La Agencia Española de Protección de Datos (AEPD) ha anunciado una resolución por la que sanciona a las empresas WhatsApp y Facebook a pagar 600.000 euros por dos infracciones graves de la Ley Orgánica de Protección de Datos (LOPD).  

Concretamente, las sanciones han sido una de ellas a WhatsApp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento.

Nueva política de privacidad

En 2014, Facebook compró el servicio de mensajería WhatsApp y en 2016 actualizó los términos de su servicio y la política de privacidad, introduciendo cambios como el hecho de compartir información de los usuarios de Whatsapp con Facebook.

La aceptación de esas nuevas condiciones se impuso como obligatoria para poder usar la aplicación de mensajería, y esa comunicación de datos personales a Facebook, que no tiene relación con las finalidades determinadas en la recogida de datos original, se realizó sin ofrecer a los usuarios una información adecuada y sin la opción de poder oponerse.

En el caso de usuarios que ya tenían instalada la aplicación Whatsapp, la compañía sólo habilitó mecanismos para rechazar que la información cedida pudiera ser utilizada con la finalidad de “mejorar” la “experiencia con los productos y publicidad en Facebook”, pero no con otros fines recogidos en la política de privacidad. Además, estos usuarios tenían que aceptar los nuevos términos antes de un plazo concreto para seguir utilizando el servicio.

En el caso de los usuarios nuevos, ni siquiera se les ofrecía la opción de negarse a que sus datos fueran cedidos a Facebook para los fines publicitarios o de “mejora de experiencia” antes mencionados, sin permitir instalar la app en caso de no aceptar esas condiciones.

El consentimiento del usuario es indispensable

Según el artículo 11 de la LOPD, la comunicación de datos personales exige el consentimiento del afectado. El actual marco normativo exige que ese consentimiento, además, debe ser libre, específico e informado.

La resolución de la Agencia recoge que exigir que los usuarios presten su consentimiento como requisito para poder usar la WhatsApp, considerando además su implantación social, se entiende como “algo que ejerce una influencia real en la libertad de elección del interesado”. El consentimiento, en este caso, no puede considerarse libre y, en consecuencia, no puede considerarse válido.

Desde la AEPD añaden que la ausencia de información o una información insuficiente determina la falta de consentimiento. La información sobre a quién se pueden ceder los datos, las finalidades para las que se le ceden o su utilización “se ofrece de forma poco clara, con expresiones imprecisas e inconcretas que no permiten deducir, sin duda o equivocación, la finalidad para la cual van a ser cedidos”.

En el caso de la infracción declarada a Facebook, la resolución establece que la empresa de Zuckerberg viene utilizando la información de los usuarios cedida por Whatsapp con finalidades específicas de sus servicios, en beneficio de su actividad, por lo que requiere del consentimiento libre, específico e informado de los usuarios para tratar esos datos.

La Agencia ha impuesto 300.000 euros de sanción a cada entidad −la cuantía máxima correspondiente a las infracciones graves declaradas− teniendo en cuenta factores como el  volumen de tratamientos efectuados, el volumen de negocio de las infractoras o la vinculación de la actividad de estas con los tratamientos de datos de carácter personal, entre otros.