Mark Zuckerberg
La AEPD multa a la red social con 1,2 millones de euros por tres infracciones
PRESIDENTE DE FACEBOOK
La Agencia Española de Protección de Datos ha multado a la red social con 1,2 millones de euros por usar información personal de sus usuarios, y de los que no lo son, sin su consentimiento y sin informarles debidamente de su uso.
La Agencia Española de Protección de Datos (AEPD) ha sancionado a Facebook con un total de 1,2 millones de euros tras constatar que la red social ha cometido tres infracciones –una muy grave y dos graves– de la ley Orgánica de Protección de Datos. Por su parte, la red social anunció ayer mismo, y tras conocerse la decisión, que piensa recurrir la sanción de la Agencia.
En primer lugar la AEPD ha constatado que Facebook recopila, almacena y usa datos –sobre ideología, sexo, creencias religiosas, gustos personales o de navegación– con fines publicitarios sin recabar el consentimiento de sus usuarios –que en España son unos 21 millones de personas– de forma adecuada.
Según recoge la sentencia que la AEPD hizo pública ayer, estos datos son recogidos directamente, mediante la interacción con sus servicios o desde páginas de terceros, sin informar claramente al usuario sobre el uso y finalidad que les va a dar. Facebook no obtiene un consentimiento “inequívoco, específico e informado” de los usuarios para tratar sus datos –algunos considerados “especialmente protegidos”–, ya que la información que ofrece no es adecuada, según la AEPD. Esta es la infracción que la agencia considera “muy grave”.
La investigación –que se inició en 2015– también ha permitido comprobar que Facebook no informa a los usuarios de forma exhaustiva, sino que se limita a dar algunos ejemplos. En este sentido, la AEPD cree que la política de privacidad de Facebook contiene expresiones genéricas y poco claras, y obliga a acceder a multitud de enlaces distintos para conocerla. La red social hace referencia de forma imprecisa al uso que va a hacer de los datos que recoge, de forma que un usuario de Facebook con un conocimiento medio de las nuevas tecnologías no llega a ser consciente de la recogida de datos ni de su almacenamiento y posterior tratamiento, ni de para qué van a ser utilizados.
En segundo lugar –según la AEPD–, además, esta información personal no es totalmente eliminada cuando deja de ser útil para el fin para el que fue recogida, ni cuando el usuario solicita explícitamente su eliminación. En relación con la conservación de datos, la AEPD asegura que, “cuando un usuario de la red social ha eliminado su cuenta y solicita el borrado de la información, Facebook capta y trata información durante más de 17 meses a través de una cookie de la cuenta eliminada”.
Por último, la AEPD también ha confirmado que los usuarios no son informados de que se va a tratar su información mediante el uso de
cookies –algunas de uso específicamente publicitario y alguna de uso declarado secreto por la compañía– cuando navegan por páginas que no son de Facebook y que contienen el botón Me gusta de la red social. Esta situación también se produce cuando los usuarios no son miembros de la red social, pero han visitado alguna vez una de sus páginas, así como cuando usuarios que sí están registrados en Facebook navegan por páginas de terceros, incluso sin iniciar sesión en Facebook.
Por todo ello, la AEPD ha determinado que se han cometido dos infracciones graves y una muy grave de la ley Orgánica de Protección de Datos y ha impuesto a Facebook dos sanciones de 300.000 euros y otra de 600.000 euros, que suman un total de 1.200.000 euros.
La empresa tampoco eliminaba la información personal cuando alguien lo pedía o daba de baja su cuenta Protección de Datos ha confirmado que además se rastreaba a personas que no eran miembros de la plataforma