Los reguladores europeos cuestionan la cesión de datos personales de usuarios de WhatsApp a Facebook

27/1/2018 06:00

Actualizado: 13/8/2020 13:35

Este viernes tuvo lugar en Londres la reunión convocada por la Oficina del Comisario de Información (ICO), regulador del Reino Unido a la que acuden todos los integrantes del Grupo del Artículo 29, reguladores europeos en materia de privacidad, entre los que se encuentra la Agencia Española de Protección de Datos.

Se abordaron temas como la cesión de datos de Whatsapp a Facebook, prohibida ya en algunos países o estudiar una estrategia conjunta que pudiera concluir con posterioridad en una sanción importante.

Hay que recordar que a mediados del mes de diciembre la Comisión Nacional de Informática y Libertades (CNIL), encargada de velar por la protección de datos en Francia y actual presidente del grupo de reguladores europeos del Grupo del Artículo 29, dio al servicio de mensajería móvil WhatsApp un plazo de algo más de un mes para que dejara de transferir datos a Facebook. Un plazo a punto de cumplirse.

El CNIL señalaba en un comunicado WhatsApp rechazó ofrecer una muestra de los datos de usuarios franceses que son transferidos a Facebook, argumentando que, al tener sede en Estados Unidos, solo puede estar sometida a la legislación de este país. De esta forma, la comisión francesa ha entendido que la aplicación ha cometido una «violación de su obligación de cooperar» que establece el Artículo 21 de la Ley de Protección de Datos francesa.

El aviso se produce después de que el regulador constatase que WhatsApp transmite datos de sus clientes franceses, como números de teléfono e informaciones relevantes de su comportamiento, «sin su consentimiento previo y sin que puedan oponerse» a no ser que eliminen su cuenta de WhatsApp, a la que están abonados unos 10 millones de franceses.

El CNIL explicó que los datos de la discordia son los que tienen fines de evaluación y mejoramiento de los servicios («business intelligence»), pues WhatsApp aseguró no haber utilizado aquellos con fines publicitarios, que son los más controvertidos. Según la presidente de la CNIL, Isabelle Falque-Pierrotin, el manejo de datos para «business intelligence» carece de «base legal».

Igual ha sucedido en Reino Unido donde el pasado mes de noviembre la propia Oficina del Comisionado de Información (ICO, por sus siglas en inglés) de Reino Unido anunciaba que ambas plataformas no podrán compartir datos en aquel territorio.

Desde ICO se instaba a Facebook y a WhatsApp a firmar su compromiso para explicar de manera detallada a sus usuarios el uso que le van a dar a sus datos, así como instaurar una herramienta para garantizar un «control permanente sobre esa información».

El regulador británico ha emplazado a Facebook a modificar sus términos de uso para garantizar una mayor transparencia porque, en caso utilizarlos sin el consentimiento expreso, se enfrenta a una sanción, aunque sin concretar la naturaleza o cuantía de una posible multa.

Desde la AEPD su directora ,Mar España, señala que hay varias autoridades nacionales europeas con procedimientos abiertos, entre ellos en España desde el pasado mes de octubre que investiga de oficio la cesión de datos entre ambas compañías, y alude a la reunión de este viernes por CNIL para tratar este tema de forma conjunta y global.

Desde ICO se instaba a Facebook y a WhatsApp a firmar su compromiso para explicar de manera detallada a sus usuarios el uso que le van a dar a sus datos.

“La carta que envió CNIL al al consejero delegado y cofundador de WhatsApp, Jan Koum, Whatsapp se mandó en nombre de todas las autoridades nacionales”. En ella expresaban sus dudas por los cambios realizados en las condiciones de uso y la política de privacidad del servicio, intercambiando, así, datos con Facebook.

Francia y Reino Unido estudian prohibir la cesión de datos de Whatsapp a Facebook. En España la AEPD tiene desde octubre un procedimiento de oficio abierto sobre este tema”.

Una cesión de datos con problemas

Para Ofelia Tejerina, directora jurídica de la Asociación de Internautas, este tema no es nuevo “lo que es nuevo es la respuesta de la CNIL a la situación actual”. Y recuerda que en el 2016, dos años tras esa alianza entre Facebook y Whastapp salió la preocupación por el compartir datos entre ambas empresas. “

Nuestra interlocutora destaca que en España se abrió una investigación de la AEPD para saber si realmente “permitía el usuario de Whatsapp consentir de forma inequívoca e informada para la cesión de datos de su perfil a Facebook como compañía matriz. La propia Agencia acepto y archivo las diligencias en una resolución del 2016 señalando que en el artículo 14 de la LOPD reflejaba que hubiera casillas donde al marcarse se dejaba claro la cesión de datos”.

