A propósito de lo que Facebook sabe de nosotros…
Sanción de 1.200.000 euros a Facebook por infringir la normativa de protección de datos.
El 8 de marzo de 2016 la Directora de la Agencia Española de Protección de Datos (AEPD) ordenaba a la Subdirección General de Inspección de Datos que procediese a realizar la correspondiente investigación, en el marco de un expediente de actuaciones previas, en relación con las circunstancias puestas de manifiesto en el curso de una inspección de oficio a la red social FACEBOOK. Dicha Subdirección procedió a realizar estas actuaciones previas para esclarecer los hechos.
El 7 de marzo de 2017 la Directora de la Agencia acordó iniciar de oficio procedimiento sancionador a la entidad FACEBOOK, INC., para analizar y comprobar si el tratamiento de datos que realiza la red social se ajusta a la normativa de protección de datos o si se producen las siguientes presuntas infracciones de ciertos arts. de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), en concreto los siguiente
6.1, en relación con los arts. 5 y 4.1 y 2 de este mismo texto legal; infracción tipificada como grave en el art. 44.3.b) de la LOPD;
7, en relación con los artículos 5 y 4.1 y 2 de la misma Ley, infracción tipificada como muy grave en el art. 44.4.b) de la LOPD y
4.5 en relación con el art. 16, ambos de la LOPD; infracción tipificada como grave en el art. 44.3.c) de la LOPD.
- En el marco de la investigación la Agencia constata que Facebook, mediante la interacción con sus servicios o desde páginas de terceros, recoge datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación sin informar de forma clara al usuario sobre la finalidad pretendida y el uso y al que van destinados. En concreto, ha verificado que la red social trata “datos especialmente protegidos” con fines de publicidad, entre otros, sin obtener el consentimiento expreso de los usuarios que requiere la normativa de protección de datos. Incurre así Facebook en una infracción tipificada como muy grave en la LOPD.
- Mediante la misma investigación la AEPD comprueba que Facebook no informa a los usuarios de forma minuciosa y clara –a través de la lista correspondiente- sobre los datos personales que va a recoger y cómo los va a tratar, limitándose a ofrecer algunos ejemplos.
- Se acredita que esta red social recoge otros datos derivados de la interacción que llevan a cabo los usuarios en la plataforma y en sitios de terceros sin que estos puedan cerciorarse de cuál es la información que Facebook recoge sobre ellos y con qué finalidad va a hacer uso de ella.
- Igualmente, la AEPD verifica que no se informa a los usuarios de que se va a tratar su información mediante el uso de cookies -algunas de uso específicamente publicitario y alguna de uso declarado secreto por la propia compañía- cuando navegan a través de páginas ajenas a Facebook y que contienen el botón ‘Me gusta’. Y ello acontece asimismo tanto respecto a usuarios que, no siendo miembros de Facebook, han visitado alguna vez una de sus páginas, como respecto a usuarios que, estando registrados en Facebook, navegan por páginas de terceros, incluso sin iniciar sesión en Facebook. Lo que hace la plataforma es añadir la información recogida en tales páginas a la que figura asociada a su cuenta en la red social. La información ofrecida por la red social a los usuarios, como declara la AEPD, no respeta la normativa de protección de datos.
- Otro de los extremos advertidos por la Agencia atañe a la política de privacidad de Facebook, donde se contienen expresiones genéricas y poco claras, y que obliga a acceder a multitud de enlaces para conocerla. Facebook alude de forma imprecisa al uso al que se destinan los datos que recoge, de modo que un usuario de Facebook con un conocimiento medio de las nuevas tecnologías no es consciente de la recogida de datos, ni de su almacenamiento y posterior tratamiento, ni de para qué van a ser utilizados. Y, en lo que respecta a los internautas no registrados, desconocen que esta red social recoge sus datos de navegación.
Teniendo en cuenta que Facebook no recaba de forma adecuada el consentimiento ni de sus usuarios ni de quienes no lo son −y cuyos datos también trata−, la AEPD considera que está cometiendo una infracción tipificada como grave.
- Al margen de lo anterior, la AEPD constató también que Facebook no elimina la información recogida a partir de los hábitos de navegación de los usuarios, sino que la retiene y reutiliza posteriormente asociada al mismo usuario. Además, cuando un usuario de la red social ha eliminado su cuenta y solicita el borrado de la información, Facebook capta y trata información durante más de 17 meses a través de una cookie de la cuenta eliminada. Esta situación, de que los datos personales de los usuarios no se cancelan en su totalidad ni cuando han dejado de ser útiles para la finalidad que motivó la recogida ni cuando el usuario solicita explícitamente su eliminación, conforme a las exigencias de la LOPD, constituye, a juicio de la Agencia, una infracción tipificada como grave.
Así las cosas, el 21 de agosto de 2017 la AEPD ha dictado Resolución en la que declara que Facebook incurre en dos infracciones graves y una muy grave de la LOPD. Por estas infracciones le impone una sanción total de 1.200.000 euros −300.000 por cada una de las primeras y 600.000 por la segunda−.
Contra esta Resolución, que pone fin a la vía administrativa, los interesados pueden, potestativamente, interponer: recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso- administrativo de la Audiencia Nacional, en el plazo de dos meses a contar desde el día siguiente a dicha notificación.
Esta Resolución representa un hito importante en materia de protección de datos. La investigación llevada a cabo por la AEPD y la Resolución resultante ha de ponerse en relación con los procedimientos de investigación iniciados por el Grupo de Contacto constituido por diversas Autoridades de Protección de Datos de la Unión Europea, entre las que se encuentra la AEPD. Este Grupo trata de coordinar sus actuaciones tras los cambios acometidos por Facebook en enero de 2015 en sus términos y condiciones de uso. Integran este Grupo de Contacto Autoridades de Protección de Datos de Bélgica, España, Francia, Hamburgo (Alemania) y Países Bajos. Dichas autoridades han iniciado también investigaciones nacionales relacionadas, entre otros aspectos, con la calidad de la información facilitada a los usuarios, la validez del consentimiento y el tratamiento de datos personales con fines publicitarios. Véase, al respecto, la Declaración común del Grupo de Contacto de las Autoridades de Protección de Datos de Holanda, Francia, España, Hamburgo y Bélgica (aquí). Tres de los miembros publicaron ya sus resultados (Francia, Bélgica y Holanda). Así, por ejemplo, en Francia se impuso una sanción de 150.000 euros a Facebook Inc. y Facebook Ireland Limited.
Es cierto que la Resolución de la AEPD que nos ocupa, ampliamente motivada a lo largo de 93 páginas, recoge una multa millonaria. Pero lo es también que todavía podría ascender a una cuantía mucho mayor a partir del 25 de mayo de 2018, fecha en la que resultará aplicable el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) . Y ello porque con arreglo al art. 83.5 del mismo se le habría podido imponer una multa de hasta 20.000.000 euros o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Según informaciones aparecidas en medios de comunicación (aquí y aquí) Facebook ha emitido un comunicado en el que “discrepa respetuosamente” de la decisión adoptada por la Agencia, mostrándose dispuesta a recurrir la Resolución.