La AEPD sanciona con 1.2 millones de euros a Facebook

La AEPD sanciona con 1.2 millones de euros a Facebook

La AEPD sanciona a Facebook por no informar debidamente en la recogida del consentimiento.

Ayer 11 de septiembre se hizo pública una sentencia de la Agencia Española de Protección de Datos, por la cual sancionaba a Facebook con un total de 1,2 millones de euros, por tres infracciones a la normativa en materia de protección de datos.

En concreto, la sanción que se puede leer aquí, indica en su resolución final lo siguiente:

PRIMERO: IMPONER a la entidad FACEBOOK, INC. multa de trescientos mil euros (300.000 €), por la infracción del artículo 6.1, en relación con el artículo 5 y el artículo 4, apartados 1 y 2, todos de la LOPD; infracción tipificada como grave en el artículo 44.3.b) de la LOPD y de acuerdo con lo establecido en el artículo 45 de la LOPD.

SEGUNDO: IMPONER a la entidad FACEBOOK, INC. multa de seiscientos mil euros (600.000 €), por la infracción del artículo 7, en relación con el artículo 5 y el artículo 4, apartados 1 y 2, todos de la LOPD; infracción tipificada como muy grave en el artículo 44.4.b) de la LOPD y de acuerdo con lo establecido en el artículo 45 de la LOPD y

TERCERO: IMPONER a la entidad FACEBOOK, INC. una multa de trescientos mil euros (300.000 €), por la infracción del artículo 4.5, en relación con el artículo 16, ambos de la LOPD; infracción tipificada como grave en el artículo 44.3.c) de la LOPD y de acuerdo con lo establecido en el artículo 45 de la LOPD.”

Es decir, sanciona a la compañía por recopilar información de los usuarios sin recabar su consentimiento y utilizarla para fines sobre los cuales, los usuarios no tienen toda la información necesaria.

A pesar de que obviamente Facebook, presentará un recurso a dicha sanción, si que es interesante ver como la compañía ha obviado, siempre según la Agencia Española de Protección de Datos, dos pilares básicos de la normativa de privacidad: la información y el consentimiento.

Los usuarios que van ceder información personal, tienen el derecho de recibir información concreta sobre el tipo de datos que se va a recopilar y el uso que se va a hacer de estos. Esta información tiene que contar además con el consentimiento expreso y positivo de dicho usuario para esta gestión de su información personal.

Con la aplicación efectiva del Reglamento General de Protección de Datos de la UE, en mayo de 2018, esta obligación de información exhaustiva y recogida del consentimiento expreso, será todavía más vital.

En concreto, el RGPD determina en lo referente a la información que el usuario ha de recibir antes del tratamiento de sus datos personales, que:

Artículo 13 Información que deberá facilitarse cuando los datos personales se obtengan del interesado

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

(…)”

También, el RGPD especifica y aclara algunos criterios al respecto de como se ha de otorgar ese consentimiento:

Artículo 7 Condiciones para el consentimiento

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

Y aclara también, en sus consideraciones iniciales, de que forma puede otorgarse ese consentimiento:

Considerando que,

(…)

(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

(..)”

 

Como hemos podido ver, la normativa deja muy claro como, cuando y en que condiciones se puede recoger información de los usuarios. La sentencia señala que Facebook, no se ajustó a estas premisas en la recogida de la información de los usuarios, no informando de que datos recogía del uso que iba a hacer de ellos.

En realidad esto es para las empresas una tarea muy sencilla: es fundamental identificar que datos necesitan de los usuarios, informarles sobre el uso que se va a hacer de estos datos y obtener el consentimiento de forma clara y demostrable.

Lo demás, invalida los datos recogidos y puede ser, como hemos visto, objeto de sanciones muy importantes.

Photo credit: Foter.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *