La AEPD sanciona con 1.200.000 euros a Facebook por vulnerar la normativa de protección de datos
Facebook.

La AEPD sanciona con 1.200.000 euros a Facebook por vulnerar la normativa de protección de datos

|
11/9/2017 12:11
|
Actualizado: 13/8/2020 13:20
|

La Agencia Española de Protección de Datos (AEPD), tras diferentes investigaciones abiertas, constata que la red social Facebook recopila, almacena y utiliza datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento. Desde la AEPD se indica que existen de dos infracciones graves y una muy grave de la Ley de Protección de Datos e impone a Facebook una sanción total de 1.200.000 euros.

La AEPD forma parte de un Grupo de Contacto junto a las Autoridades de Bélgica, Francia, Hamburgo y Países Bajos, que también iniciaron sus respectivos procedimientos de investigación a la compañía en el 2014 cuando Facebook señaló que había cambiado su política de privacidad. El problema radica en que Facebook solo reconoce la legislación irlandesa mientras que estos reguladores señalan que debe someterse a la normativa de cada país.

Las sanciones de la AEPD son ejecutivas y hay un plazo para abonar esa cantidad. Frente al fallo citado se puede interponer recurso de revisión ante la propia AEPD en un mes tras conocer el fallo,  u optar por un recurso contencioso administrativo ante la Audiencia Nacional, en el plazo de dos meses desde la notificación del propio fallo.

Hay que recordar que en diciembre del 2013 la AEPD, con José Luis Rodríguez, como director de esta entidad, sancionó a Google con 900.000 euros por tres infracciones de la LOPD en relación a los tratamientos de los ciudadanos. Esta acción forma parte de la actuación coordinada iniciada junto a las Autoridades de  Protección de Datos de Alemania, Francia, Holanda, Italia y Reino Unido tras la falta de  reacción de Google a los requerimientos previos

A nivel internacional hay que recordar que en mayo pasado la Comisión Europea imponía una multa de 110 millones de euros a Facebook por proporcionarle información «incorrecta o engañosa» tras la adquisición de Whastaap. La operación se autorizó y ascendió esa compra a 13.800 millones de euros.

Infracción muy grave: Recabar datos personales sin informar del uso que se va a dar

En el marco de la investigación realizada, la Agencia Española de Protección de Datos ha constatado que Facebook recaba datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación sin informar de forma clara acerca del uso y finalidad que le va a dar a los mismos.

En concreto, ha verificado que la red social trata datos especialmente protegidos con fines de publicidad, entre otros, sin obtener el consentimiento expreso de los usuarios como exige la normativa de protección de datos, infracción tipificada como muy grave en la LOPD.

La investigación también ha permitido comprobar que Facebook no informa a los usuarios de forma exhaustiva y clara sobre los datos que va a recoger y los tratamientos que va a realizar con ellos sino que se limita a dar algunos ejemplos.

En particular, la red social recoge otros datos derivados de la interacción que llevan a cabo los usuarios en la plataforma y en sitios de terceros sin que estos puedan percibir claramente la información que Facebook recoge sobre ellos ni con qué finalidad la va a utilizar.

La AEPD también ha confirmado que los usuarios no son informados de que se va a tratar su información mediante el uso de cookies -algunas de uso específicamente publicitario y alguna de uso declarado secreto por la compañía- cuando navegan por páginas que no son de Facebook y que contienen el botón ‘Me gusta’.

Esta situación también se produce cuando los usuarios no son miembros de la red social pero han visitado alguna vez una de sus páginas, así como cuando usuarios que sí están registrados en Facebook navegan por páginas de terceros, incluso sin iniciar sesión en Facebook.

En estos casos, la plataforma añade la información recogida en dichas páginas a la que figura asociada a su cuenta en la red social. Por ello, la AEPD considera que la información facilitada por Facebook a los usuarios no se ajusta a la normativa de protección de datos.

Infracción grave: Política de Privacidad genérica y poco clara

La Agencia también ha constatado que la política de privacidad de Facebook contiene expresiones genéricas y poco claras, y obliga a acceder a multitud de enlaces distintos para conocerla. La red social hace referencia de forma imprecisa al uso que va a hacer de los datos que recoge, de forma que un usuario de Facebook con un conocimiento medio de las nuevas tecnologías no llega a ser consciente de la recogida de datos, ni de su almacenamiento y posterior tratamiento, ni de para qué van a ser utilizados. Por su parte, los internautas no registrados desconocen que la red social recoge sus datos de navegación.

En consecuencia, la Agencia estima que Facebook no recaba de forma adecuada el consentimiento ni de sus usuarios ni de aquellos que no lo son −y cuyos datos también trata−, lo cual constituye una infracción tipificada como grave.

Infracción grave: Datos personales no se cancelan en su totalidad

Finalmente, la Agencia ha podido comprobar que Facebook no elimina la información que recoge a partir de los hábitos de navegación de los usuarios, sino que la retiene y reutiliza posteriormente asociada al mismo usuario. En relación con la conservación de datos, cuando un usuario de la red social ha eliminado su cuenta y solicita el borrado de la información, Facebook capta y trata información durante más de 17 meses a través de una cookie de la cuenta eliminada.

Por ello, la AEPD considera que los datos personales de los usuarios no son cancelados en su totalidad ni cuando han dejado de ser útiles para el propósito para el que se recogieron ni cuando el usuario solicita explícitamente su eliminación, conforme a las exigencias de la LOPD, lo que representa una infracción tipificada como grave.

Grupo de trabajo europeo sobre Facebook

Ante los cambios introducidos por Facebook en sus términos y condiciones de uso en enero de 2015, varias Autoridades de Protección de Datos de la Unión Europea, entre las que se encuentra la AEPD, constituyeron un Grupo de Contacto (Bélgica, España, Francia, Alemania y Países Bajos) a través del cual coordinar sus actuaciones.

Estas autoridades han desarrollado sus respectivos procedimientos de investigación con arreglo a las previsiones de sus ordenamientos nacionales.  Resaltar que en Francia el Comité Restringido de la CNIL ha decidido imponer una sanción de 150.000 euros a Facebook Inc. y Facebook Ireland Limited

Curiosamente un dato a destacar es que en cada una de las investigaciones nacionales antes mencionadas, el Grupo Facebook ha impugnado la aplicabilidad de la legislación nacional de protección de datos del Estado miembro en cuestión.

Según el Grupo Facebook, sólo le sería aplicable la legislación irlandesa sobre protección de datos y sólo la Autoridad irlandesa sería competente para supervisar el tratamiento de datos personales de los usuarios del servicio en Europa frente al criterio de las Autoridades de Protección de Datos que indican que la entidad debe someterse a cada legislación nacional.

Noticias Relacionadas:
Lo último en Áreas y sectores