La Agencia Española de Protección de Datos (AEPD) decidió hace un año no sancionar a WhatsApp por una razón similar por la que ahora multa a la empresa con 300.000 euros. Concretamente, la AEPD estima ahora que WhatsApp “comunica datos a Facebook sin haber obtenido un consentimiento válido de los usuarios”, mientras que archivó el verano pasado una denuncia sobre el mismo asunto.

La sanción impuesta ahora por la AEPD a WhatsApp se une a otra de 300.000 contra Facebook, propietaria del popular servicio de mensajería instantánea desde que lo adquiriera en 2014, por el tratamiento de esos datos para sus propio beneficio “empresarial o de otro tipo”, y no sólo para mejorar la experiencia de publicidad y productos que ofrece a sus usuarios, sin consentimiento expreso de los usuarios.

Esta decisión de la AEPD (PDF) contrasta con otra, tomada el 26 de julio de 2017 (PDF), en la que la propia agencia desestimaba un caso similar, denunciado por el especialista y CEO de ePrivacidad Samuel Parra en agosto del año anterior, un mes antes de que la propia agencia iniciase su propia investigación.

Samuel Parra denunciaba entonces que WhatsApp había modificado en 2016 sus herramienta para solicitar el consentimiento de sus usuarios para ceder sus datos a Facebook, concretamente una casilla marcada por defecto -premarcada- y una pestaña de lectura opcional, algo que según él podría ser contrario a lo dispuesto en el artículo 15 del Reglamento de la Ley Orgánica de Protección de Datos (RLOPD).

En 2017 vale, ahora multa

En la resolución de archivo de su denuncia en 2017, la agencia hilaba fino al considerar de aplicación en este caso no era el artículo 15 sino el 14 del citado reglamento, en el cual “no se hace ninguna referencia a que la casilla no debe encontrase premarcada, sólo exige que se ofrezca un medio sencillo y gratuito para mostrar la negativa”.

“El medio ofrecido por WhatsApp para mostrar negativa es sencillo y gratuito, por lo que no se incumpliría el artículo 14 del RLOPD”, concluía, en una resolución que reflejaba que dichas actuaciones tenían “por objeto analizar la conformidad con la normativa de protección de datos del mecanismo habilitados por WhatsApp INC. para que los usuarios del servicio de mensajería instantánea ‘Whatsapp’ prestasen su consentimiento para que dicha entidad comparta información con Facebook”.

Ahora, en su resolución publicada esta misma semana, la AEDP abre el foco sobre el consentimiento de los usuarios: “La comunicación de datos personales exige el consentimiento del afectado”, recuerda la agencia en su comunicado, y añade: “El actual marco normativo exige que ese consentimiento, además, debe ser libre, específico e informado”.

La resolución sancionadora afirma que “la aceptación de los nuevos Términos de Servicio y de la Política de Privacidad en su totalidad se impone como obligatoria para poder hacer uso de la misma o para realizar su instalación en los dispositivos, en el caso de nuevos usuarios”. “El consentimiento que se presta con la aceptación de la Política de Privacidad y Términos de Servicio no puede considerarse libre, y ello impide que el consentimiento prestado pueda considerarse válido”, concluye.

Casos ligeramente distintos

Fuentes de la AEPD han explicado a Público que en el momento de la presentación de la denuncia por parte de Samuel Parra ya “se estaban investigando de oficio otras cuestiones que posteriormente motivaron la apertura del procedimiento” que ha terminado en multas por un total de 600.000 euros a Facebook y WhatsApp.

En el citado expediente, iniciado tras la denuncia de Parra, “sólo se analizó la adecuación del procedimiento utilizado por WhatsApp para obtener el consentimiento de los usuarios a lo preceptuado en el artículo 15 del RLOPD, ya que únicamente se denunciaba este extremo”, explican desde Protección de Datos.

Sin embargo, el caso al que se refiere el expediente por el que se sanciona a las compañías es mucho más amplio. “Aquí no se analiza que la casilla esté premarcada, sino la información que se ofrece y la obligación que se impone a los usuarios de aceptar la política de privacidad, lo que no afecta a la formalidad contenida en el artículo 15 del Reglamento sino a la validez del consentimiento prestado”, puntualiza la agencia. “Por ello se sanciona a WhatsApp por cesión de datos sin consentimiento, y a Facebook por el tratamiento de esos datos”, concluye.

"Incomprensible"

Aunque el procedimiento sancionador fue abierto de oficio en octubre de 2016 por la directora de a Agencia Española de Protección de Datos, se incluyen los escritos de la OCU, FACUA-Consumidores en Acción, el abogado Luis Gervas de la Pisa y otro particular, pero no la denuncia de Samuel Parra, con fecha 31 de agosto de 2016.

En conversación telefónica con Público, Gervas, especializado en privacidad, explica que la denuncia interpuesta por Samuel Parra, desde su punto de vista, “tenía que haber iniciado el procedimiento sancionador”. “Me parece un poco mal que a Samuel Parra no se le haya metido en el procedimiento, porque realmente yo creo que es un poco artífice del mismo”, comenta Gervas, a quien le parece “incomprensible” que se archivara la denuncia de su colega.

Tras alabar el trabajo de la AEPD, el mismo experto comenta que “al final de la resolución no prevé la notificación a los denunciantes, cuando el procedimiento administrativo sancionador así lo prevé”. “¿Por qué no se ha notificado a FACUA, OCU, una persona particular y yo?”, se pregunta, y añade: “Han puesto una nota de prensa y ya, pero si yo no estuviera de acuerdo con la resolución, por ejemplo para reclamar más investigación, ni siquiera podría recurrirla porque no me la notifican”.

WhatsApp apelará

Por otro lado, desde WhatsApp, la postura oficial es de claro desacuerdo con la sanción y ya han anunciado que apelarán la decisión. En cualquier caso, la compañía ya decidió el pasado año “pausar” el intercambio de información entre WhatsApp y Facebook en Europa, cuyo objetivo era mejorar los anuncios y las experiencias de los productos en Facebook.

“Recopilamos muy pocos datos y cada mensaje está encriptado de extremo a extremo”, afirman fuentes oficiales de la compañía en un comunicado, y añaden: “Como hemos aclarado en repetidas ocasiones durante el último año, en ningún lugar de Europa ni compartimos ni hemos compartidos datos en los términos en los que la Autoridad Española de Protección de Datos ha expresado preocupación”.