sin consentimiento.

Whatsapp fue adquirida por Facebook en el año 2014 por un precio que ronda los 20.000 millores de dólares y dos años más tarde, en agosto de 2016, Facebook actualizó los términos de su servicio y la política de privacidad para permitir compartir la información personal de los usuarios entre ambas.

La AEPD señala que Facebook viene utilizando la información de los usuarios cedida por Whatsapp con finalidades específicas de sus servicios y, en definitiva, en beneficio de su actividad. Facebook destina esos datos a su propia finalidad publicitaria y de mejora de sus productos así como para otras finalidades. La aceptación de esas nuevas condiciones es obligatoria para poder utilizar la aplicación de mensajería.

Para el caso de los usuarios que ya tenían instalada la aplicación Whatsapp, la compañía sólo habilitó mecanismos para rechazar que la información cedida pudiera ser utilizada con el fin de mejorar la experiencia con los productos y publicidad en Facebook, pero no con otros fines recogidos en la política de privacidad. Estos usuarios tenían que aceptar los nuevos términos antes de un plazo concreto para seguir utilizando el servicio. En el supuesto de los usuarios nuevos, no se les ofrecía la opción de negarse a que sus datos fueran cedidos a Facebook para los fines publicitarios o de mejora de experiencia, y no se permite instalar la aplicación si no se aceptan esas condiciones.

Tras recibir la resolución de la sanción, WhatsApp se ha manifestado diciendo que se preocupa mucho por la privacidad de sus usuarios. Almacena muy pocos datos y cada mensaje es encriptado de destinatario a destinatario. Dice también que nunca comparten datos en ninguna parte de Europa. Por ello, se defiende cuestionando a la AEPD por haberles sancionado sin aportar pruebas que avalen sus acusaciones.

Para valorar esta sanción, debemos acudir a la Ley Orgánica de Protección de Datos (que se modificará el 25 de mayo de este año) y, según su artículo 11, los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Además, establece que será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar. La comunicación de datos personales a Facebook no tiene relación con las finalidades determinadas en la recogida de datos original.

El artículo 3 de esta ley establece que el consentimiento del interesado es toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen. Los requisitos para obtener el consentimiento del usuario se endurecen bastante con la aplicación del Reglamento y de la nueva Ley Orgánica.

Facebook no se ha servido de estos parámetros para hacerse con dicho consentimiento, pues la comunicación de datos personales se llevó a cabo sin ofrecer a los usuarios una información adecuada y sin la posibilidad de negarse si querían continuar utilizando el servicio, algo que también es objeto de incumplimiento, porque el artículo 11 dice que el consentimiento para la comunicación de los datos de carácter personal tiene también un carácter revocable, opción que no ha facilitado Facebook.

La resolución de la Agencia recoge que exigir que los usuarios presten su consentimiento como requisito para utilizar WhatsApp se entiende como algo que ejerce una influencia real en la libertad de elección del interesado. El consentimiento prestado de esta forma no puede considerarse libre y, por lo tanto, no puede considerarse válido. La ausencia de información o una información insuficiente determina la falta de consentimiento. La información sobre a quién se pueden ceder los datos, las finalidades para las que se le ceden o su utilización se ofrece de forma tan poco clara, con expresiones imprecisas e inconcretas que no permiten deducir, sin duda o equivocación, la finalidad para la que van a ser cedidos.

En atención a la ley actual, son infracciones graves proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas y también iniciar la recogida de datos de carácter personal con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad. De estas infracciones surgen las sanciones impuestas por la AEPD de 300.000 euros por cada empresa, que es la sanción máxima que se puede imponer por una infracción grave teniendo en cuenta factores como el  volumen de tratamientos efectuados, el volumen de negocio de las infractoras o la vinculación de la actividad de estas con los tratamientos de datos de carácter personal, entre otros.

Para una empresa que mueve miles de millones al año, esta multa de 300.000 euros no es gran cosa. La sanción que contempla la actual legislación sobre protección de datos está basada en unas cantidades prestablecidas. El modelo de multas actual aplicado a empresas de este calibre parece que apenas le causa algún perjuicio. Probablemente, este sea uno de los motivos por los que la cuantía de las sanciones va a aumentar considerablemente con la aplicación de la nueva normativa a partir del 25 de mayo.

Con la aplicación del Reglamento y de la nueva Ley Orgánica de Protección de Datos pasarán a ser consideradas infracciones muy graves el incumplimiento de los requisitos exigidos para la validez del consentimiento y la utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado. Además del aumento en la cuantía de las sanciones, estas infracciones ya no son meramente graves, sino muy graves. Por todo ello, la cuantía a pagar será mucho más elevada. Estamos hablando de multas administrativas de 20.000.000 euros como máximo o, tratándose de una empresa como es el caso, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

FUENTES:

Xataka , Noticias jurídicas , La Vanguardia

  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Persona
  • Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, de 24 de noviembre de 2017
  • Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)