Martes, 07 Noviembre 2017

El caso Facebook y la aplicación de la Ley Española de Protección de Datos de Carácter Personal

VolverComo abogados expertos en protección de datos de carácter personal hemos creído interesante y conveniente comentar la citada Resolución, a la vista de la cuantía de las sanciones por las infracciones en esta materia y por el impacto que además pueden tener dichas sanciones en la imagen de los operadores económicos y sociales.

La suma de las multas por las varias infracciones que se recogen en la Resolución que comentamos, alcanza un millón doscientos mil Euros (1.200.000 €). En síntesis, las infracciones son las siguientes.

1.- Incumplimiento del deber de informar al interesado de forma expresa, inequívoca y precisa sobre los datos de carácter personal y las finalidades de la recogida y del tratamiento.

En este punto es importante señalar que según la Resolución dictada por la AEPD, al registrarse un nuevo usuario, no aparece un texto con la información adecuada sobre la recogida de los datos de carácter personal, sobre la finalidad de la recogida y el tratamiento de dichos datos, lo que da lugar a confusión e indefensión de los usuarios respecto a los tratamientos que la citada red social realizará de sus datos personales.

Además, considera la Resolución que la redacción y el lenguaje de la Política de Datos son ambiguos y en ocasiones confusos, dado que la información relativa a los datos que serán objeto de tratamiento queda supeditada a la navegación por múltiples páginas y es de difícil localización.

En los hechos probados de la Resolución, se establece que los usuarios no son informados de que se tratará su información mediante el uso de cookies, algunas de uso específico publicitario y alguna de uso secreto, cuando navegan por páginas que no son páginas de FACEBOOK (páginas de terceros) y que contienen el botón “Me gusta”. Que esto se produce incluso cuando los usuarios no están registrados en FACEBOOK, pero han visitado alguna vez una de sus páginas. Que también ocurre en usuarios registrados pero que navegan por páginas de terceros, incluso si no tienen sesión iniciada en FACEBOOK, añadiendo la información recogida en dichas páginas a la asociada a su cuenta de FACEBOOK. Y que los editores de dichas páginas no son informados por FACEBOOK de que se va a producir dicho tratamiento de forma adecuada.

Por todo lo anterior, considera la AEPD que la actuación llevada a cabo por Facebook Inc. constituye una infracción grave sancionada con una multa de 300.000 €.

2.- Tratar los datos de carácter personal sin el debido consentimiento de los interesados y tratamiento de datos especialmente protegidos.

Según los hechos probados de la Resolución, el potencial usuario de FACEBOOK no tiene por qué haber aceptado las condiciones de la política de privacidad para concluir el proceso de alta, lo que hace que el consentimiento no sea inequívoco. El tema es en el caso que nos ocupa, más grave puesto que se tratan, además, datos especialmente protegidos, siendo que para éstos, el consentimiento ha de ser expreso y por escrito. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Señala en tal sentido la Resolución, que en sus alegaciones FACEBOOK indica que en su Política de Publicidad que publica en la página web, se recoge: “No utilizamos información personal sensible para segmentar los anuncios. Los temas que elijas para segmentar tu anuncio no reflejan las creencias personales, las características, ni los valores de las personas que usan Facebook o Instagram”. Esta declaración pública constituye, según la AEPD, un agravante pues desinforma a los usuarios de FACEBOOK sobre la utilización de sus datos especialmente protegidos y ahonda en la certeza de que se tratan los mismos sin su consentimiento expreso y escrito.

Para el caso particular del tratamiento de los datos especialmente protegidos con el propósito de publicidad, los hechos probados decimocuartos y vigesimoquinto establecen que en las herramientas que se ponen a disposición de los usuarios para el control de la publicidad mostrada no se establece un régimen de preferencias para el tratamiento de datos especialmente protegidos, no se solicita el consentimiento a priori para dicho tratamiento, sino que por defecto se tratan todos los datos personales por igual con el fin publicitario ya detallado. Es más, las opciones de configuración permiten al usuario que, en efecto, FACEBOOK no muestre anuncios basados en su perfil, pero no implican que no se recoja ni se trate la información para crear un perfil asociado al usuario y que conserve de forma indefinida.

Concluye la AEPD que dichas actuaciones constituyen una infracción muy grave, sancionada con 600.000€.

3.- Deber de cancelación de los datos.

Finalmente, la Resolución AEPD entiende que Facebook Inc. vulnera el principio de calidad de los datos, al no proceder a su total cancelación cuando dichos datos han dejado de ser necesarios para el propósito para el que fueron recogidos, o cuando el usuario solicita expresamente su eliminación.

Por esta infracción considerada grave, se impone una multa de 300.000 €.

