La casilla premarcada de Whatsapp para ceder datos a Facebook es legal

Whatsapp modificó sus términos de servicio en agosto de 2016 para solicitar el consentimiento de sus usuarios para ceder sus datos personales a Facebook. Este consentimiento se otorgaba mediante una casilla marcada por defecto y en una pestaña de visualización opcional. La Agencia Española de Protección de Datos considera que esta práctica no vulnera la normativa de protección de datos.

Como consecuencia en el año 2014 de la compra de Whatsapp por parte de Facebook, Whatsapp modificó sus términos y condiciones en agosto de 2016 para reflejar, en palabras de Whatsapp, “la unión con Facebook“.

Esta modificación de las condiciones era necesaria desde el punto de vista de la normativa de protección de datos si Facebook Inc. -que es una empresa distinta de Whatsapp Inc.- quería acceder a la información personal de los usuarios de Whatsapp. Es lógico: el usuario que en su momento se descargó Whatsapp y otorgó su consentimiento a Whatsapp Inc. para el tratamiento de sus datos puede no desear que también Facebook Inc. tenga esa información.

De todas las fórmulas que Whatsapp pudo elegir para obtener el consentimiento de sus usuarios, optó por el clásico de colocar una casilla junto a un texto legal donde el usuario consintiera a este nuevo tratamiento de sus datos personales marcando o no esa casilla.

En concreto, lo que pudimos ver en agosto de 2016 en nuestros teléfonos era esto:

1º: Aviso de actualización de los términos de servicio.

Aquí podemos ver que Whatsapp nos informa que ha actualizado sus términos y un enlace en la palabra “Lee” que nos llevaba al texto completo de esas nuevas políticas. A continuación un botón grande verde para “Aceptar” y poder continuar utilizando la aplicación sin más  historias.

2º: Pero si nos fijamos, debajo, en una fuente más pequeña y en gris podíamos desplegar una pestaña pulsando sobre la flecha, y nos mostraría este aviso:

Aquí es donde aparece el texto legal concreto de la cesión de datos a Facebook junto a una casilla que se encontraba marcada por defecto.
¿Esta forma de obtener el consentimiento es legal?

El artículo 15 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD) indica, respecto a la solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma, que se entenderá que el consentimiento es válido “cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.”

Este párrafo del artículo 15 parece indicar que si decidimos utilizar la fórmula de marcación de casillas para obtener el consentimiento, lo de dejarlas marcadas por defecto y que sea el usuario quién las tenga que desmarcar para no consentir no sería válido.

Como consideraba que esto que estaba haciendo Whatsapp no era correcto, decidí denunciarlo ante la Agencia Española de Protección de Datos.

La Agencia ha resuelto indicando que el procedimiento utilizado por Whatsapp no vulnera la normativa de protección de datos.

Pero antes de llegar a esta conclusión la Agencia realiza una interpretación también muy interesante y que considero necesaria mencionarla.

Cuando decidí presentar la denunciar, algunos compañeros me preguntaron “pero oye, ¿a Whatsapp Inc. se le aplica la normativa española de protección de datos?” La pregunta es muy interesante, porque ciertamente Whatsapp Inc. es una empresa con sede en los Estados Unidos y no tiene un establecimiento permanente en España. ¿Cómo pretendemos aplicar la normativa española a una empresa con domicilio en EEUU?

La siguiente interpretación es la que indiqué en la denuncia y fue confirmada por la Agencia:

1º: El ámbito territorial de aplicación de nuestra Ley Orgánica de Protección de Datos viene en el artículo 2.1 y establece tres posibilidades para que se aplique nuestra normativa:

a) Que el tratamiento de los datos se realice por parte de un responsable establecido en territorio español.
b) Si el responsable no está establecido en territorio español le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional Público.
c) Si el responsable no está en territorio de la Unión Europea pero utilice en el tratamiento de datos medios situados en territorio español.

En este caso, ni el a) ni el b) nos encaja, porque Whatsapp Inc. está en EEUU y no tiene establecimiento en España.

Nos queda la c), y lo que se dijo es que Whatsapp utiliza medios situados en territorio español para realizar esos tratamientos ¿qué medios utiliza? Pues nuestros terminales móviles, de ahí obtiene y trata nuestros datos personales, y se da la circunstancia de que nuestros terminales móviles se encuentran en territorio español.
Esta interpretación es aplicable a cualquier otra aplicación de nuestro teléfono móvil o incluso a cualquier cacharro que tengamos conectado a Internet (una bombilla por ejemplo) y facilite algún dato personal a alguna empresa fuera de la UE.

