procedimiento nº ps/00219/2017 resoluciÓn: r/00259/2018 · denuncia contra la entidad facebook en...

1/79

Procedimiento Nº PS/00219/2017

RESOLUCIÓN: R/00259/2018

En el procedimiento sancionador PS/00219/2017, instruido por la Agencia Española deProtección de Datos a las entidades FACEBOOK INC. y WHATSAPP INC., vistas las denunciaspresentadas por las entidades Organización de Consumidores y Usuarios (OCU) y Asociaciónde Consumidores y Usuarios en Acción (FACUA), y por D. A.A.A. y DÑA. B.B.B., y en base alos siguientes

ANTECEDENTES

PRIMERO: Con fecha 04/10/2016, la Directora de la Agencia Española de Protección de datosordenó que se iniciasen de oficio Actuaciones Previas de investigación para determinar si lascomunicaciones de datos personales realizadas entre Whatsapp y Facebook, y los tratamientosque dicha comunicación da a lugar, cumple con lo establecido en la Ley Orgánica 15/1999, de13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD).

Al expediente se adjuntó escrito presentado por la Organización de Consumidores yUsuarios (OCU), con registro de entrada en esta Agencia de 03/10/2016, en el que formuladenuncia contra la entidad Facebook en relación con el anuncio realizado por la misma el 28 deagosto anterior, “por el que se actualizaban los términos de servicio y la política de privacidadcon el fin de reflejar la integración de nuevas funciones y anunciar que a partir de ese momentolos datos de los usuarios serían compartidos con Facebook para mejorar su experiencia deuso”.

Con posterioridad, la Asociación de Consumidores y Usuarios en Acción (FACUA) yDña. B.B.B. presentaron denuncias en relación con los mismos aspectos, registradas deentrada en la Agencia en fechas 11 y 14/10/2016, respectivamente.

SEGUNDO: La Subdirección General de Inspección de Datos procedió a la realización de talesactuaciones previas, para el esclarecimiento de los hechos, teniendo conocimiento de lossiguientes extremos, que constan recogidos en el informe de inspección E/05325/2016 que setranscribe a continuación:

1. Mediante diligencia de fecha 04/10/2016 se incorpora a las actuaciones el documentoTérminos de Servicio de la aplicación Whatsapp, actualizados a fecha 25/08/2016.

No aparece una referencia a que sea un servicio de captación de información para propósitosde publicidad.

2. En el marco de las actuaciones realizadas en el expediente E/04949/2016, según consta endiligencia de fecha 14/09/2016, se constata que al acceder a la página www.whatsapp.com, se

C/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

2/79

muestra una página en castellano directamente, sin pasar por una página en inglés ni mostrarun cambio o extensión de dominio, con un icono en la parte superior derecha que indica unglobo del mundo y a continuación las palabras “ES”.

Si se pulsa dicho icono, te permite seleccionar entre los siguientes idiomas (entre otros 53): Español Catalán.

3. En el marco de las actuaciones realizadas en el expediente E/04948/2016, según consta endiligencia de fecha 19/09/2016, se ha constatado que al acceder a la aplicación WhatsApp enun teléfono móvil aparece el siguiente mensaje:

En WhatsApp estamos actualizando nuestros Términos de Servicio y nuestra Política dePrivacidad para reflejar la integración de nuevas funciones, como Llamada WhatsApp. Lee losTérminos y la Política de Privacidad para aprender más acerca de tus opciones. Por favoracepta los Términos y la Política de Privacidad antes del 19 de octubre de 2016 para continuarusando WhatsApp.

Se subraya la palabra “Lee” para señalar que asociado a la misma hay un enlace a la páginaweb sobre los Términos y la Política de Privacidad.

En la parte superior, y sin destacar, aparece un link:X AHORA NO

En la parte inferior, hay un botón destacado que tiene marcado:ACEPTAR

Debajo del botón, un enlace que se titula:Lee más sobre las actualizaciones a nuestros Términos y Política de Privacidad.

Si se pulsa aparece una ventana con:

En la parte superior un enlace de retorno a la página anterior etiquetado como:<- Término y Política d…

Debajo un texto explicativo:Actualizaciones ClaveTérminos de ServicioPolítica de PrivacidadEl respeto a tu privacidad se encuentra codificado en nuestro ADN. Desde queiniciamos WhatsApp, hemos construido nuestros servicios con fuertes principios deprivacidad en mente. En nuestros Términos…

En la base de la pantalla aparece el siguiente mensaje con un checkbox premarcado:Compartir la información de mi cuenta de WhatsApp con Facebook para mejorar miexperiencia con los productos y publicidad en Facebook. Tus chats y número telefónicono serán compartidos en Facebook independientemente de este ajuste.

Y en la base un botón destacado con la leyenda:ACEPTAR.


3/79

Si se desactiva dicho checkbox aparece el siguiente mensaje:Después de pulsar “Aceptar”, la información de tu cuenta no será usada para mejorar tuexperiencia con los productos y publicidad en Facebook.