Pasando a comentar concretamente la aplicabilidad de la ley nacional y la consideración de FACEBOOK, INC. como responsable del tratamiento, como anunciábamos en el resumen, conviene señalar que la red social FACEBOOK está estructurada en torno a la entidad matriz FACEBOOK, INC., teniendo en España una sociedad limitada denominada Facebook Spain, S.L. y otra sociedad en Irlanda denominada Facebook Ireland Limited (FACEBOOK IRELAND).

Pues bien, en el expediente sancionador iniciado por la AEPD, Facebook Inc. (la matriz californiana) había alegado que no le era de aplicación la normativa española puesto que el responsable del tratamiento de los usuarios españoles en España es FACEBOOK IRELAND. Sin embargo la Resolución declara que dicha entidad es responsable del tratamiento de datos personales de los usuarios de FACEBOOK en la Unión Europea pues su participación en la determinación de los fines y los medios del tratamiento ha quedado constatada pues el dominio “Facebook.com” está registrado a nombre de FACEBOOK, INC. en Menlo Park Estados Unidos y el dominio “Facebook.es” está registrado a nombre de FACEBOOK IRELAND, página que como tal no existe, sino que es una redirección a la página “es-es.facebook.com”. Viene a indicar la Resolución que FACEBOOK, INC es la responsable última de toda la actividad en Internet de dicha plataforma de comunicación entre sus usuarios.

Recuerda la Resolución la recordar la doctrina del Tribunal Supremo 210/2016, Sala de lo Civil, de fecha 5 de abril de 2016 (caso Google), que establece:

El efecto útil de la normativa comunitaria se debilitaría enormemente si los afectados hubieran de averiguar, dentro del grupo empresarial titular de un motor de búsqueda, cuál es la función concreta de cada una de las sociedades que lo componen, lo que, en ocasiones, constituye incluso un secreto empresarial y, en todo caso, no es un dato accesible al público en general. También se debilitaría el efecto útil de la Directiva si se diera trascendencia, en el sentido que pretende la recurrente Google Spain, a la personificación jurídica que el responsable del tratamiento de datos diera a sus establecimientos en los distintos Estados miembros, obligando de este modo a los afectados a litigar contra sociedades situadas en un país extranjero”.

Esta doctrina vendría a ser similar a lo que, en términos mercantilistas, ha venido en denominarse, el “levantamiento del velo”.

Sentado lo anterior, considera aplicable el derecho nacional por aplicación del párrafo segundo del art. 2.1 LOPD, pues éste establece dicha aplicación, entre otros, en los siguientes casos:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito”.

En el supuesto analizado la AEPD pone de relieve que la entidad FACEBOOK SPAIN, S.L., constituye un establecimiento implicado en actividades que entrañan el tratamiento de datos personales relativos a personas identificadas o identificables, que se recaban en territorio español. FACEBOOK, INC desarrolla una actividad de carácter económico que tiene por objeto la obtención de ingresos a cambio de la publicidad de terceros que inserta en los sitios web que gestiona. La actividad de FACEBOOK, INC no sería viable sin esa financiación. La captación de anunciantes en el territorio español constituye la tarea principal de FACEBOOK SPAIN, S.L. Por ello la actuación de FACEBOOK SPAIN, S.L. es significativa para la prestación de los servicios y los tratamientos de datos que conllevan ya que su actividad consiste en la captación de anunciantes en el territorio español, existiendo una relación de causalidad entre la actuación de FACEBOOK SPAIN, S.L. y la existencia misma de los tratamientos que se realizan con fines de publicidad.

Y para terminar con este punto, señala la Resolución que “resulta relevante añadir a lo expuesto que la entidad FACEBOOK, INC además recurre a medios situados en el territorio español con el fin de captar información en nuestro territorio (utilizando, entre otros, los equipos de los usuarios residentes en España para almacenar información de forma local a través de cookies y otros medios, así como ejecutando código en dichos dispositivos), sin que la utilización de tales equipos para la recogida de datos se realice exclusivamente con fines de tránsito por el territorio de la Unión Europea, es decir, no se trata de equipos de transmisión, sino que dichos equipos se emplean para la recogida y tratamiento de los datos.”

Concluye la AEPD señalando que, por todo ello, la LOPD es aplicable al presente supuesto y competente la propia AEPD.

Como abogados especialistas en protección de datos y tecnología de la información (TIC), destacamos nuevamente la importancia de esta materia que afecta a derechos fundamentales de la persona y la necesidad de disponer de los mecanismos legales y técnico para el cumplimiento de las normas; la quiebra de las mismas puede acarrear consecuencias graves para las entidades; Belzuz Abogados queda a su disposición para asesorarle y asistirle en estos temas de relevancia cada vez mayor.

 Emilio Perez Labrador Emilio Pérez Labrador

Departamento de Tecnologías de la Información y de la Comunicación (TIC)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa