¿En qué consiste la sanción impuesta por la Agencia Española de Protección de datos a Facebook?




Como informa en su nota de prensa, la Agencia Española de Protección de Datos (AEPD) ha dictado resolución en el procedimiento iniciado a la empresa Facebook para analizar si los tratamientos de datos que realiza la red social se adecúan a la normativa de protección de datos.

 

¿Cuál es la legislación específica sobre protección de datos?

 

  • La Constitución Española en su artículo 10 reconoce el derecho a la dignidad de la persona. Por su parte, el artículo 18.4 dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
  • La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.
  • La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
  • El Real Decreto 1720/2007, de 21 de diciembre, Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (RLOPD).
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), que entró en vigor el 25 de mayo de 2016 pero no comenzara a aplicarse hasta dos años después, el 25 de mayo de 2018.

 

¿Por qué se le aplica a Facebook la normativa española de Protección de Datos ?

 

La LOPD recoge en su artículo 2.1 su ámbito de aplicación, que dispone que:

 

“1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

  1. a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
  2. b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
  3. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.”

De acuerdo con la argumentación esgrimida por la Agencia Española de Protección de Datos, la LOPD es aplicable al presente supuesto y es procedente la intervención de la Agencia Española de Protección de Datos, por los siguientes motivos:

 

En primer lugar, Facebook Inc. cuenta con un establecimiento situado en territorio español, Facebook Spain, S.L., implicado en las actividades relativas al tratamiento de datos que ahora se analiza. Facebook, Inc. desarrolla una actividad de carácter económico que tiene por objeto la obtención de ingresos a cambio de la publicidad de terceros que inserta en los sitios web que gestiona, no siendo viable su actividad sin esa financiación. La captación de anunciantes en el territorio español constituye la función principal de Facebook Spain, S.L. Por ello la actuación de Facebook Spain, S.L. es significativa para la prestación de los servicios y los tratamientos de datos que conllevan ya que existe una relación de causalidad entre la actuación de Facebook Spain, S.L. y la existencia misma de los tratamientos que se realizan con fines de publicidad.

 

Además, la entidad Facebook, Inc. utiliza en el tratamiento de datos medios situados en territorio español con el fin de captar información en nuestro territorio, utilizando, entre otros, los equipos de los usuarios residentes en España para almacenar información de forma local a través de cookies, así como ejecutando código en dichos dispositivos, sin que la utilización de tales equipos para la recogida de datos se realice exclusivamente con fines de tránsito por el territorio de la Unión Europea. Es decir, que no se trata de equipos de transmisión, sino que dichos equipos se emplean para la recogida y tratamiento de los datos.

 

¿Qué sanciones y por qué motivo se le han impuesto a Facebook?

 

En aplicación de esta normativa la Agencia declara la existencia de dos infracciones graves y una muy grave de la Ley Orgánica de Protección de Datos e impone a Facebook una sanción de 1.200.000 euros (300.000 por cada una de las primeras y 600.000 por la segunda).

 

  1. En primer lugar, la AEPD ha dictaminado que Facebook recaba datos de los calificados como especialmente protegidos por la LOPD en su artículo 7 (ideología, sexo, religión, creencias, etc) sin señalar específicamente que están siendo recogidos y sin recabar consentimiento expreso para tratarlos, como exige la normativa de protección de datos, infracción tipificada como muy grave en la LOPD.

 

  1. En segundo lugar, como informa la Agencia Española de Protección de Datos en su nota de prensa, se ha comprobado que Facebook no informa a los usuarios de forma exhaustiva y clara sobre los datos que va a recoger y los tratamientos que va a realizar con ellos sino que se limita a dar algunos ejemplos. Como muestra, en su política de privacidad Facebook manifiesta que se recogen algunos tipos de datos relativos a un usuario, y respecto del contenido y otros datos recogidos del usuario cuando usa los servicios de Facebook no enumera una lista de los datos recogidos y solo se dan los siguientes ejemplos: lugar donde se hizo una foto, fecha de creación de un archivo, tipo de contenido visto o interactuado, frecuencia y duración de las actividades. Así, la red social recoge otros datos derivados de la interacción que llevan a cabo los usuarios en la plataforma y en sitios de terceros sin que estos puedan percibir claramente la información que Facebook recoge sobre ellos ni con qué finalidad la va a utilizar.

La AEPD también ha confirmado que Facebook no informa a sus usuarios (ya sean miembros o no de la red social o no) de que su información va a ser tratada mediante el uso de cookies (algunas de uso publicitario y otras declaradas de uso secreto por la compañía) incluso cuando navegan por páginas distintas a Facebook y que contienen el botón “Me gusta”. En estos supuestos, la compañía añade la información recopilada en dichas páginas a la asociada a su cuenta en la red social, por lo que la AEPD ha dictaminado que la información proporcionada por Facebook a los usuarios no es ajustada a la normativa de protección de datos.

 

La Agencia de Protección de Datos también ha constatado que la Política de Privacidad de Facebook es indeterminada, considerando que utiliza expresiones genéricas y poco claras y que se ha de acceder a multitud de enlaces para conocerla en su totalidad. Además, la red social no informa de una manera precisa del uso que va a dar a los datos que recoge, de forma que un usuario de Facebook con un conocimiento medio de las nuevas tecnologías no llega a ser consciente de la recogida de datos, ni de su almacenamiento y posterior tratamiento, ni de la finalidad de los mismos. Más grave es en el caso de los usuarios no registrados en la red social, pues directamente no son informados que Facebook recoge sus datos de navegación.

 

Por todo esto, la AEPD estimó que Facebook no obtiene el oportuno consentimiento para el tratamiento de datos de sus usuarios, ni de los registrados ni de los no registrados, lo cual supone una infracción grave de acuerdo con la normativa de protección de datos.

 

  1. Por último, la Agencia ha declarado que Facebook no elimina la información obtenida a partir de los hábitos de navegación de los usuarios, sino que la retiene y reutiliza posteriormente asociada al mismo usuario. En cuanto a la conservación de datos, Facebook sigue captando y tratando información a través de una cookie de la cuenta eliminada durante más de 17 meses una vez que un usuario ha eliminado su cuenta y solicitado que se borre su información. Por esto, la AEPD ha considerado que los datos personales no son cancelados en su totalidad ni cuando ya no son útiles para el propósito para el que fueron recogidos incluso habiendo solicitado el usuario explícitamente su eliminación, como exige la LOPD, lo que supone una infracción calificada como grave por la normativa de protección de datos.

 

 

 


Puedes encontrar más información en comentarios de otros lectores al final de este artículo, puedes dejar tu comentario.
Solicitar cita con Abogados Portaley

PortaLey

Abogados Portaley, despacho de abogados especializado en Nuevas Tecnologías e Internet

You may also like...

Shares
Podría ser de interésclose