En los últimos días se anunciaron varias sanciones a empresas tecnológicas por parte de entidades europeas en materia de protección de datos personales, ante diferentes incumplimientos principalmente relacionados con el uso de datos de usuarios para la publicidad personalizada.
Por un lado, en Francia, la Comisión Nacional de Informática y Libertades decidió imponer a la empresa Apple una multa administrativa de ocho millones de euros y hacer pública la sanción a través de la web, luego de verificar que se incumplió el art. 82 de la Ley Orgánica de Protección de Datos (LOPD), relativo al tratamiento de datos de carácter personal y de protección de la intimidad en el sector de las comunicaciones electrónicas que exige que el consumidor tenga la opción de expresar su consentimiento informado cuando se pretenda acceder, a información ya almacenada en su equipo terminal de comunicaciones electrónicas o ingresar información en dicho equipo.
Explicaron que, cuando un usuario se crea una cuenta de Apple, se asigna un identificador de servicios de directorio “DSID” y, mientras aquél navega por la App Store, el rastro de su actividad y la información que ingresa en su cuenta ID de Apple se recopilan y asocian con ese DSID en los servidores de “Apple Media Platforms” de Apple; si el consumidor tiene habilitada la configuración para recibir publicidad dirigida, esa información se utiliza para personalizar los anuncios que se le muestran, tomando también otros identificadores específicos generados localmente en el terminal.
Luego de una investigación se comprobó que la empresa realizaba operaciones de lectura y escritura en los terminales de los usuarios con el fin de autenticar el DSID de una cuenta de usuario registrada como activa con la finalidad de personalizar anuncios de aplicaciones móviles y otras operaciones de lectura, lo que según la empresa constituían operaciones amparadas por las excepciones a la recogida del consentimiento prevista en el art. 82 LOPD o que componían operaciones para proteger la privacidad de los usuarios.
La comisión francesa aplicó la sanción tras entender que al final del proceso de inicialización del teléfono equipado con la versión iOS 14.6 del sistema operativo, no se ha producido ningún mecanismo destinado a obtener el consentimiento previo del usuario para las operaciones consistentes en la lectura de dicha información e identificadores en su terminal, estando la opción de anuncios personalizados activada.
Por otro lado, la Comisión de Protección de Datos de Irlanda anunció la conclusión de dos investigaciones sobre Meta Ireland, la compañía detrás de Facebook e Instagram donde se verificó las operaciones de tratamiento de datos en esos servicios de la firma.
En definitiva, impuso una multa de 210 millones de euros por infracciones del Reglamento General sobre Protección de Datos (RGPD) en relación con su servicio de Facebook y 180 millones de euros por infracciones en relación con su servicio de Instagram, ordenando que se corrijan las operaciones en un plazo de 3 meses.
Las investigaciones sobre estas redes sociales, comenzó en 2018, luego de que las empresas tecnológicas solicitaron a los usuarios que “acepten” las condiciones de servicio actualizadas con la introducción del RGPD para poder hacer uso del servicio, de manera que al hacer clic el usuario celebraba un contrato con la firma y con ello se pretendía amparar el tratamiento de datos personales con base en un contrato para que las operaciones de tratamiento fueran lícitas según el art. 6 ap 1b del RGPD.
Sin embargo, los denunciantes alegaron que, al condicionar la accesibilidad del servicio a la aceptación del usuario de las condiciones de servicio actualizadas, en realidad se estaba obligando de hecho a consentir el tratamiento de sus datos personales para publicidad basada en el comportamiento y otros servicios personalizados, lo que a su entender seguía manteniendo como base jurídica del tratamiento al consentimiento e infringía el RGPD.
La comisión concluyó en que las compañías incumplieron sus obligaciones en materia de transparencia, tras no exponer claramente a los usuarios cuál era la base jurídica utilizada, por lo que la falta de información hacía que las personas desconozcan que tratamiento se llevaba adelante con sus datos (qué base del art. 6 se utilizaba), por lo que se incumplía los arts. 5, 12 y 13 del RGPD.
Por otro lado, existieron discrepancias en torno a la posibilidad de usar la base jurídica contractual, que tras un proceso de supervisión de autoridades interesadas donde no hubo consenso, remitidas las actuaciones al Consejo Europeo de Protección de Datos, se consideró que en principio Meta no podía invocar la base contractual, lo que equivale a una infracción al art. 6 del RGPD
Además se confirmó la posición del CPD sobre el incumplimiento de las obligaciones de transparencia, agregando también un incumplimiento del principio de equidad, y ordenando a que se aumentaran las multas impuestas.
* sonocko@diariojudicial.com