La Agencia Española de Protección de Datos (AEPD) ha multado con 300.000 euros a WhatsApp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y a su vez ha impuesto otra sanción del mismo importe a la red social por tratar esos datos para sus propios fines sin permiso.
El organismo concluye que la comunicación de datos realizada por WhatsApp a Facebook después de que el servicio de mensajería fue adquirido por la compañía de Mark Zuckerberg, no se ajusta a lo exigido por la normativa española y europea de protección de datos. Considera que las dos compañías han cometido sendas “infracciones graves” de la Ley Orgánica de Protección de Datos.
Facebook compró WhatsApp en 2014 y dos años después, esta última actualizó los términos de su servicio y la política de privacidad, “introduciendo cambios como el hecho de compartir información de los usuarios de Whatsapp con Facebook”, señala la AEPD en un comunicado. “La aceptación de esas nuevas condiciones se impuso como obligatoria para poder hacer uso de la aplicación de mensajería, y esa comunicación de datos personales a Facebook, que no tiene relación con las finalidades determinadas en la recogida de datos original, se realizó sin ofrecer a los usuarios una información adecuada y sin la opción de mostrar su negativa a las mismas”, explica el organismo.
La ejecución e información de los cambios diferenciaba entre usuarios que ya tenían el servicio de mensajería instalados y los nuevos usuarios de la aplicación. En el primer caso, la compañía sólo habilitó mecanismos para que los usuarios pudieran rechazar que la información cedida pudiera ser utilizada por Facebook con la finalidad de “mejorar” la “experiencia con los productos y publicidad” en la red social, pero no con otros fines recogidos en la política de privacidad. Además, estos usuarios tenían que aceptar los nuevos términos antes de un plazo concreto para poder seguir utilizando el servicio.
A los usuarios nuevos, ni siquiera se les ofrecía la opción de negarse a que sus datos fueran cedidos a Facebook para los fines publicitarios o de “mejora de experiencia”, sin permitirles instalar la ‘app’ en caso de no aceptar esas condiciones.
“La comunicación de datos personales exige el consentimiento del afectado según el artículo 11 de la LOPD. El actual marco normativo exige que ese consentimiento, además, debe ser libre, específico e informado”, recuerda la la AEDP. En este caso concreto, la entidad considera que el consentimiento “no puede considerarse libre y, en consecuencia, no puede considerarse válido”.
Recuerda además que “la ausencia de información o una información insuficiente determina la falta de consentimiento” y en las acciones de WhatsApp y Facebook analizadas esta información “se ofrece de forma poco clara, con expresiones imprecisas e inconcretas que no permiten deducir, sin duda o equivocación, la finalidad para la cual van a ser cedidos”.
Además, la AEDP entiende que Facebook “viene utilizando la información de los usuarios cedida por Whatsapp con finalidades específicas de sus servicios y, en definitiva, en beneficio de su actividad”, como se deduce de las declaraciones de las propieas empresas. La red social “destina esos datos a su propia finalidad publicitaria y de mejora de sus productos así como para otras finalidades, por lo que requiere de un consentimiento libre, específico e informado de los usuarios para tratar esos datos”, añade el organismo en la nota.
El importe de las sanciones impuestas es el máximo correspondiente a las infracciones graves declaradas, pues la AEDP tiene en cuenta “el volumen de tratamientos efectuados, el volumen de negocio de las infractoras o la vinculación de la actividad de estas con los tratamientos de datos de carácter personal, entre otros”.
