PUBLICIDAD
PUBLICIDAD

La sanción de la AEPD a Facebook y Whatstapp revela que no hay impunidad para nadie

Mar España directora de la AEPD, máxima autoridad de la entidad y quien sanciona al final de cualquier expediente.
| | Actualizado: 13/08/2020 13:18

La cesión de datos personales sin consentimiento de Whatsapp Facebook ha generado un procedimiento sancionador de la Agencia de Protección de Datos (AEPD) a ambas empresas resuelto por una multa idéntica de 300.000 euros a cada entidad.

Es la primera autoridad de control europea que se posiciona en este frente tras la última reunión del Grupo del articulo 29 en Londres hace unos días, donde se abordó esta cuestión

En el caso de Facebook ya se impuso otra sanción en septiembre pasado.

Queda por ver cuál va a ser la conducta de otros reguladores europeos ante esta situación en los próximos días y si podría haber un frente común de actuaciones frente a esta alianza de Facebook y Whatstapp, como ya se hizo con Google hace años a finales del 2013.

PUBLICIDAD
PUBLICIDAD

CONFILEGAL ha pedido a varios expertos que analicen esta importante sanción y sus consecuencias.

Rodolfo Tesone, abogado, presidente de la Asociación de Expertos e Nacionales de  la Abogacía TIC (ENATIC), una entidad volcada al mundo digital subraya que «Desde el punto de vista técnico, está de acuerdo en las afirmaciones que Leandro Nuñez, socio de Audens y Ofelia Tejerina, secretaria general de la Asociación Internautas señalaban recientemente a este medio.

“Nuestro análisis es más estratégico. La sanción es positiva, desde la perspectiva de los ciudadanos. También lo es, a nivel de un colectivo profesional como el nuestro. Entendemos que las leyes están para cumplirlas y no debe haber sensación de impunidad para nadie. Se podría generar un agravio comparativo y una situación de competencia desleal respecto a las empresas que están en la UE y en España, donde tienen que hacer esfuerzos para adecuarse a la normativa”, explica el abogado.

Por otro lado, Tesone indica que “se observa que este tema se viene arrastrando desde el 2016 y el grupo del Articulo 29, configurado por todos los reguladores de la UE, dio directrices al respecto, nos parece que es un momento muy oportuno, en vísperas del 25 de mayo y la puesta en marcha del Reglamento Europeo de Protección de Datos (RGPD) y desde ahí el régimen sancionador será más contundente. El fallo se puede interpretar como un aviso de cara a estas grandes empresas implicadas”.

PUBLICIDAD

La sanción impuesta por la AEPD es un aviso claro a lo que se avecina tras el próximo 25 de mayo. Nadie va a quedar impune en materia de privacidad

Sin embargo, desde esta entidad profesional “pensamos que la sanción aplicada a Facebook  y a Whataspp, de 300.000 euros a cada una tiene un carácter simbólico, si tenemos en cuenta las magnitudes de capitalización bursátil de cada compañía. Es algo muy pequeño a su volumen de negocio. Creemos que la cuantía de este tipo de sanciones debería estar en consonancia con su poder económico de cara al futuro”.

Tesone no olvida que este tipo de sanciones tienen un componente reputacional que el tema económico.

PUBLICIDAD

Desde ENATIC, se es consciente que hay dos modelos de protección de datos que coexisten: «el europeo es más proteccionista porque en algunos países, como es el caso de España estamos hablando de derechos fundamentales, pero en EEUU hay otro enfoque diferente. Nos preocupa cuál será la postura de la Administración Trump cuando los reguladores europeos vayan a sancionar a empresas de este país por alguna irregularidad. De momento observamos que en sectores como energético y en primeras materias está adoptando una postura proteccionista y, por tanto desleal”.

La autoridad francesa CNIL también advirtió a ambas empresas de una sanción si no les mandaban cierta información.

Mensajería instantánea obligada a cumplir las normas

Eduard Blasi, abogado experto de protección de datos y fundador de Nepcom, aplicación de mensajería instantánea pionera en el ámbito de la privacidad, la seguridad y la comunicación corporativa móvil señala que “El problema se origina en el 2013 cuando unos informes de las autoridades de protección de datos canadiense y holandesa. Ahí detectan una serie de vulnerabilidades de Whatsapp”.

PUBLICIDAD

Recuerda que en aquellos años no se aplicaba la normativa de ningún estado miembro ni la Directiva 95 de privacidad a esta compañía porque se entendía que no hacía tratamientos de datos, hasta que «la autoridad catalana de protección de datos en un dictamen de julio  del 2013 se posicionó por vez primera sobre la responsabilidad de los abogados al utilizar este tipo de aplicaciones de mensajería instantánea, desaconsejando el uso de la misma entre abogados y clientes”.

Hasta la fecha, recuerda Blasi, “simplemente la AEPD había sancionado por el uso de Whatsapp en dos situaciones, la primera por envío de spam que eso fue en una resolución del 2015, una discoteca que lo utilizó como envío de publicidad no deseada. Otro caso fue el caso de los grupos de Whatsapp, a finales del 2016 salió una resolución de la Agencia sobre la organización de estos grupos para una cena de Navidad en un restaurante de Mallorca. Allí se abrieron actuaciones y se apercibió al restaurante”

Posteriormente, nuestro experto recuerda “la constitución de un grupo de Whatsapp por un organismo público, el Ayuntamiento de Boecillo de Valladolid, la AEPD detectó irregularidades en su resolución pero al ser un ente público no sancionó”- Y es que hasta la fecha no se había sancionado a Whatsapp de forma directa.

