PROTECCIÓN DE DATOS, WHATSAPP Y FACEBOOK

Desde el pasado 25 de mayo es plenamente eficaz y aplicable el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). Por tanto, desde esa fecha nos regimos por los preceptos del RGPD, pero aún así es interesante conocer los detalles de la sanción que impuso en marzo la Agencia Española de Protección de Datos (AEPD) a Whatsapp y Facebook conforme a los preceptos de la Directiva 95/46/CE y la Ley Orgánica 15/1999 de protección de datos de carácter personal (LOPD). Y ello porque, según ambas compañías indican en sus escritos de alegaciones, a partir del 25 de mayo de 2018 solamente realizarán transferencias de datos de usuarios entre ellas después de haber revisado la causa de legitimación para dicha comunicación “con el Data Protection Comissioner, su autoridad supervisora bajo el RGPD”.

Es decir, prometen continuidad, pero bajo el RGPD y con la autoridad de protección de datos irlandesa.

Procedimiento sancionador

Como resultado final del procedimiento sancionador la AEPD impuso multas a las compañías Whatsapp Inc. y Facebook Inc. que ascienden, para cada una de ellas, a 300.000€. A Whatsapp por infracción del artículo 11 de la LOPD (Comunicación de datos) y a Facebook Inc. por infracción del artículo 6 de la LOPD (Consentimiento del afectado), tipificadas como graves en virtud de los artículos 44.3.k) y 44.3.b) de la LOPD, respectivamente, y en ambos casos conforme a lo establecido en el artículo 45.2 y 4 del mismo cuerpo legal.            

Los hechos son los siguientes: Facebook Inc. adquiere Whatsapp Inc. en el año 2014 y con fecha 25/08/2016 Whatsapp Inc. publica una actualización de los Términos de Servicio y de la Política de Privacidad de la aplicación “Whatsapp”. En virtud de esta actualización los usuarios reciben la siguiente notificación:

“En WhatsApp estamos actualizando nuestros Términos de Servicio y nuestra Política de Privacidad para reflejar la integración de nuevas funciones, como Llamada WhatsApp. Lee los Términos y la Política de Privacidad para aprender más acerca de tus opciones. Por favor acepta los Términos y la Política de Privacidad antes del 19 de octubre de 2016 para continuar usando WhatsApp.”

Se subraya la palabra “Lee” para señalar que asociado a la misma hay un enlace a la página web sobre los Términos y la Política de Privacidad.

Con base en esta notificación Whatsapp Inc. cede sus datos a Facebook Inc.

Sanción a Whatsapp

Lo que se plantea en el procedimiento es que esa cesión de datos de Whatspp Inc. a Facebook Inc. se realiza sin que para ello exista un consentimiento válido otorgado por los usuarios.

Conforme al artículo 11.1 de la LOPD, para que una comunicación de datos no sea considerada cesión y sea válida conforme a los criterios de la LOPD debe mediar el consentimiento del interesado titular de los datos. El apartado 2 del mismo artículo establece algunas excepciones al consentimiento exigido, si bien ninguna de ellas era aplicable al caso Whatsapp y Facebook. En particular se subraya la correspondiente a la letra c) del apartado 2 que dice:

  1. El consentimiento exigido en el apartado anterior no será preciso:

a)…

  1. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

Sobre esta excepción la AEPD indica que está prevista para aquellos casos en los que una relación jurídica válidamente aceptada implique “necesariamente” la conexión del tratamiento con ficheros de terceros. La relación jurídica que vincula al usuario de la aplicación de mensajería con Whatsapp no requiere, para su ejecución y cumplimiento, que se realicen las cesiones de datos a Facebook a las que se refiere este procedimiento.

La manera en la que debe recabarse el consentimiento en el marco de una relación contractual (como la que vincula a Whatsapp con el usuario de la aplicación) para el tratamiento de datos con fines no relacionados directamente con la relación contratada, viene recogida en el articulo 15 del Reglamento de desarrollo de la LOPD (1720/2007), que establece lo siguiente:

“Articulo 15. Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma.

