Analizamos la Resolución R/01870/2017 dictada por la Agencia Española de Protección de Datos (en adelante, “AEPD”) en el Procedimiento Sancionador PS00082/2017.
1. Antecedentes
El Procedimiento Sancionador contra Facebook, Inc. fue instruido de oficio por la Directora de la AEPD, el pasado 8 de marzo de 2016. En dicha fecha, la Directora de la AEPD ordenó a la Subdirección General de Inspección de Datos el inicio de las pertinentes investigaciones a la sociedad liderada por Mark Zuckerberg.
2. Responsabilidad y ámbito de aplicación de la LOPD
Tras dichas investigaciones, y amparándose en jurisprudencia del Tribunal Supremo y en el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29, la AEPD determina en su resolución que Facebook, Inc. es el responsable de las infracciones cometidas en materia de protección de datos, por su participación recurrente en la determinación y delimitación de los fines y los medios del tratamiento de los datos personales de los usuarios de la red social en territorio español.
La AEPD entiende, del mismo modo, que la aplicación de la LOPD al procedimiento analizado es palmaria y no ha lugar a dudas basando su afirmación en las conductas realizadas por la empresa californiana, en concreto:
- Las conductas han sido realizadas en el marco de las actividades de un establecimiento del responsable del tratamiento en territorio español, en el que se realiza el tratamiento de datos personales relativos a personas identificadas o identificables, recabados en dicho territorio; y
- Facebook, Inc. recurre a medios situados en territorio español con el fin de captar información de dicho territorio (por ejemplo, mediante la instalación de cookies en terminales de usuarios españoles). Al respecto, la AEPD considera que la recogida de estos datos a través de los equipos de Facebook, Inc. no se realiza únicamente con fines de tránsito, sino que la finalidad principal es, precisamente, la recogida y tratamiento de los mismos.
3. Detalle de las infracciones cometidas por Facebook, Inc.
Deber de informar al interesado
La AEPD concluye que Facebook, Inc. no cumple con el deber de informar al interesado de forma expresa, precisa e inequívoca respecto a qué datos personales serán tratados y la finalidad de la recogida de los mismos, dado que:
- El registro en dicha red social por parte de un nuevo Usuario no está sujeto a la lectura por parte aquél de ningún texto informativo en materia de protección de datos personales, lo cual es generador de confusión, desconocimiento e indefensión para dichos usuarios respecto a los tratamientos que la citada red social realizará de sus datos personales.
- La redacción y el lenguaje de la Política de Datos de Facebook no se ajusta al público y usuarios objetivos de la red social, siendo ambiguo y en ocasiones confuso, dado que la información relativa a los datos que serán objeto de tratamiento queda supeditada a la navegación por múltiples páginas.
- Facebook, Inc. puede obtener y tratar datos personales de usuarios cuando éstos navegan por páginas de terceros ajenas a Facebook pero que contienen el botón “Me gusta”. Este tratamiento de datos se produce, incluso, con usuarios no registrados en la red social que en algún momento han interactuado o navegado por alguna de estas páginas, así como con usuarios que no han iniciado sesión en Facebook, añadiéndose la información recogida en las páginas de terceros a la asociada a su cuenta de Facebook.
Por todo lo anterior, considera la AEPD que la actuación llevada a cabo por Facebook Inc. constituye una infracción grave sancionada con una multa de 300.000€.
Deber de obtención del consentimiento del interesado
Resuelve asimismo la AEPD que el mecanismo de obtención del consentimiento habilitado por la citada red social no cumple con las exigencias establecidas por la normativa aplicable y que, por tanto, el consentimiento prestado por los usuarios no puede considerarse válido, al no constituir una manifestación de voluntad inequívoca, libre e informada del mismo, siendo muestra de ello que:
- En la parte de inferior del formulario de registro que debe cumplimentar un nuevo Usuario aparece una breve leyenda que incluye hipervínculos a la Política de Datos, no obstante. la mecánica prevista no obliga a un acceso efectivo a dicha Política para concluir el proceso de registro.
- El único consentimiento prestado por el usuario se refiere a tratamientos de datos especialmente protegidos, recabados, a su vez, para multitud de finalidades, inclusive, finalidades publicitarias.
Concluye la AEPD que dichas actuaciones constituyen una infracción muy grave sancionada con 600.000€.
Cancelación y conservación de los datos
Finalmente, la AEPD entiende que Facebook Inc. vulnera el principio de calidad de los datos, al no proceder a su total cancelación cuando dichos datos han dejado de ser necesarios para el propósito para el que fueron recogidos, o cuando el usuario solicita expresamente su eliminación, concluyendo, así, que tal actuación constituye una infracción grave sancionada con 300.000€.
4. El deber de información en el marco del Reglamento Europeo de Protección de Datos (RGPD)
A pesar de que la resolución que nos ocupa ha sido dictada bajo el prisma de la LOPD aun vigente, los pronunciamientos de la AEPD parecen tener ya en cuenta el nuevo marco normativo europeo.
Muestra de ello es la aplicación por parte de dicha autoridad de un análisis más riguroso si cabe en cuanto al deber de informar y la forma de recabar el consentimiento respecto a distintas operaciones de tratamiento o finalidades, cuestiones que, si bien, responden a principios ya planteados por la actual legislación, no eran exigidos de manera explícita o detallada.
Ejemplo de lo anterior es el modo en que la AEPD analiza la manera en la que se debe facilitar al usuario la información. Mientras la LOPD únicamente exigía que se hiciera de manera clara, el nuevo Reglamento establece la obligación de hacerlo siguiendo una estructura determinada, de fácil acceso y localización.
Precisamente al respecto, Facebook, en sus alegaciones, incide en que el método (multicapa) a través del cual facilita información relativa al uso y tratamiento de los datos de sus usuarios sigue las recomendaciones del Grupo del Artículo 29 y, por lo tanto, puede ayudar a los usuarios a comprender el tratamiento que se realiza de sus datos. Sin embargo, la AEPD considera que en el caso de Facebook, el efecto es el contrario, puesto que utiliza información en multitud de capas sin orden aparente lo que dificulta la comprensión y localización para los usuarios de información relativa a los datos objeto de tratamiento, así como las finalidades a las que se destinarán los mismos.
Asimismo, la resolución analizada, también cuestiona el modelo de obtención del consentimiento por parte de Facebook, Inc. de manera que con una única acción por parte del usuario, éste está aceptando multitud de tratamientos o el uso de sus datos para múltiples finalidades.
Esta fórmula que hasta la fecha venía utilizándose de forma generalizada, se halla expresamente vetada en el RGDP, al establecerse que cuando el tratamiento se base en el consentimiento del afectado y exista una pluralidad de finalidades, dicho consentimiento será preciso para todas ellas o, lo que es lo mismo, el consentimiento tan sólo se entenderá prestado de forma libre si el usuario puede aceptar por separado alguna de las finalidades y rechazar las que considere.