PUBLICIDAD

La mensajería instantánea y la comunicación en movilidad no está al margen de la normativa de protección de datos

A juicio de Eduard Blasi, el fallo sancionador de la AEPD es sorprendente “había encabezado las investigaciones a nivel europeo, en el grupo del articulo 29 hay una sección que estudia este caso encabezado por la CNIL, autoridad francesa de protección de datos quien en finales de año pasado dio un ultimátum a Whatsapp para recabar cierta información sobre el tema, con la amenaza de una sanción de no recibirla. No hay constancia de la sanción. Al parecer la primera ha sido la autoridad española”.

Para este experto “hay que darse cuenta que el tratamiento de datos que hace Whatsapp en Francia, o en países como España es diferente, por eso es complicado que haya una sanción colectiva por el mismo tema”.

Sin embargo, si cree que sienta un precedente “ la mensajería instantánea y la comunicación en movilidad no está al margen de la normativa de protección de datos”

Y el caso del consentimiento, pilar del nuevo Reglamento Europeo de Protección de Datos (RGPD) es uno de los pilares de esta resolución. Tendrá que hacer su análisis de riesgo pertinente  y pone en alerta a las empresas que utilicen Whatsapp con sus clientes, porque se habla en el fallo de una cesión de datos no bien resuelta desde el punto de vista de la privacidad”.

El consentimiento es clave ahora “debe lograrse de forma correcta, y debe ser libre, específico,  informado  e  inequívoco, principios que fortalece el RGPD”, explica este experto.

El nuevo consentimiento que se requiere desde el RGPD que entrará en vigor el próximo 25 de mayo, caballo de batalla de las grandes empresas.

Facebook y Whatsapp vuelven a tropezar en la piedra: de nuestra privacidad

Otra opinión que se hace valer es la de la Asociación de Internautas. Su presidente, Víctor Domingo señala que “ por  segunda vez en seis meses la Agencia Española de Protección de Datos ha multado con 300.000 euros a Facebook, en está ocasión, por tratar datos cedidos para sus propios fines sin haber obtenido un consentimiento válido por parte de los usuarios. La historia se repite”.

También destaca que “la AEPD también ha multado a Whatsapp con otros 300.000 euros porque sus prácticas no se ajustan a a lo exigido por la normativa española y europea de protección de datos”

“En definitiva nos encontramos ante un caso de reiteración en el manejo los datos de sus usuarios por parte de Facebook que deja en entredicho no solo la ridícula cuantía de la multa sino que sea una vez cada seis meses, aunque la Agencia justifique que la cuantía máxima correspondiente a las infracciones graves declaradas han sido.. » teniendo en cuenta factores como el  volumen de tratamientos efectuados, el volumen de negocio de las infractoras o la vinculación de la actividad de estas con los tratamientos de datos de carácter personal, entre otros”, indica Domingo.

Para el presidente de la Asociación de Internautas, “hay que esperar que a dos meses de la entrada en vigor del Reglamento General de Protección de Datos (GDPR) que abre la posibilidad para que las asociaciones podamos denunciar de forma colectiva ante la Agencia éstas y otras agresiones a la protección de nuestros datos .

Desde la Asociación de Internautas realizan estas consideraciones: “En primer lugar, valoramos positivamente este fallo necesario con objeto de salvaguardar nuestra privacidad, aunque la cuantía aplicada todavía es muy es muy inferior a los 110 millones que impuso en el mes de mayo a Facebook en relación a las operaciones poco transparentes en relación a la adquisición y tratamiento de datos del servicio de mensajería instantánea WhatsApp y la transcendencia que este hecho está teniendo sobre la privacidad de los ciudadanos conectados europeos”.

Otro segundo aspecto que analizan es que “este fallo que acaba de anunciar la AEPD, aunque importante por su efecto mediático y por ende en la llamada de atención de este hecho para los internautas españoles afectados, no tiene como consecuencia contraprestación económica alguna para los usuarios cuyos datos han sido tratados y comercializados sin su consentimiento”.

Esperamos que se abra la posibilidad para que las asociaciones podamos denunciar de forma colectiva ante la Agencia éstas y otras agresiones a la protección de nuestros datos

También desde esta asociación se señala que “con este fallo se demuestra que es incierto que Internet sea gratis, los internautas españoles pagamos cada mes una de las facturas telefónicas más caras  de Europa para acceder a Internet y que el uso de nuestros datos es de un valor económico que ponen en cuestión está afirmación”.

Y, por último “insistimos en que la a privacidad y cómo gestionarla sigue siendo la asignatura pendiente del mundo de la Red. En el especial caso de los menores y, además de los dispositivos que la tecnología pueda ofrecer, para evitar que sean víctimas de la Red, debe insistirse en la «precaución» como escudo por excelencia: evitar que se muestren sin límites en Internet, que tengan en cuenta el alcance que puede tener cualquier tipo de información que sea insertada en Internet”.

Para Domingo, “como precauciones generales, debe insistirse en la «educación». Pero la educación debe ser bidireccional, adultos y menores tienen la ocasión de confluir en Internet, los menores pueden enseñar a los adultos a manejar el hardware, genuinos expertos espontáneos, y los adultos pueden aplicar la experiencia sociovital en este punto de encuentro que es Internet”.