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá́ permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, se entenderá́ cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento”.

Este artículo 15 de RLOPD impone la obligación de facilitar al interesado la posibilidad de mostrar expresamente su negativa al tratamiento de datos para fines no relacionados directamente con el mantenimiento de la relación contractual, “durante el proceso de formación de un contrato”, lo que no se cumplía con la comunicación realizada por Whatsapp a los usuarios ya que conforme a la misma, y mediante un checkbox, el usuario podía elegir que su información fuera o no usada por Facebook para “mejorar mi experiencia con los productos y publicidad en “Facebook”, pero no significa que la comunicación de datos a dicha entidad por parte de Whatsapp no se lleve a cabo, sino que la misma se realiza con otras finalidades incluidas en la Política de Privacidad.

En el caso de usuarios nuevos que descargan la aplicación, ni siquiera se ofrece la posibilidad de consentir que su información sea compartida con Facebook “para mejorar mi experiencia con los productos y publicidad en Facebook”.

Considera la AEPD que “las cesiones o comunicaciones de datos personales, que no guardan relación con las finalidades que determinaron la recogida de datos personales se realizan sin ofrecer a los usuarios opción alguna para mostrar su negativa a las mismas, por cuanto WHATSAPP INC. únicamente habilitó mecanismos para aceptar la cesión de información con la finalidad de “mejorar mi experiencia con los productos y publicidad en Facebook” y únicamente en el caso de usuarios existentes.”

“En consecuencia, el consentimiento que se presta con la aceptación de la Política de Privacidad y Términos de Servicio no puede considerarse libre, y ello impide que el consentimiento prestado pueda considerarse válido.”

Aunque en la fecha de la Resolución el RGPD no era aplicable al caso por razones temporales, indica la AEPD que la conclusión a la que llega sobre la falta de consentimiento válido sería la misma: “Este Reglamento es claro al respecto al señalar en su Considerando 43 que el consentimiento no se ha prestado libremente “cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando éste no sea necesario para dicho cumplimiento””.

El artículo 3.h) de la LOPD define el “consentimiento del interesado” como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”, es decir, han de concurrir los cuatro requisitos enumerados en dicho precepto. Y el artículo 5 de la LOPD determina que los interesados deberán ser informados “de modo expreso, preciso e inequívoco” de cuanto en él se indica.

La información ofrecida por Whatsapp en su notificación no permite al usuario conocer en la forma precisa que resulta exigible el fundamento que justifica la cesión de sus datos personales, con carácter general, y, menos aún, la utilización que se hará de los mismos; no se especifica qué servicios concretos requieren la utilización de sus datos y qué finalidades específicas justifican esta utilización por un servicio del que puede que no sea usuario; o para un servicio que se creará en el futuro.

Concluye la AEPD “En consecuencia, el consentimiento que se presta con la aceptación de la Política de Privacidad y Términos de Servicio no puede considerarse específico e informado, y ello impide que el consentimiento prestado pueda considerarse válido.”

Sanción a Facebook

Por su parte, sanciona a Facebook por incumplimiento del artículo 6.1 de la LOPD que reza “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa”.

En este caso la AEPD considera que “las deficiencias expuestas en relación con la información facilitada a los usuarios de “Whatsapp” sobre la cesión de sus datos personales y el efecto que estas deficiencias produce sobre la validez del consentimiento prestado al aceptar la Política de Privacidad y Términos de Servicio, deben entenderse reproducidas respecto de la validez del consentimiento prestado para que los datos cedidos puedan ser sometidos a tratamiento por parte de FACEBOOK INC., como destinataria de la información cedida por WHATSAPP INC., resultando, según se ha indicado, que el consentimiento prestado no puede considerarse libre, específico e informado.”

