PRIVACIDAD EN LA RED

España multa a Facebook con 1,2 millones por recopilar datos sensibles de los usuarios sin permiso

Considera que no informa adecuadamente de cómo y para qué gestiona gustos, opiniones y creencias de los usuarios

Es la mayor multa de la historia de la Agencia de Protección de Datos en un único procedimiento

Logos de Facebook en el móvil y en la web. / AFP / KAREN BLEIER

■ Facebook sabe mucho más de ti de lo que imaginas

La Agencia Española de Protección de Datos (AEPD) ha impuesto tres multas por un importe total de 1,2 millones de euros a Facebook por recopilar datos personales de los usuarios españoles, incluso los especialmente protegidos, sin recabar expresamente el consentimiento informado. La sanción, la mayor en un solo procedimiento que ha impuesto la agencia en toda su historia, es independiente de otra denuncia por el trasvase de datos entre Facebook y Whatsapp, que ha sido también objeto de investigación y que sigue su curso en el organismo público.

Según la resolución de la agencia española, la red social recopila, almacena y utiliza datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación con fines publicitarios directamente, mediante la interacción con sus servicios o desde páginas de terceros, sin informar claramente al usuario sobre el uso y finalidad que le va a dar a los mismos, y ni siquiera los cancela de modo adecuado cuando un usuario se da de baja. 

Para la AEPD, Facebook no ofrece una información adecuada a los usuarios sobre cómo va a utilizar esta información sensible (salud, sexo, religión, opiniones políticas y sindicales, según la ley de protección de datos), lo que choca frontalmente con la normativa española, que prohíbe cualquier uso de esos datos confidenciales sin expreso e informado consentimiento del usuario. 

Desde el 2015

La agencia considera que la empresa comete dos infracciones graves (sancionadas con 300.000 euros cada una) y una muy grave (de 600.000 euros) de la ley de protección de datos, por lo que impone a Facebook una sanción total de 1.200.000 euros, el máximo que le permite la ley.

Según el organismo, que investiga a la red social que dirige Mark Zuckerberg desde el 2014, "Facebook no informa a los usuarios de forma exhaustiva y clara sobre los datos que va a recoger y los tratamientos que va a realizar con ellos sino que se limita a dar algunos ejemplos. En particular, la red social recoge otros datos derivados de la interacción que llevan a cabo los usuarios en la plataforma y en sitios de terceros sin que estos puedan percibir claramente la información que Facebook recoge sobre ellos ni con qué finalidad la va a utilizar". 

Facebook rastrea incluso a aquellos internautas que no utilizan la red social

En concreto, señala, "los usuarios no son informados de que se va a tratar su información mediante el uso de 'cookies' -algunas de uso específicamente publicitario y algunas de uso declarado secreto por la compañía- cuando navegan por páginas que no son de Facebook y que contienen el botón ‘Me gusta’. Esta situación también se produce cuando los usuarios no son miembros de la red social pero han visitado alguna vez una de sus páginas, así como cuando usuarios que sí están registrados en Facebook navegan por páginas de terceros, incluso sin iniciar sesión en Facebook".

Este rastreo de aquellos que no son clientes de la red (las llamadas 'supercookies') se destapó en abril del 2015 cuando se hicieron públicos los resultados de un estudio encargado por la autoridad belga de protección de datos a investigadores de la Universidad de Lovaina que demostró que Facebook rastreaba incluso a quienes no eran sus usuarios. Las nuevas normas y condiciones de uso de la red social más extendida del mundo hizo que varias de las agencias de protección de datos europeas (Bélgica, España, Francia, Hamburgo, en Alemania, y Países Bajos), coordinadas en el llamado Grupo de Contacto, abrieran investigaciones sobre el caso a partir de posiciones comunes.

Explicaciones "poco claras"

Según la agencia española y sus homólogas europeas, la política de privacidad de Facebook "contiene expresiones genéricas y poco claras, y obliga a acceder a multitud de enlaces distintos para conocerla".

Eso, aduce, deja a los usuarios indefensos porque "un usuario de Facebook con un conocimiento medio de las nuevas tecnologías no llega a ser consciente de la recogida de datos, ni de su almacenamiento y posterior tratamiento, ni de para qué van a ser utilizados". Por su parte, los internautas no registrados desconocen que la red social recoge sus datos de navegación.

Además, la AEPD acusa a Facebook de no eliminar la información que recoge a partir de los hábitos de navegación de los usuarios, "sino que la retiene y reutiliza posteriormente asociada al mismo usuario". En relación con la conservación de datos, cuando un usuario de la red social ha eliminado su cuenta y solicita el borrado de la información, Facebook capta y trata información durante más de 17 meses a través de una 'cookie' de la cuenta eliminada. Por ello, la AEPD considera que los datos personales de los usuarios no son cancelados en su totalidad ni cuando han dejado de ser útiles para el propósito para el que se recogieron ni cuando el usuario solicita explícitamente su eliminación, conforme a las exigencias de la LOPD, lo que representa una infracción tipificada como grave.

Facebook recurrirá la multa 

La resolución de la AEPD que impone la sanción de 1,2 millones de euros a Facebook ya recoge en sus 93 páginas las alegaciones que la red social ha ido haciendo a lo largo de la investigación de los técnicos. Sin embargo, este lunes, al hacerse pública la nota, Facebook ha emitido un comunicado en el que manifiesta su "respetuoso desacuerdo" y anuncia un recurso contra la multa.