Читать книгу Anuario de Derecho Administrativo 2018 - Miguel Ángel Recuerda Girela - Страница 8

1.1. Descripción y calificación de la infracción

Mediante Resolución 01870/2017, de 21 de agosto, la AEPD pone fin al procedimiento sancionador incoado contra FACEBOOK a raíz de unas actuaciones previas de investigación iniciadas de oficio por esa autoridad, no como consecuencia de una denuncia. Se le imponen las tres multas siguientes:

1. 300.000 € por infracción calificada como grave consistente en tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas.

Según consta en la resolución, cuando un usuario nuevo quiere registrarse en FACEBOOK, no es obligatorio que acceda a la política de privacidad para continuar en el proceso de registro. Además, si el usuario no consulta la política en el momento inicial, no queda un enlace de fácil localización para acceder con posterioridad y tampoco se muestra un recordatorio. El proceso concluye con una pestaña en la que consta «Terminado», con una referencia a reconocer haber leído la «Política de datos». Por tanto, el potencial usuario de FACEBOOK no tiene por qué haber aceptado las condiciones de la política de privacidad para concluir el proceso de alta, lo que hace que el consentimiento no sea inequívoco, en contra de lo exigido por la normativa de protección de datos.

2. 300.000 € por infracción calificada igualmente como grave en lo que respecta a la obligación de cancelación de los datos cuando ya no son necesarios o pertinentes para la finalidad recabada.

Según la resolución, los datos personales de los usuarios no son cancelados en su totalidad ni cuando han dejado de ser útiles para el propósito por el que fueron recogidos, ni cuando el usuario explícitamente solicitó su eliminación: la información relativa a una cookie de la cuenta eliminada se almacena durante más de 17 meses y si se crea una nueva cuenta asociada a un correo electrónico con el mismo nombre, esa información se asocia al nuevo usuario. Incluso durante dichos 17 meses se sigue recogiendo y tratando información; etc.

3. 600.000 € por infracción muy grave de las obligaciones sobre el tratamiento de datos especialmente protegidos.

De acuerdo con la resolución, FACEBOOK recoge datos especialmente protegidos en la configuración del perfil de los usuarios, como son los de creencias e ideología. También trata las preferencias de navegación de los usuarios en su red social para perfilarlos mediante datos especialmente protegidos y así ofrecerles contenido en relación con dicho perfil. El consentimiento de los usuarios para el tratamiento de sus datos especialmente protegidos no ha sido recabado conforme a las exigencias de la LOPD según la Administración, ya que no existe un consentimiento expreso y por escrito. En ningún momento se recaba el consentimiento en el proceso de recogida de datos directamente por el usuario o indirectamente de su actividad en la red social.

1.2. Criterios para la fijación de la sanción

Los criterios que constan en la resolución para fijar el importe de la sanción en cada una de las infracciones anteriormente indicadas se enumeran con carácter común a las tres:

- Carácter continuado de la infracción: el tratamiento de datos incumpliendo la normativa de protección de datos ha continuado durante las actuaciones de investigación de la AEPD, que comenzaron en marzo de 2016 (la resolución es de agosto de 2017).

- Volumen de los tratamientos efectuados: se estima que FACEBOOK tiene 1.500 millones de usuarios, 21 millones en España.

- Vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal, pues la actividad empresarial de la entidad imputada exige un continuo tratamiento de datos de carácter personal de clientes y de terceros.

- Volumen de negocio o actividad del infractor, que es elevado tal y como resulta público y notorio.

- Beneficios obtenidos como consecuencia de la comisión de la infracción: dado que los ingresos de FACEBOOK se basan en el uso de datos de los usuarios de la red social con fines publicitarios y su elevado volumen de beneficios es público y notorio.

- Grado de intencionalidad: aunque no se considera que la entidad haya actuado con intencionalidad o dolo, sí se aprecia una falta grave de diligencia debido a que el elevado volumen de tratamientos que la entidad realiza se traduce en un deber de extremar la diligencia y de actuar con un mayor rigor a fin de garantizar una tutela efectiva del derecho fundamental a la protección de datos de carácter personal.