Sobre la situación actual abierta por CNIL, Tejerina subraya que es posible que se hayan cambiado las políticas de privacidad y realicen tratamientos que no cumplen la normativa europea “ por eso interviene la CNIL aunque la responsabilidad en cualquier caso sería de Facebook Estados Unidos como responsable del tratamiento. Hay sentencias en España del Supremo sobre esta cuestión”

Nuestra interlocutora también alude a una resolución de la AEPD del año pasado sobre Facebook, documentada y fundamentada , cerca de cien páginas “donde se dice que Facebook es responsable de estos datos. Que hay un establecimiento en España cuando los medios para recabar la información personal de los usuarios están situados en territorio español”

Al final el fallo suponía una sanción importante a Facebook de un 1.200.000 euros por una mala política de privacidad por diferentes motivos en una información que CONFILEGAL ya adelantó a sus lectores hace ya algunas semanas.

En esta situación nueva, Tejerina revela que “es posible que la propia finalidad del uso de esos datos haya cambiado, cuestión que no se permite en materia de protección de datos sin que el usuario lo consienta explícitamente”, destaca. Sobre el efecto expansivo de la actuación de CNIL “parece claro porque si ha cambiado la citada finalidad esto es algo que afecta a toda Europa”, indica.

Es posible que la propia finalidad del uso de esos datos haya cambiado, cuestión que no se permite en materia de protección de datos sin que el usuario lo consienta explícitamente

Desde la Asociación de Internautas, ante cualquier consulta sobre este asunto “les recomendamos que tienen que ir a la AEPD como organismo que es competente para decidir sobre los tratamientos de datos que hace Whastapp y Facebook”. Tejerina recuerda que este tipo de asuntos se complican a nivel de investigación cuando hay elementos extraterritoriales a tener en cuenta.

El consentimiento, clave del conflicto

En opinión de Leandro Nuñez, socio de Audens la iniciativa de la CNIL no le sorprende porque hay varios precedentes europeos “ el problema que ha surgido es que la autoridad francesa no vio bien como se hizo la cesión de datos de Whatsapp a Facebook . No podemos olvidar que Whatsapp lo utiliza todo el mundo y no se trataba de dejar el servicio si no estabas de acuerdo con dicha política de privacidad”.

Este experto no descarta un efecto expansivo de actitudes similares a la CNIL en países como el nuestro, donde la AEPD tiene abierto una investigación en estos momentos sobre esta cuestión “se trata de obtener un consentimiento libre, inequívoco como marca la LOPD. Parece que las autoridades del articulo 29 señalan que ese consentimiento no ha sido obtenido de la mejor forma posible”.

El actual presidente del grupo de reguladores europeos del Grupo del Artículo 29, dio al servicio de mensajería móvil WhatsApp un plazo de algo más de un mes para que dejara de transferir datos a Facebook.

Nuñez recuerda que en países como Reino, Unido, Francia o Alemania e incluso España si es viable que se abran procedimientos con sus correspondientes alegaciones para saber si hay sanción o no. “Que Whatsapp comparta datos con Facebook puede ser justificable pero tienen que hacerlo bien. La obtención del consentimiento para ceder datos a una empresa del mismo grupo debe hacerse con cuidado, permitiendo incluso oponerse al ciudadano”.

El problema en cuestión es que el procedimiento de cesión de datos no era todo lo transparente que se requería para el usuario “y luego las finalidades que se explicaron no eran todo lo detallado que se pedía. La finalidad debe estar clara y el usuario debe ser informado de manera específica y concreta. Según las autoridades europeas de protección de datos no se hizo así”, apunta Núñez.

A nivel general, las empresas deberían disponer de una cultura de protección de datos que regulase cualquier decisión económica que se tomara de importancia

Este experto en privacidad señala que en el artículo 15.2 del Reglamento actual de protección de datos en nuestro país indica que “cuando quieras utilizar datos para finalidades que no tienen que ver con la prestación del servicio ( en este caso podría ser la cesión de Whatsapp a Facebook) en esos casos debes ofrecer al usuario la oportunidad de oponerse de forma clara. Eso Whatsapp por lo que parece no lo ha hecho bien”.

Nuestro interlocutor revela que “estamos hablando de las dos mayores redes sociales del momento, con lo cual la cantidad de datos que se pueden cruzar entre ellos es tremenda y su posición dominante en el mercado está clara”. Ya hubo un antecedente en Alemania, donde la autoridad reguladora de la ciudad de Hamburgo prohibía a Facebook accede a datos de Whatsapp en septiembre del 2016.

Para este jurista, a nivel general, “es necesario que las empresas tengan una cultura de protección de datos y conocimiento básico que estas normas existe. De esta forma, cualquier decisión económica que se tome debe contar con el respeto a la normativa de privacidad del país en cuestión”.

Y señala que “en algunas ocasiones los expertos en privacidad son los últimos que se enteran de determinada operación. Ahora con el nuevo Reglamento Europeo de Protección de Datos hay que lanzar con mayor motivo este tipo de mensajes”.

Noticias Relacionadas: