La Agencia Española de Protección de Datos (AEPD) fijó este miércoles una multa de 600 mil euros a Facebook y WhatsApp por infraccionar la Ley Orgánica de Protección de Datos.
Se trata de dos faltas que las empresas de Mark Zuckerberg transgredieron: la primera de ellas se impuso a WhatsApp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios; la segunda a Facebook por, precisamente, tratar esos datos para sus propios fines sin consentimiento.
Lo anterior debido a que en agosto de 2016 WhatsApp actualizó los términos de su servicio y políticas de privacidad, introduciendo cambios como el hecho de compartir información de los usuarios de la aplicación con la red social más popular del mundo. Esto dos años después de su adquisición.
“La aceptación de esas nuevas condiciones se impuso como obligatoria para poder hacer uso de la aplicación de mensajería, y esa comunicación de datos personales a Facebook, que no tiene relación con las finalidades determinadas en la recogida de datos original, se realizó sin ofrecer a los usuarios una información adecuada y sin la opción de mostrar su negativa a las mismas”, agregó la agencia.
Explicó que en el caso de los usuarios que ya tenían instalada la aplicación de mensajería, la compañía sólo habilitó mecanismos para rechazar que la información cedida pudiera ser utilizada con la finalidad de “mejorar” la “experiencia con los productos y publicidad en Facebook”, pero no con otros fines recogidos en la política de privacidad. Además, de que los usuarios tenían que aceptar los nuevos términos antes de un plazo concreto para seguir utilizando el servicio.
En el caso de los usuarios nuevos, la agencia destaca que ni siquiera se les ofreció la opción de negarse a que sus datos fueran cedidos a Facebook para los fines publicitarios o de “mejora de experiencia”, porque de no aceptar dichas condiciones les era impedido instalar la aplicación.
La sanción de 300 mil euros a cada uno -la cuantía máxima correspondiente a las infracciones graves declaradas− se estableció teniendo en cuenta factores como el volumen de tratamientos efectuados, el volumen de negocio de las infractoras o la vinculación de la actividad de estas con los tratamientos de datos de carácter personal, entre otros.