Argumentan las compañías que Facebook actúa como Encargada del tratamiento de datos de Whatsapp, habiendo suscrito para ello el correspondiente contrato de prestación de servicios de soporte general a Whatsapp y sus operaciones. Comparten por ello información para labores como por ejemplo la deduplicación (eliminación de datos repetidos) para conocer usuarios únicos de los servicios que prestan la familia Facebook.

Sin embargo, según ha quedado expuesto, en el presente caso se informa a los usuarios de la aplicación de mensajería “Whatsapp” que las entidades interesadas trabajan “en conjunto” o que hacen un “uso compartido de la información” con la finalidad de “ayudar a operar, proveer, mejorar, entender, personalizar y comercializar… sus ofertas” o para brindar a los usuarios “una mejor experiencia; por ejemplo, hacer sugerencias de productos, y mostrarte ofertas y publicidad relevantes en Facebook”.

El artículo 47 del Reglamento de desarrollo de la LOPD se refiere a la “Depuración de datos personales” en los términos siguientes:

“Cuando dos o más responsables por sí mismos o mediante encargo a terceros pretendieran constatar sin consentimiento de los afectados, con fines de promoción o comercialización de sus productos o servicios y mediante un tratamiento cruzado de sus ficheros quiénes ostentan la condición de clientes de una u otra o de varios de ellos, el tratamiento así realizado constituirá una cesión o comunicación de datos”.

Siendo así, en relación con la correlación de datos con las finalidades expresadas, Facebook no puede ser considerada encargada del tratamiento y la entrega de información a la misma por parte de Whatsapp para dicha correlación de datos constituye una verdadera comunicación o cesión de datos, puesto que por esa vía Facebook establece un nuevo vínculo con los usuarios de “Whatsapp”. Facebook no sólo presta el servicio al responsable del fichero, Whatsapp, sino que destina los datos a su propia finalidad publicitaria y de mejora de sus productos.

A este respecto, el artículo 20 del mismo Reglamento de desarrollo de la LOPD establece que “se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”.

Por ello, la operación no encaja en la figura del encargado del tratamiento y requiere el previo consentimiento libre, específico e informado del afectado, con el alcance expresado en los Fundamentos de Derechos anteriores.

Como indicábamos al inicio ambas compañías señalan lo siguiente en sus escritos de alegaciones incorporados en el procedimiento (el subrayado es nuestro):

“Para lo que pudiera servir de ayuda a la AEPD, les confirmamos sin que quepa lugar a duda alguna en esta cuestión que WhatsApp no realizará transferencias de datos de cuentas de usuarios españoles de WhatsApp a Facebook, Inc. (ni a ninguna otra compañía de la Familia Facebook) en el marco de una relación de responsable a responsable — para ningún tipo de finalidad, incluyendo Ja finalidad de business analytics — antes de que el Reglamento General de Datos Personales (“RGDP”) sea de aplicación el próximo 25 de mayo de 2018 y, con posterioridad a esta fecha, solamente después de haber revisado la causa de legitimación para dicha comunicación con el Data Protection Comissioner, su autoridad supervisora bajo el RGPD”.

Otro tanto declaraba Facebook. Es decir, prometen continuidad, pero bajo el RGPD y con la autoridad de protección de datos irlandesa.

 

Consúltenos

Para cualquier otra información, por favor, no dude en contactar con nosotros en:

T +34 91 436 00 90
F +34 91 575 20 18
e-mail: [email protected]

Socio Director: Lupicinio Rodríguez
T +34 91 436 00 90

¿Dónde estamos?

Nuestra oficina principal está en Madrid:

Villanueva 29
28001 - Madrid
T +34 91 436 00 90
F +34 91 575 20 18
Ver mapa

También tenemos oficinas en:Barcelona, Valladolid, Bilbao, Vigo y Dubai.

ACTUALIDAD

En esta sección el profesional de los medios de comunicación encontrará toda la información y recursos relativos a Lupicinio Abogados.

TRABAJA CON NOSOTROS

Si deseas colaborar con nuestra Firma, consulta estas secciones:

5f3ced49747918b673e2e8911945939eYYYYYYYYYYYYYYYYYYY