Estas son las sanciones, investigaciones y acciones que han llevado a cabo diversas agencias europeas de protección de datos para limitar la recogida de datos masiva de Facebook
Pongámonos en contexto…
- En 2014, Facebook anunció la revisión de sus políticas de datos, cookies y condiciones de uso. A raíz de este anuncio se formó el Grupo de Contacto, creado por las Autoridades de Protección de Datos de Holanda, Francia, España, Hamburgo y Bélgica con el fin de investigar la calidad de la información que se facilitaba a los usuarios, el debido consentimiento y el tratamiento de sus datos con fines publicitarios en dicha plataforma.
- En 2015, dicho Grupo tomó nota de la Sentencia del Tribunal de Primera Instancia de Bruselas de 9 de noviembre de ese mismo año, por la que se impuso a Facebook Inc., Facebook Bélgica SPRL y Facebook Ireland Limited la prohibición de seguir recogiendo los datos de navegación de los que no sean usuarios de Facebook por medio de la instalación de la cookie ‘datr’ sin advertirles previamente del uso, finalidad y modo en que se utiliza la cookie, y se le ordenó dejar de instalar la misma a través de plug-ins sociales instalados en webs de terceros. Asimismo, tuvieron en cuenta las recomendaciones de la Autoridad de Protección de Datos belga.
- En 2016, países como Estados Unidos, Italia o Reino Unido también abrieron investigaciones en la misma línea.
En el primer caso, la Federal Trade Commission (FTC), después de recibir reclamaciones de la CDD (Center for Digital Democracy) y EPIC (Electronic Privacy Information Center), dos de las principales organizaciones de consumidores del país, redactó un escrito declarando la improcedencia de transferir los datos de los usuarios de WhatsApp a Facebook sin el debido consentimiento de los usuarios. Y es que, a pesar de indicar claramente en su política de privacidad que «la información de los usuarios no será usada con fines comerciales o vendida a un tercero sin el consentimiento de los mismos», Facebook no cumplió con dicho compromiso.
Asimismo, autoridades europeas como la Autorità Garante per la Protezione dei dati personali de Italia o la ICO (Information Commisioner’s Office) de Reino Unido, pusieron también sobre la mesa la revisión de estas políticas.
4. Por último, como ya comentamos en enero de 2017, la presidenta del Grupo de Trabajo Europeo del artículo 29 (GT29) dirigió en un escrito al CEO de WhatsApp mostrando preocupación igualmente sobre la escasa claridad de los términos y política del servicio de la red social y la discutible validez del consentimiento de los usuarios.
Resultado reciente de las investigaciones del Grupo de Contacto
Tras el anuncio de la revisión de Facebook, el pasado mayo la AEPD hizo públicos los resultados de las investigaciones llevadas a cabo por dicho Grupo.
FRANCIA
La CNIL ha impuesto una sanción de 150.000 euros a Facebook Inc. y Facebook Ireland Limited por dos motivos; el primero; por considerar que Facebook no tiene base legal para usar los datos de la cuenta de los usuarios y así ofrecerles publicidad específica y en segundo lugar, por hacer un seguimiento ilegal de los datos de los mismos a través de la Cookie “datr” ya que la información ofrecida a los usuarios no dejaba claro que la recogida de los datos se hacía de forma sistemática al navegar en un sitio web de terceros.
BÉLGICA
Por su parte, la Comisión de Privacidad de Bélgica (CPP), tomando como base las recomendaciones y ordenes impuestas a Facebook ya en 2015 y 2016, ha publicado nuevas recomendaciones. En las mismas apunta que Facebook continua incumpliendo la legislación nacional y europea. En concreto, considera que recoge excesivos datos personales a través de las Cookies, plug-ins sociales y píxeles en el seguimiento del usuario, lo que a su juicio resulta desproporcionado. Además de la falta de transparencia en el momento de informar al usuario sobre dichos tratamientos.
Conviene destacar que dicha Comisión ha solicitado al Tribunal de 1ª Instancia de Bruselas la ejecución judicial de dichas recomendaciones.
HOLANDA
En el caso de Holanda, tras una investigación sobre el tratamiento de datos a 9,6 millones de usuarios holandeses de Facebook, considera que Facebook incumple con la normativa nacional basándose también en ofrecer información insuficiente acerca del uso de sus datos o el uso de datos confidenciales de los usuarios (ej: preferencias sexuales) para ofrecer publicidad sin el consentimiento expreso de estos. En este último sentido, Facebook ha realizado modificaciones. Veremos qué ocurre con el resto.
HAMBURGO
Hamburgo ha publicado dos órdenes a Facebook. La primera relacionada con el uso de seudónimos en la famosa red social, por la que Facebook apeló y que el Tribunal Superior Administrativo acepto este uso. Y la segunda, relativa a la transferencia de los datos de los usuarios de WhatsApp a Facebook sin el consentimiento previo de los usuarios de la famosa aplicación. Esta última, validada por el Tribunal de Hamburgo.
ESPAÑA
En España, igual que el resto de autoridades, se han abierto investigaciones al respecto, por un lado, en relación con el traspaso de datos entre WhatsApp y Facebook y por otro, se han iniciado dos procedimientos de infracción en torno a la claridad de la política de privacidad y condiciones de uso de la red social. Recordemos que, en agosto de 2016, tras renovar WhatsApp su política, comunicó que se compartiría el número de teléfono con Facebook, pero posteriormente, a principios de año comunicó que no compartiría los datos de los usuarios con Facebook hasta resolver las cuestiones que se les estaban planteando.
Facebook contra la aplicabilidad de las legislaciones nacionales
La respuesta de Facebook ante dichas investigaciones ha sido contundente. La famosa red social considera que las legislaciones nacionales no resultan aplicables en este caso. Y es que recordemos que la sede central europea de Facebook se encuentra en Irlanda, que para Facebook es la única Autoridad competente para conocer sobre el tratamiento de datos personales de los usuarios europeos.
Al contrario, el Grupo de Contacto entiende que son cada una de ellas (Autoridades Nacionales) las que deben conocer e investigar las actividades de Facebook en cada país.
Dicho grupo se basa en la jurisprudencia del Tribunal de Justicia de la Unión Europea (casos Google España, Weltimmo y Amazon) por la que se establece que las actividades de las oficinas europeas están indisolublemente asociadas al tratamiento de datos del Grupo Facebook, cuyo objetivo principal es promover y aumentar las ventas de publicidad dirigida a usuarios y no usuarios del servicio.
Recordemos que el informe de directrices para determinar la Autoridad líder que público el GT29 en diciembre del año pasado, entiende que las autoridades de cada país deben cooperar a través del mecanismo de coherencia establecido en la normativa general de protección de datos cuando afecten sustancialmente a un número significativo de interesados en varios Estados miembros.
Por lo tanto, parece coherente que las investigaciones de las distintas autoridades nacionales sean base fundamental para determinar el incumplimiento en el tratamiento del uso de los datos que hace Facebook.
Informe original sobre las investigaciones del Grupo de Contacto
Lara Puyol
Departamento Legal