No obstante, la Agencia entiende que esa casilla premarcada no vulnera el artículo 15 del RDLOPD antes reproducido al considerar que ese artículo en concreto no es de aplicación porque está pensado para “el proceso de formación de un contrato” y en este caso “el contrato” ya estaba formalizado porque los usuarios que recibían ese mensaje ya tenían la aplicación instalada previamente (por tanto ya habían formalizado el contrato con anterioridad), de suerte que el artículo correcto a aplicar sería el 14 del RDLOPD que regula las formas de recabar el consentimiento y en ese artículo no se prohíbe que las casillas se puedan encontrar marcadas por defecto.

Si el usuario instalaba la aplicación de nuevas no recibe este mensaje sino que la aceptación de la cesión de datos a Facebook viene incluida en sus términos y se ofrece a los usuarios la posibilidad de configurar la opción de no compartir información con Facebook mediante una casilla no premarcada.

En mi opinión, creo que no podemos considerar que el usuario estuviera consintiendo en los términos que exige la normativa de protección de datos con esa casilla premarcada, al margen de la interpretación literal del artículo 15 (que igualmente en mi opinión, dicha interpretación literal es contraria al espíritu de la ley).
El consentimiento es definido por la propia LOPD como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

La casilla premarcada se encontraba en una “zona de paso opcional” por el usuario; si miramos las capturas de pantalla, el usuario perfectamente podía ni llegar a ver la casilla premarcada porque para verla era necesario desplegar expresamente una parte del aviso oculto por defecto. En estas condiciones no podemos afirmar que el usuario consienta de forma inequívoca porque la casilla a desmarcar está oculta de primeras y requiere que el usuario la encuentre y la desmarque.
Pero es que además tampoco podemos entender que el consentimiento sea informado. Informado quiere decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce; la finalidad que decía el texto que acompañaba la casilla era “Compartir la información de mi cuenta de WhatsApp con Facebook para mejorar mi experiencia con los productos y publicidad en Facebook. Tus chats y número telefónico no serán compartidos en Facebook”
Uno puede preguntarse ¿qué información exactamente se va a compartir? ¿Qué significa que mejorará mi experiencia con los productos y publicidad de Facebook? El texto de la casilla es completamente ambiguo y genérico, no se sabe ni qué información van a compartir ni para qué.

Por último, como bien comentaba Eduard Blasi en Twitter:


Pero claro, el GDPR todavía no es de aplicación y ni mucho menos lo era en el momento en el que sucedieron los hechos.

La resolución de la Agencia aquí.

[box type=”info” radius=”1″]Actualización 24 de octubre de 2017: La Unión Europea (el Grupo del Artículo 29 sobre protección de datos) ha emitido un documento donde constata que la fórmula descrita en este post utilizada por Whatsapp para obtener el consentimiento es considerada contraria a la normativa europea sobre protección de datos. VER EL DOCUMENTO AQUÍ[/box]

[kkstarratings]

5 comentarios en “La casilla premarcada de Whatsapp para ceder datos a Facebook es legal”

  1. Pregunta: ¿si pulsaba en “Lee” aparecía también la casilla? Porque si lo he entendido bien, no es el caso, con lo que sería confuso y engañoso: puedes creer que lo has leído todo, pero quedaba la otra parte.

    Responder
  2. A mi no obstante me sigue pareciendo al “curioso” el argumento de la Agenda, en cualquier caso, de cara GDPR, ese consentimiento, a mi entender, dejaría estar legitimado ya que el responsable, para poder acreditar el consentimiento, tendrá que cumplir los requisitos exigidos por el nuevo reglamento que impiden justamente los consentimientos por defecto o las casillas premarcadas. Da igual cuando o como haya sido obtenido, por tanto, WhatsApp debería haber empezado ya a legitimar esos consentimientos si quiere cumplir con el GDPR.

    Responder
  3. Ole tú Samuel! Admirado que te tuvieras el valor de denunciarlo ante la AEPD, yo tengo la sensación de que las grandes compañías siempre nos la juegan en los términos legales que pactamos con ellos, porque nunca los leemos. Si hubiera más denuncias los usuarios estaríamos más protegidos. Pero claro, el problema de la ley es que se presta a interpretaciones y aquí la AEPD estimó que el contrato ya estaba formalizado. Yo estoy de acuerdo contigo en que debería obtener el consentimiento explícito de los usuarios de manera inequívoca 🙁

    Responder
  4. Hola, hay manera de evitar que WhatsApp comparta mis datos con Facebook?. Lo único que he encontrado es para poder hacerlo durante 30 días después de haber aceptado los términos y condiciones. Una vez pasados esos 30 días ya no es posible retirar el consentimiento? Eso es legal??
    Tendría quizá que ponerme en contacto con el delegado de protección de datos de WhatsApp o Facebook?
    El RGPD dice que tiene que ser tan fácil dar tu consentimiento cómo retirarlo. No está incumpliendo WhatsApp esa obligación??
    Muchas gracias!!!
    Un saludo

    Responder

Deja un comentario