Análisis de la resolución que condena a Facebook por incumplir la LOPD

12 Septiembre 2017

FacebookwhatsappLinkedInEmail

Recientemente hemos conocido que la Agencia Española de Protección de Datos ha sancionado a Facebook con una multa de 1,2 millones de euros por dos infracciones graves y una muy grave de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).

Tras un procedimiento sancionador iniciado de oficio por la Agencia Española de Protección de Datos (organismo regulador y con potestad sancionadora en la materia para nuestro país), se consideró probado que Facebook está vulnerando la normativa, concretamente con tres conductas:

  • Tratamiento de datos de carácter personal sin haber obtenido previamente el consentimiento del interesado en la forma dispuesta en la LOPD. La política de privacidad es indeterminada, genérica y poco clara.
  • Tratamiento de datos especialmente protegidos (salud, vida sexual, ideología política…) sin el consentimiento expreso y por escrito que exige la ley. Esta conducta constituye una infracción muy grave.
  • Incumplimiento de lo dispuesto en la LOPD sobre cancelación de datos de los usuarios cuando hayan dejado de ser útiles para el propósito que fueron recabados y cuando el usuario solicitara su eliminación de forma explícita.

La normativa vigente en la materia permite al órgano sancionador moderar la sanción en función de las circunstancias atenuantes y agravantes del supuesto concreto.

En este caso en particular, la Agencia Española de Protección de Datos considera que concurren varias circunstancias agravantes, como son el carácter continuado de la infracción, el volumen de datos que maneja Facebook, así como su volumen de negocio y beneficios obtenidos con los datos de los usuarios.

Además, señala en la Resolución que “Si bien no es posible sostener que Facebook haya actuado intencionadamente o con dolo, no cabe ninguna duda de que ha incurrido en una grave falta de diligencia.”

Facebook ya ha manifestado su voluntad de recurrir esta resolución.

Entre otras cosas, argumenta que la Agencia española de Protección de Datos no es competente para la interposición de estas sanciones puesto que son una compañía estadounidense, sin actividades en España, aspecto con el cual discrepa la Agencia, que considera que Facebook INC es responsable del tratamiento de los datos personales de los usuarios de Facebook en la Unión Europea, dado que ha quedado constatado que participa en los fines y los medios del tratamiento.

Teniendo en cuenta que se trata de una sanción de carácter administrativo, la misma se puede recurrir potestativamente en reposición ante la Agencia Española de Protección de Datos en el plazo de un mes, o ante la Sala Contencioso Administrativa de la Audiencia Nacional en un plazo de dos meses. 

Marian Rojo

Abogada de Legálitas

FacebookwhatsappLinkedInEmail

¿Te ayudamos a elegir?

Descubre en 1 minuto el plan que mejor se adapta a ti.

Empezar ahora

Artículos recientes