L'Agència declara l'existència de dues infraccions greus de la Llei Orgànica de Protecció de Dades, sancionant amb 300.000 euros a Whatsapp i 300.000 a Facebook.

En la seva resolució conclou que la comunicació de dades realitzada per Whatsapp a Facebook no s'ajusta al que exigeix la normativa espanyola i europea de protecció de dades. A més, sanciona també a Facebook per tractar aquestes dades cedides per als seus propis fins sense haver obtingut un consentiment vàlid per part dels usuaris. El marc normatiu estableix que el consentiment ha de ser "lliure, específic i informat", cosa que no es compleix ni en la comunicació de dades realitzada per Whatsapp ni en el tractament posterior que porta a terme Facebook.

L'Agència Espanyola de Protecció de Dades (AEPD) ha dictat resolució en el procediment sancionador iniciat a les empreses Whatsapp i Facebook. L'Agència ha declarat l'existència de dues infraccions greus de la Llei Orgànica de Protecció de Dades, sancionades cadascuna amb 300.000 euros: una d'elles a Whatsapp per comunicar dades a Facebook sense haver obtingut un consentiment vàlid dels usuaris i una altra a Facebook per tractar aquestes dades per als seus propis fins sense consentiment.

L'entitat Whatsapp va ser adquirida per Facebook a l'any 2014. A l'agost de 2016, la primera va actualitzar els termes del seu servei i la política de privacitat, introduint canvis com el fet de compartir informació dels usuaris de WhatsApp amb Facebook.

L'acceptació d'aquestes noves condicions es va imposar com a obligatòria per poder fer ús de l'aplicació de missatgeria, i aquesta comunicació de dades personals a Facebook, que no té relació amb les finalitats determinades en la recollida de dades original, es va realitzar sense oferir als usuaris una informació adequada i sense l'opció de mostrar la seva negativa a les mateixes.

En el cas d'usuaris que ja tenien instal·lada l'aplicació WhatsApp, la companyia només va habilitar mecanismes per rebutjar que la informació cedida pogués ser utilitzada amb la finalitat de "millorar" la "experiència amb els productes i publicitat en Facebook", però no amb altres fins recollits en la política de privacitat. A més, aquests usuaris havien d'acceptar els nous termes abans d'un termini concret per seguir utilitzant el servei.

En el cas dels usuaris nous, ni tan sols se'ls oferia l'opció de negar-se a que les seves dades fossin cedits a Facebook per als fins publicitaris o de "millora d'experiència" abans esmentats, sense permetre instal·lar l'app en cas de no acceptar aquestes condicions.

La comunicació de dades personals exigeix el consentiment de l'afectat segons l'article 11 de la LOPD. L'actual marc normatiu exigeix que aquest consentiment, a més, ha de ser lliure, específic i informat. En aquest cas, la resolució de l'Agència recull d'exigir que els usuaris prestin el seu consentiment com a requisit per poder fer ús de l'aplicació de missatgeria WhatsApp i considerant la seva implantació social es pot entendre, en els termes del Grup d'Autoritats Europees de Protecció de Dades , com "una cosa que exerceix una influència real en la llibertat d'elecció de la persona interessada". El consentiment, en aquest cas, no es pot considerar lliure i, en conseqüència, no pot considerar vàlid.

A més, perquè el consentiment prestat per l'usuari sigui vàlid, aquest ha de ser informat i específic, de tal manera que l'absència d'informació o una informació insuficient determina la falta de consentiment. La resolució afegeix que la informació sobre a qui es poden cedir les dades, les finalitats per a les quals se li cedeixen o la utilització que faran dels mateixos els cessionaris "s'ofereix de forma poc clara, amb expressions imprecises i inconcretes que no permeten deduir , sens dubte o equivocació, la finalitat per a la qual van a ser cedits ".

En el cas de la infracció declarada a Facebook, la resolució estableix que, com es dedueix de les pròpies declaracions de les dues entitats, la xarxa social ve utilitzant la informació dels usuaris cedida per Whatsapp amb finalitats específiques dels seus serveis i, en definitiva, en benefici de la seva activitat. Facebook destina aquestes dades a la seva pròpia finalitat publicitària i de millora dels seus productes així com per a altres finalitats, per la qual cosa requereix d'un consentiment lliure, específic i informat dels usuaris per tractar aquestes dades.

En conseqüència, les deficiències exposades en relació amb la informació facilitada als usuaris de WhatsApp sobre la cessió de les seves dades personals i el consentiment prestat es reprodueixen respecte a Facebook, per la qual cosa el consentiment atorgat a la companyia per part dels usuaris, " no es pot considerar lliure, específic i informat ", afegeix la resolució de l'Agència.

L'Agència ha imposat 300.000 euros de sanció a cada entitat -la quantia màxima corresponent a les infraccions greus declaradas- tenint en compte factors com el volum de tractaments efectuats, el volum de negoci de les infractores o la vinculació de l'activitat d'aquestes amb els tractaments de dades de caràcter personal, entre altres.