Si se activa de nuevo el checkbox aparece el siguiente mensaje:Después de pulsar “Aceptar”, la información de tu cuenta será usada para mejorar tuexperiencia con los productos y publicidad en Facebook.

En el apartado Actualizaciones Clave, en su último punto, se puede leer:Tus opciones. Si eres un usuario actual, tendrás la opción de elegir que la informaciónde tu cuenta WhatsApp no sea compartida con Facebook para mejorar tu experienciacon la publicidad y los productos en Facebook. Los usuarios que acepten nuestrosTérminos y Política de Privacidad actualizados, tendrán 30 días adicionales para tomaresta decisión yendo a Ajustes > Cuenta.

El contenido de los documentos Términos de Servicio y Política de Privacidad constareseñado en el Hecho Probado Sexto.

4. En el marco de las actuaciones realizadas en el expediente E/04948/2016, según consta endiligencia de 20/09/2016, se ha constatado que en la aplicación de WhatsApp en el apartado deconfiguración Ajustes->Cuenta:

En un iPhone 4s iOS 9.2.1 aparece la opción “Compartir la info de mi cuenta” con un botónde activación deslizante en posición de activado y una explicación que es la que sigue:

Compartir la información de mi cuenta de WhatsApp con Facebook para mejorar miexperiencia con los productos y publicidad en Facebook. Tus chats y número telefónicono serán compartidos en Facebook independientemente de este ajuste. MásInformación.

Si se desactiva el botón deslizante, dicha opción desaparece del apartado de configuraciónAjustes->Cuenta.

En dos teléfonos con versión Android 6.0 y 4.1.2 dicha opción no aparece. En dichosteléfonos, se había desactivado el checkbox para compartir información con Facebook.

A dicha fecha, no se ha encontrado información de cómo habilitar el compartir los datos conFacebook una vez deshabilitado.

5. Con fecha de 03/01/2017 se constató que, al acceder a la aplicación Whatsapp en unteléfono móvil no ofrecía publicidad en sus servicios.

6. Con fecha 10/01/2017 se ha realizado el borrado y la posterior reinstalación de la aplicaciónWhatsapp en un Smartphone con Android.

Antes de la instalación, en el enlace INFORMACIÓN, se describen las características de lamisma, sin referencia a una comunicación de datos a Facebook.

Existe un enlace a la Política de Privacidad que dirige a una página web titulada Información


4/79

legal de Whatsapp” y que tiene cinco apartados:a. Actualizaciones Claveb. Términos de Servicioc. Política de Privacidadd. Política de Propiedad Intelectuale. Cookies

Si se elige instalar la aplicación, antes de abrirla por primera vez se muestran los enlaces a losTérminos de Servicio y a la Política de Privacidad, además de un botón que es necesariopulsar para avanzar etiquetado como “Aceptar y Continuar.

En el apartado Ajustes->Cuenta no aparece una opción para gestionar la comunicación dedatos con Facebook.

Con anterioridad, con el mismo Smartphone y el mismo número de teléfono, se habíarechazado la opción de comunicar datos a Facebook.

7. Con fecha 02/02/2017, se recibió la respuesta elaborada por Facebook Ireland Limited alrequerimiento de información que los Servicios de Inspección de la Agencia dirigieron aFacebook Inc. al domicilio social de Facebook Spain, S.L. De lo manifestado por FacebookIreland Limited en dicha respuesta, que fue consultada y elaborada con Whatsapp Inc., segúnse indica en la misma, se destaca lo siguiente:

a. Como medida provisional y a efectos de facilitar un diálogo abierto con el Comisionado deProtección de Datos de Irlanda, así como sus esfuerzos de coordinación de las preocupacionesde los distintos ADPs de la Unión Europea, Whatsapp se ha abstenido voluntariamente decompartir información de los usuarios de la Unión Europea con Facebook con la finalidad deutilizar dicha información para mejorar la experiencia de producto y publicitaria de Facebbokdirigida a sus usuarios europeos (incluso en el caso de aquellos usuarios existentes que hanoptado por autorizar dicho uso).

b. A los usuarios existentes se les permitió autorizar o no a Facebook el uso de la informaciónde su cuenta de WhatsApp con el fin de mejorar su experiencia de producto y publicitaria enFacebook.

En el caso de los usuarios nuevos, WhatsApp informa claramente, antes de que puedanacceder al uso de sus servicios, de la forma en la que se utilizará su información. WhatsApp lesfacilita asimismo la posibilidad de revisar los Términos de Servicio y la Política de Privacidadactualizada, y les ofrece la opción de prestar su consentimiento al respecto haciendo click enun botón identificado con la leyenda “aceptar y continuar”

c. La entidad Whatsapp comparte (sic) con Facebook la siguiente información de sus usuariosde la aplicación Whatsapp, sean o no usuarios de Facebook:

i. Las cuentas de los usuarios de WhatsApp (WhatsApp Account ID);ii. Cierta información sobre el dispositivo (incluyendo un identificador común incluido en las

aplicaciones de Facebook y WhatsApp, el prefijo y código de la red móvil del país,información de la plataforma, versión de la aplicación, e identificadores que permiten unseguimiento de la aceptación de la Actualización y las opciones de control);

iii. El “estado de última conexión” del usuario (esto es, información sobre la última vez en


