Declaración común del Grupo de Contacto de las Autoridades de Protección de Datos de Holanda, Francia, España, Hamburgo y Bélgica

AEPD Jueves, 18 Mayo 2017

El 13 de noviembre de 2014 Facebook anunció una revisión global de su política de privacidad, su política de cookies y sus términos de uso. Tras este anuncio, se creó un Grupo de Contacto a nivel europeo formado por las Autoridades de Protección de Datos de Holanda, Francia, España, Hamburgo y Bélgica. Los miembros del Grupo de Contacto han iniciado investigaciones nacionales relacionadas, entre otros aspectos, con la calidad de la información facilitada a los usuarios, la validez del consentimiento y el tratamiento de datos personales con fines publicitarios. Tres de los miembros publican hoy los resultados (Francia, Bélgica y Holanda).

Resultados de los procedimientos nacionales

En Francia el Comité Restringido de la CNIL ha decidido imponer una sanción de 150.000 euros a Facebook Inc. y Facebook Ireland Limited. El Comité Restringido considera que el Grupo Facebook no tiene una base legal para combinar la información de la que dispone con los titulares de las cuentas para mostrar publicidad específica. También encuentra que el Grupo Facebook realiza un seguimiento ilegal de los usuarios de internet a través de la cookie datr. El banner de la cookie y la mención de la información recopilada "dentro y fuera de Facebook" no permiten a los usuarios entender claramente que sus datos personales son recopilados sistemáticamente tan pronto como navegan en un sitio web de terceros que incluye un plug-in social.

En Bélgica, la Comisión de Privacidad de Bélgica ha emitido hoy nuevas recomendaciones al Grupo Facebook sobre el seguimiento de usuarios y no usuarios de la red social a través de cookies, plug-ins sociales y píxeles, siguiendo los cambios realizados por Facebook en septiembre de 2015 y mayo de 2016, después de las primeras recomendaciones realizadas el 15 de mayo de 2015. La Comisión de Privacidad de Bélgica considera que Facebook sigue incumpliendo la legislación belga y de la UE sobre protección de datos en lo que respecta al seguimiento de usuarios y no usuarios de Facebook a través de cookies, plug-ins sociales y píxeles. En particular, no se cumplen los requisitos legales relativos al consentimiento, el tratamiento justo, la transparencia y la proporcionalidad, entre otros, debido a las deficiencias en la información que Facebook proporciona a los interesados y a la insuficiencia de las opciones que ofrece.

La Comisión de Privacidad de Bélgica considera además que la recopilación de datos personales por parte de Facebook utilizando cookies, plug-ins sociales y píxeles es excesiva en varias circunstancias. La Comisión de Privacidad está solicitando la ejecución judicial de sus recomendaciones ante el Tribunal de Primera Instancia de Bruselas. La vista oral se celebrará del 12 al 13 de octubre de 2017.

En Holanda, el Grupo Facebook viola la legislación holandesa sobre protección de datos. Esa es la conclusión de la Autoridad Holandesa de Protección de Datos (Autoriteit Persoonsgegevens) después de su investigación sobre el tratamiento de datos personales de 9,6 millones de usuarios de Facebook en Holanda. La empresa viola la legislación holandesa sobre protección de datos, incluyendo no ofrecer información suficiente a los usuarios sobre el uso de sus datos personales. La Autoridad holandesa también ha encontrado que Facebook utiliza datos personales confidenciales de los usuarios sin su consentimiento explícito. Por ejemplo, los datos relativos a las preferencias sexuales se utilizaron para mostrar anuncios específicos. El Grupo Facebook ha realizado cambios para poner fin al uso de este tipo de datos para este propósito. La Autoridad holandesa evalúa actualmente si las otras violaciones han cesado. Si no fuera así, la Autoridad holandesa puede decidir emitir una sanción.

En Hamburgo (Alemania), la Autoridad de Hamburgo ha emitido dos órdenes diferentes relacionadas con el Grupo Facebook. Un caso se centró en el uso de seudónimos. Facebook apeló contra la decisión. El Tribunal Superior Administrativo levantó la orden para permitir el uso de seudónimos, sin tomar una decisión sobre la cuestión de si la Autoridad de Hamburgo era competente. En cambio, el Tribunal se refirió al procedimiento en curso ante el Tribunal de Justicia de la Unión Europea para decidir sobre el derecho aplicable (en el caso de la Autoridad de Schleswig Holstein, asunto EU-CJ C-210/16) (*1). En un segundo procedimiento, la Autoridad de Hamburgo ordenó al Grupo Facebook que dejara de combinar datos de los usuarios de WhatsApp sin su consentimiento previo. El 25 de abril de 2017, el Tribunal Administrativo (inferior) confirmó la validez de esta orden, sin decidir sobre la ley aplicable (*2).

En España, la Agencia Española de Protección de Datos ha abierto dos procedimientos de infracción tras las investigaciones preliminares sobre la política de privacidad y las condiciones de uso de Facebook. Estos procedimientos, teniendo en cuenta los resultados de las investigaciones, se basan en la supuesta infracción de las disposiciones de la legislación española en materia de protección de datos.

Ley aplicable

En cada una de las investigaciones nacionales antes mencionadas, el Grupo Facebook ha impugnado la aplicabilidad de la legislación nacional de protección de datos del Estado miembro en cuestión. Según el Grupo Facebook, sólo le sería aplicable la legislación irlandesa sobre protección de datos y sólo la Autoridad irlandesa sería competente para supervisar el tratamiento de datos personales de los usuarios del servicio en Europa. Sin embargo, las Autoridades unidas en el Grupo de Contacto concluyen que sus respectivas leyes nacionales de protección de datos se aplican al tratamiento de datos personales de usuarios y no usuarios del Grupo Facebook en sus respectivos países y que cada Autoridad tiene competencia. A raíz de la jurisprudencia del Tribunal de Justicia de la Unión Europea (los casos de Google España, Weltimmo y Amazon (*3), las Autoridades señalan que el Grupo Facebook tiene oficinas en varios países de la UE. Estas oficinas tienen como objetivo promover y aumentar las ventas de publicidad dirigida a usuarios nacionales y no usuarios del servicio. Por sus ingresos, el Grupo Facebook depende casi por completo de la venta de espacio publicitario, y los datos personales deben ser procesados necesariamente para el tipo de servicios de publicidad dirigida que ofrece. Por lo tanto, las actividades de estas oficinas están "indisolublemente asociadas" al tratamiento de datos que realiza el Grupo Facebook, y todas las oficinas nacionales investigadas son establecimientos pertinentes en virtud del Artículo 4.1.a de la Directiva Europea de Protección de Datos 95/46 /CE.

Consultar la noticia