- Han podido comprobar que Facebook no elimina la información que recoge a partir de los hábitos de navegación de los usuarios
- Además se ha confirmado que los usuarios no son informados de que se va a tratar su información mediante el uso de cookies
- -3,950$
- -0,70%
La Agencia Española de Protección de Datos (AEPD) ha sancionado con 1,2 millones de euros a la red social Facebook por incumplimiento de la Ley Orgánica de Proteción de Datos (LOPD) al recopilar, almacenar y utilizar datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento del usuario. La sanción corresponde a dos infracciones graves y una muy grave, según ha informado la Agencia.
En el marco de la investigación realizada, la AEPD ha constatado que Facebook recaba datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación sin informar de forma clara acerca del uso y finalidad que le va a dar a los mismos. En concreto, ha verificado que la red social trata datos especialmente protegidos "con fines de publicidad, entre otros, sin obtener el consentimiento expreso de los usuarios como exige la normativa de protección de datos, infracción tipificada como muy grave en la LOPD".
La red social recoge otros datos derivados de la interacción que llevan a cabo los usuarios en la plataforma y en sitios de terceros
La investigación también ha permitido comprobar que Facebook no informa a los usuarios de forma exhaustiva y clara sobre los datos que va a recoger y los tratamientos que va a realizar con ellos sino que se limita a dar algunos ejemplos. En particular, la red social recoge otros datos derivados de la interacción que llevan a cabo los usuarios en la plataforma y en sitios de terceros sin que estos puedan percibir claramente la información que Facebook recoge sobre ellos ni con qué finalidad la va a utilizar. La AEPD también ha confirmado que los usuarios no son informados de que se va a tratar su información mediante el uso de cookies -algunas de uso específicamente publicitario y alguna de uso declarado secreto por la compañía- cuando navegan por páginas que no son de Facebook y que contienen el botón 'Me gusta'.
Esta situación también se produce cuando los usuarios no son miembros de la red social pero han visitado alguna vez una de sus páginas, así como cuando usuarios que sí están registrados en Facebook navegan por páginas de terceros, incluso sin iniciar sesión en Facebook. En estos casos, la plataforma añade la información recogida en dichas páginas a la que figura asociada a su cuenta en la red social. Por ello, la AEPD considera que la información facilitada por Facebook a los usuarios no se ajusta a la normativa de protección de datos.
DUDAS SOBRE LA POLÍTICA DE PRIVACIDAD
La Agencia también ha constatado que la política de privacidad de Facebook contiene expresiones genéricas y poco claras, y obliga a acceder a multitud de enlaces distintos para conocerla. La red social hace referencia de forma imprecisa al uso que va a hacer de los datos que recoge, de forma que un usuario de Facebook con un conocimiento medio de las nuevas tecnologías no llega a ser consciente de la recogida de datos, ni de su almacenamiento y posterior tratamiento, ni de para qué van a ser utilizados. Por su parte, los internautas no registrados desconocen que la red social recoge sus datos de navegación. En consecuencia, la Agencia estima que Facebook no recaba de forma adecuada el consentimiento ni de sus usuarios ni de aquellos que no lo son -y cuyos datos también trata-, lo cual constituye una infracción tipificada como grave.
Finalmente, la Agencia ha podido comprobar que Facebook no elimina la información que recoge a partir de los hábitos de navegación de los usuarios, sino que la retiene y reutiliza posteriormente asociada al mismo usuario. En relación con la conservación de datos, "cuando un usuario de la red social ha eliminado su cuenta y solicita el borrado de la información, Facebook capta y trata información durante más de 17 meses a través de una cookie de la cuenta eliminada".
Por ello, la AEPD considera que los datos personales de los usuarios no son cancelados en su totalidad ni cuando han dejado de ser útiles para el propósito para el que se recogieron ni cuando el usuario solicita explícitamente su eliminación, conforme a las exigencias de la LOPD, lo que representa una infracción tipificada como grave.
EL DESGLOSE DE LA SANCIÓN
En la resolución de la Agencia Española de Protección emitida con fecha de 21 de agosto de 2017, se resuelve el expediente en cuatro puntos que explican la sanción a Facebook.
En primer lugar, AEPD impone a Facebook una multa de 300.000 euros por la infracción del artículo 6.1, en relación con el artículo 5 y el artículo 4, apartados 1 y 2, todos de la LOPD; infracción tipificada como grave en el artículo 44.3.b) de la LOPD y de acuerdo con lo establecido en el artículo 45 de la LOPD.
En segundo lugar, AEPD impone otra multa de 600.000 euros por la infracción del artículo 7, en relación con el artículo 5 y el artículo 4, apartados 1 y 2, todos de la LOPD; infracción tipificada como muy grave en el artículo 44.4.b) de la LOPD y de acuerdo con lo establecido en el artículo 45 de la LOPD.
En tercer lugar, la agencia impone una última multa de 300.000 euros por la infracción del artículo 4.5, en relación con el artículo 16, ambos de la LOPD; infracción tipificada como grave en el artículo 44.3.c) de la LOPD y de acuerdo con lo establecido en el artículo 45 de la LOPD.
Por último, avisa de que notifica la resolución a Facebook, en su domicilio social, y también a través de Facebook Spain SL como establecimiento del responsable en España para que dé traslado de la misma a Facebook INC. Según recoge la propia resolución, esta pone fin a la vía administrativa y la red social podrá ahora interponer recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso administrativo de la Audiencia Nacional, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto.
FACEBOOK RESPONDE TRAS LA MULTA
Tomamos nota de la decisión de la AEPD (...) Tenemos la intención de apelar esta decisión
"Tomamos nota de la decisión de la AEPD con la que estamos respetuosamente en desacuerdo. Aunque valoramos las oportunidades que hemos tenido de colaborar con la agencia para reforzar la seriedad con que tomamos la privacidad de las personas que usan Facebook, y tenemos la intención de apelar esta decisión", ha explicado a la compañía. "Como dejamos claro a la AEPD, los usuarios eligen la información que desean agregar a su perfil y compartir con otros, como su religión. Sin embargo, no utilizamos esta información para orientar anuncios a las personas", matizan a la resolución de la Agencia Española de Protección de Datos.
"Facebook ha cumplido durante mucho tiempo con la legislación de protección de datos de la UE a través de nuestro establecimiento en Irlanda. Seguimos abiertos a seguir discutiendo estos temas con la AEPD, mientras trabajamos con nuestro regulador líder, el Comisionado de Protección de Datos de Irlanda, mientras nos preparamos para la nueva regulación de protección de datos de la UE en 2018", concluye Facebook.