Multa a Facebook por usar sin permiso datos sensibles del usuario

Según la resolución de la agencia española, la red social recopila, almacena y utiliza datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación con fines publicitarios directamente, mediante la interacción con sus servicios o desde páginas de terceros, sin informar claramente al usuario sobre el uso y finalidad que le va a dar a los mismos, y ni siquiera los cancela de modo adecuado cuando un usuario se da de baja.

Para la AEPD, Facebook no ofrece una información adecuada a los usuarios sobre cómo va a utilizar esta información sensible (salud, sexo, religión, opiniones políticas y sindicales, según la ley de protección de datos), lo que choca frontalmente con la normativa española, que prohíbe cualquier uso de esos datos confidenciales sin expreso e informado consentimiento del usuario.

EL MÁXIMO / La agencia considera que la empresa comete dos infracciones graves (sancionadas con 300.000 euros cada una) y una muy grave (de 600.000 euros) de la ley de protección de datos, por lo que impone a Facebook una sanción total de 1.200.000 euros, el máximo que le permite la ley.

Según el organismo, que investiga a la red social que dirige Mark Zuckerberg desde el 2014, «Facebook no informa a los usuarios de forma exhaustiva y clara sobre los datos que va a recoger y los tratamientos que va a realizar con ellos sino que se limita a dar algunos ejemplos. En particular, la red social recoge otros datos derivados de la interacción que llevan a cabo los usuarios en la plataforma y en sitios de terceros sin que estos puedan percibir claramente la información que Facebook recoge sobre ellos ni con qué finalidad la va a utilizar».

En concreto, señala, «los usuarios no son informados de que se va a tratar su información mediante el uso de cookies -algunas de uso específicamente publicitario y algunas de uso declarado secreto por la compañía- cuando navegan por páginas que no son de Facebook y que contienen el botón Me gusta. Esta situación también se produce cuando los usuarios no son miembros de la red social pero han visitado alguna vez una de sus páginas, así como cuando usuarios que sí están registrados en Facebook navegan por páginas de terceros, incluso sin iniciar sesión en Facebook».

ESTUDIO / Este rastreo de aquellos que no son clientes de la red (las llamadas supercookies) se destapó en abril del 2015 cuando se hicieron públicos los resultados de un estudio encargado por la autoridad belga de protección de datos a investigadores de la Universidad de Lovaina que demostró que Facebook rastreaba incluso a quienes no eran sus usuarios. Las nuevas normas y condiciones de uso de la red social más extendida del mundo hizo que varias de las agencias de protección de datos europeas (Bélgica, España, Francia, Hamburgo, en Alemania, y Países Bajos), coordinadas en el llamado Grupo de Contacto, abrieran investigaciones sobre el caso a partir de posiciones comunes.

Según la agencia española y sus homólogas europeas, la política de privacidad de Facebook «contiene expresiones genéricas y poco claras, y obliga a acceder a multitud de enlaces distintos para conocerla».

Eso, aduce, deja a los usuarios indefensos porque «un usuario de Facebook con un conocimiento medio de las nuevas tecnologías no llega a ser consciente de la recogida de datos, ni de su almacenamiento y posterior tratamiento, ni de para qué van a ser utilizados». Por su parte, los internautas no registrados desconocen que la red social recoge sus datos de navegación.

Además, la AEPD acusa a Facebook de no eliminar la información que recoge a partir de los hábitos de navegación de los usuarios, «sino que la retiene y reutiliza posteriormente asociada al mismo usuario». Al respecto, cuando un usuario ha eliminado su cuenta y solicita el borrado de la información, Facebook capta y trata información durante más de 17 meses a través de una cookie de la cuenta eliminada.