La Agencia Española de Protección de Datos (AEPD) ha dictado una resolución en el procedimiento iniciado a la empresa Facebook para analizar si los tratamientos de datos que realiza la red social se adecuan a la normativa de protección de datos.
La AEPD declara la existencia de dos infracciones graves y una muy grave de la Ley Orgánica de Protección de Datos (LOPD) española e impone a la citada compañía una sanción de 1.200.000 euros −300.000 por cada una de las primeras y 600.000 por la segunda−.
LEE: MALWARE ATACA FACEBOOK MESSENGER
En el marco de la investigación realizada, la AEPD ha constatado que Facebook recaba datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación sin informar de forma clara acerca del uso y finalidad que le va a dar a los mismos. La red social maneja datos especialmente protegidos con fines de publicidad, entre otros, sin obtener el consentimiento expreso de los usuarios como exige la normativa de protección de datos, infracción muy grave.
RECOMENDADO: ALEMANIA APROBÓ LEY FACEBOOK
La investigación también ha permitido comprobar que Facebook no informa a los usuarios de forma exhaustiva y clara sobre los datos que va a recoger y el tratamiento que va a darles sino que se limita a dar algunos ejemplos. En particular, la red social recoge otros datos derivados de la interacción que llevan a cabo los usuarios en la plataforma y en sitios de terceros sin que estos puedan percibir con exactitud la información que Facebook retoma sobre ellos ni con qué finalidad la va a utilizar.
La AEPD también ha confirmado que los usuarios no son informados sobre cómo se va a tratar su información mediante el uso de cookies -algunas de uso específicamente publicitario y otras de uso declarado secreto por la compañía- cuando navegan por páginas que no son de Facebook y que contienen el botón ‘Me gusta’.
Esta situación también se produce cuando los usuarios no son miembros de la red social pero han visitado alguna vez una de sus páginas, así como cuando usuarios que sí están registrados navegan por páginas de terceros, incluso sin iniciar sesión en citada red social. En estos casos, la plataforma añade los datos recopilados en dichas páginas a los que figuran asociados a su cuenta social.
Asimismo se afirma que la política de privacidad de Facebook contiene expresiones genéricas y poco claras, y obliga a acceder a multitud de enlaces distintos para conocerla. La red social hace referencia de forma imprecisa al uso que va a hacer de los datos que recaba, de forma que un usuario de Facebook con un conocimiento medio de las nuevas tecnologías no llega a ser consciente de la obtención de datos ni de su almacenamiento, y posterior tratamiento ni de para qué van a ser utilizados. Por su parte, los internautas no registrados desconocen que la red social recoge sus datos de navegación.
Finalmente, Facebook no elimina la información que recopila a partir de los hábitos de navegación de los usuarios, sino que la retiene y reutiliza posteriormente asociada al mismo usuario.
En relación con la conservación de datos, cuando un usuario de la red social ha eliminado su cuenta y solicita el borrado de la información, Facebook capta y trata información durante más de 17 meses a través de una cookie de la cuenta eliminada. Por ello, se considera que los datos personales de los usuarios no son cancelados en su totalidad ni cuando han dejado de ser útiles para el propósito para el que se recogieron ni cuando el usuario solicita explícitamente su eliminación, lo que representa una infracción tipificada como grave.
Con información de la Agencia Española de Protección de Datos, Madrid 11 de septiembre 2017