| Resolución | REPOSICION-PS-00219-2017 |
| Firmado | 2018-04-30T00:00:00Z |
| Enlace | 📋 |
En el procedimiento sancionador PS/00219/2017, se denunció que WhatsApp Inc., adquirida por Facebook Inc. en 2014, actualizó sus Términos de Servicio y Política de Privacidad en agosto de 2016. Esta actualización incluía la posibilidad de compartir información de los usuarios de WhatsApp con Facebook para mejorar la experiencia de los usuarios y la publicidad en Facebook. Sin embargo, la forma en que se solicitó el consentimiento de los usuarios fue considerada inadecuada, ya que no se proporcionó una opción clara y específica para rechazar la cesión de datos. Además, los usuarios nuevos no tuvieron la posibilidad de consentir que su información fuera compartida con Facebook.
La entidad responsable del tratamiento de datos, Facebook Inc., fue sancionada con 300.000 euros por vulnerar el artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD). La sanción se basó en que el consentimiento obtenido no fue libre, específico ni informado, lo cual es esencial para el tratamiento de datos personales. La entidad no proporcionó a los usuarios información clara sobre las finalidades del tratamiento de sus datos ni les permitió oponerse a la cesión de información a Facebook.
Facebook Inc. argumentó que no era responsable del tratamiento de datos en la Unión Europea, ya que el responsable era Facebook Ireland. Sin embargo, se determinó que Facebook Inc. es la entidad matriz y responsable última de toda la actividad en Internet de la plataforma, lo que la convierte en el responsable del tratamiento de datos. Además, Facebook Inc. tiene un establecimiento en España, Facebook Spain, que está implicado en actividades que entrañan el tratamiento de datos personales.
La sanción se graduó considerando varios criterios, como el carácter continuado de la infracción, el volumen de tratamientos efectuados, la vinculación de la actividad del infractor con la realización de tratamientos de datos personales, el volumen de negocio o actividad del infractor, los beneficios obtenidos como consecuencia de la comisión de la infracción, el grado de intencionalidad y la reincidencia. La entidad fue considerada negligente por no haber extremado la diligencia en la protección de datos personales, lo cual es crucial dada la naturaleza de su actividad empresarial.