La AEPD multa a Facebook con 1,2 millones de euros por usar información sin permiso

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa a Facebook que asciende a 1.200.000 euros por haber vulnerado la normativa de protección de datos personales de los usuarios.

Investigan a Facebook por infringir la LOPD

A principios de marzo de 2016, la directora de la AEPD, Mar España, ordenó a la Subdirección General de Inspección de Datos que se realizara una investigación más exhaustiva a la red social Facebook. El requerimiento llegó después de una inspección de oficio en la que se detectaron algunas circunstancias que apuntaban a que el tratamiento de los datos realizado por la red social no se adecuaba a la normativa de protección de datos.

Tras la inspección, la Agencia ha sentenciado que Facebook ha cometido dos infracciones graves y una muy grave, según la Ley Orgánica de Protección de Datos (LOPD). Por este motivo le ha impuesto a la compañía de Mark Zuckerberg una multa total de 1.200.000 euros, correspondiente a la suma de 300.000 € por cada una de las infracciones graves y 600.000 de la muy grave.

Facebook comete una infracción muy grave en materia de protección de datos

Después de la inspección realizada, la AEPD ha comprobado que Facebook ha estado recabando datos personales tales como ideología, sexo, creencias religiosas, gustos personales o navegación sin informar a los usuarios de forma clara del uso y la finalidad con la que se tratarían los mismos. De igual manera, se ha constatado que estos datos, algunos de ellos especialmente protegidos, han sido utilizados con fines publicitarios sin haber obtenido el consentimiento expreso de los interesados, tal y como exige la normativa de protección de datos. Esta falta es considerada como muy grave en la actual LOPD, ley que actualmente está siendo modificada para adaptarla al Reglamento General de Protección de Datos (RGPD).

Recopilando datos de internautas que no están registrados en la red social

La investigación también ha confirmado que la compañía de Zuckerberg no ha solicitado adecuadamente el consentimiento de sus usuarios, ni tampoco de aquellos que no están registrados a la red social pero de los cuáles el gigante tecnológico también ha estado tratando información, acciones tipificadas como graves por la LOPD.

Concretamente, la Agencia ha constatado que Facebook ha tratado información mediante el uso de cookies con fines publicitarios, ya fuese interactuando en la misma plataforma, como también en otros sitios web que no fuesen propiedad de la compañía pero que incorporaran botones como el “Me gusta”, hecho que permite a Facebook recabar datos. Por lo tanto, esta circunstancia también ha afectado a la información de internautas que no están registrados en la red social y que no han concedido ningún tipo de permiso, internautas que desconocen por completo que el gigante tecnológico está recogiendo sus datos de navegación.

En el informe, la AEPD también ha demostrado que la política de privacidad de Facebook está redactada con expresiones genéricas y poco claras, así como el hecho de que es necesario visitar distintos enlaces para conocerla al completo. Además, la Agencia ha destacado que un usuario con conocimiento medio de nuevas tecnologías no llega a ser consciente en ningún momento de la recogida, del uso, ni del almacenamiento de sus datos por parte de la compañía de Zuckerberg.

Facebook se queda con los datos de las cuentas canceladas

La última de las infracciones graves impuesta por la AEPD a Facebook viene a razón de que la Agencia ha podido comprobar que el gigante estadounidense no cancela los datos recogidos, sino que la información es retenida y reutilizada posteriormente.

Esta situación se produce tanto en los datos obtenidos a partir de los hábitos de navegación de los usuarios, como en el caso de que un usuario solicite la eliminación de su cuenta y, en consecuencia, de sus datos. En este último caso, Facebook puede tratar esta información durante más de 17 meses gracias a una cookie de cuenta eliminada.

La compañía de Zuckerberg discrepa de la AEPD

Facebook no ha tardado en dar respuesta a la Agencia Española. La empresa ha comunicado que “discrepa respetuosamente” de la decisión tomada por la Agencia y que tiene la intención de recurrir la sanción. Además, insisten en que “como comunicamos a la AEPD, son los usuarios los que deciden qué información quieren añadir en sus perfiles y compartir con otros, como por ejemplo su religión”. La compañía estadounidense asegura que de ningún modo utilizan este tipo de información para mostrar publicidad específica a los usuarios y que, a pesar de tener una actitud colaborativa con las agencias de protección de datos europeas, ellos se deben a la legislación irlandesa, país en el cuál tienen su sede europea.

La AEPD y el Grupo de Contacto

La española no ha sido la primera agencia de protección de datos europea que ha sancionado a Facebook. A raíz de los cambios introducidos por la compañía en sus términos y condiciones de uso en enero de 2015, fueron varias las autoridades europeas que se constituyeron en un Grupo de Contacto para coordinar sus actuaciones en esta materia. Este grupo está constituido por los Autoridades de Protección de Datos de Bélgica, Francia, Hamburgo, España y Países Bajos.

Algunas de estas autoridades ya han realizado también algunos procedimientos contra Facebook, como por ejemplo la CNIL (Francia) que impuso a la compañía norteamericana una sanción de 150.000€ por combinar información de los usuarios con el fin de mostrar publicidad específica.

Con el RGPD la sanción hubiese sido de mayor cuantía 

A pesar de que la sanción impuesta por la AEPD a Facebook pueda parecer elevada, vale la pena remarcar que a partir del 25 de mayo de 2018, cuando será de plena aplicación el RGPD, este tipo de infracciones serán penalizadas con una cuantía mayor, ya que el Reglamento establece que las infracciones graves o muy graves pueden ser multadas con hasta 20 millones de euros o un 4% del volumen de negocio anual global del ejercicio financiero anterior. Las infracciones consideradas como graves o muy graves por el RGPD son: no cumplir con los principios del RGPD, no cumplir con los derechos de los interesados, no cumplir con los requisitos para transferencia internacional de datos o no cumplir con la resolución de la autoridad de control.

Por este motivo es de especial importancia que las empresas estén completamente adaptadas antes de dicha fecha. En Conversia ofrecemos un Servicio integral de Adaptación a la normativa de Protección de Datos.