La AEPD impone sendas sanciones de 300.000 euros a Facebook y WhatsApp

Resuelve que ambas infringieron la Ley Orgánica de Protección de Datos en la comunicación de datos de usuario que WhatsApp hizo a Facebook, y en el tratamiento posterior de esta última.

Facebook y WhatsApp han sido sancionadas en España por la Agencia Española de Protección de Datos (AEPD).

La dos habrían infringido la Ley Orgánica de Protección de Datos y tendrán que hacer frente a una multa de 300.000 euros cada una, que es la cuantía máxima que se contempla para infracciones graves declaradas.

La AEPD explica que la aplicación de mensajería instantánea comunicó a Facebook datos “sin haber obtenido un consentimiento válido de los usuarios”, mientras que la red social los trató “para sus propios fines sin consentimiento”. Este tema se remonta a verano de 2016, cuando WhatsApp ya había sido adquirida por Facebook y actualizó términos de servicio y política de privacidad para recoger dicho intercambio de información con su nuevo dueño.

El caso es que “la aceptación de esas nuevas condiciones se impuso como obligatoria para poder hacer uso de la aplicación de mensajería, y esa comunicación de datos personales a Facebook, que no tiene relación con las finalidades determinadas en la recogida de datos original, se realizó sin ofrecer a los usuarios una información adecuada y sin la opción de mostrar su negativa a las mismas”, afea la AEPD.

En este sentido, añade que “exigir que los usuarios presten su consentimiento como requisito para poder hacer uso de la aplicación de mensajería WhatsApp y considerando su implantación social puede entenderse, en los términos del Grupo de Autoridades Europeas de Protección de Datos, como ‘algo que ejerce una influencia real en la libertad de elección del interesado’. El consentimiento, en este caso, no puede considerarse libre y, en consecuencia, no puede considerarse válido”.

La AEPD resuelve que el consentimiento no fue ni libre, ni válido, ni tampoco informado y específico. En su opinión, se usaron “expresiones imprecisas e inconcretas que no permiten deducir, sin duda o equivocación, la finalidad” de la cesión de los datos.