5/79

que el usuario utilizó el servicio);iv. La fecha en que el usuario se dio de alta en su cuenta de WhatsApp

La Política de Privacidad de WhatsApp no limita la información exacta que WhatsApp puedecompartir con Facebook, WhatsApp no comparte a esta fecha los contactos de WhatsApp desus usuarios con Facebook, sin que tampoco exista a esta fecha previsión alguna a efectos decompartir dicha información.

d. Los datos son recopiladas de los propios usuarios de WhatsApp con ocasión del uso por suparte de nuestros servicios, incluyendo a través de su uso de nuestra (sic) aplicación demensajería WhatsApp Messenger.

e. La información se transmite de forma segura a través de canales tecnológicos cifrados através de Internet a los servidores de Facebook, con periodicidad tanto diaria como en tiemporeal.

f. Whatsapp comparte con Facebook datos referidos a todos los usuarios de la aplicación demensajería, incluyendo aquellos que no son usuarios de Facebook. Esto, según FacebookIreland Limited, es necesario, por ejemplo, para identificar y calcular el número de usuariosúnicos de la familia de servicios que ofrece Facebook. Dicha información permite entender si elusuario de WhatsApp es realmente único de dicha aplicación o si el mismo usuario disponetambién de una cuenta en Facebook. Ello, en consecuencia, permite a FACEBOOK INC.informar a los medios externos, incluyendo a sus inversores, del número de usuarios con losque cuenta Facebook y la frecuencia con la que los mismos utilizan la familia de servicios queofrece Facebook. Sin dicha información, el mismo usuario podría ser contabilizado dos veces einflar así las estadísticas que ofrece Facebook.

g. En lo que se refiere a las entidades de Facebook que pudieran recibir de Whatsapp los datosde la cuenta de usuario, el apartado de la Política de Privacidad denominado “Empresasafiliadas” incluye un enlace a una relación de las entidades que forman parte de la familia deempresas de Facebook y con las que Whatsapp podría compartir información. En el Informe deActuaciones Previas de Investigación, los Servicios de Inspección de la AEPD relacionan lassiguientes empresas:

a. Facebook Inc.b. Facebook Irelandc. Facebook Payments Inc.d. Atlase. Instagram LLCf. Onavog. Movesh. Oculusi. WhatsApp Inc. j. Masquerade k. CrowdTangle

h. WhatsApp no ha compartido a esta fecha ningún dato de ningún usuario del servicioWhatsApp perteneciente a la Unión Europea a tales efectos con Facebook Ireland.


6/79

i. Facebook puede compartir información con su familia de empresas, incluyendo WhatsApp,para los fines previstos en la Política de Privacidad. A esta fecha, Facebook no ha compartidodatos personales de sus usuarios europeos con WhatsApp.

j. WhatsApp continúa compartiendo información con Facebook (especialmente con Facebook,Inc. en su calidad de encargado de tratamiento) a efectos de recibir servicios. Esto incluyecompartir información con fines de análisis de inteligencia empresarial, tales como labores dedesduplicación, que permiten un recuento preciso de los usuarios de WhatsApp (incluyendousuarios activos) y un seguimiento de patrones de uso de WhatsApp, incluyendo en relacióncon patrones de uso de otras aplicaciones que forman parte de la familia de Facebook.

WhatsApp comparte información con Facebook tras la actualización con el fin de brindarsoporte general a la compañía y a sus operaciones. Esto incluye estar facultado para compartirdatos, de responsable a responsable, para diseñar y aplicar medidas de seguridad y de luchacontra los mensajes no solicitados o spam. Esto permite a WhatsApp compartir y recibirinformación sobre cuentas desde las que viniera produciéndose cualquier supuesto de abuso,amenaza o infracción de la legislación o normativa aplicable y activa en otras aplicaciones de lafamilia Facebook.

Conforme pudiera continuar desarrollándose el servicio de WhatsApp, sin duda lasoportunidades para que Facebook utilice esta información a efectos de prestar a WhatsApp unagama más amplia de servicios irá igualmente evolucionando.

k. En virtud de la Actualización WhatsApp obtuvo el consentimiento libro, específico einformado para compartir la información de las cuentas de sus usuarios con Facebook con lafinalidad adicional de permitir a Facebook mejorar la experiencia de publicidad y productos queofrece a sus usuarios.

. En primer lugar, Facebook puede utilizar los datos de WhatsApp (fundamentalmente, laidentificación de la cuenta del usuario en WhatsApp) para mejorar el producto principal deFacebook, como por ejemplo a efectos de mejorar la exactitud de las sugerencias queofrece la característica de ‘Gente que podrías conocer”.. En segundo lugar, Facebook puede utilizar los datos de WhatsApp (en particular, lascuentas de los usuarios de WhatsApp (WhatsApp Account ID)) para los productospublicitarios de Facebook, como por ejemplo, a efectos de relacionar con mayor precisiónsus propios usuarios con anuncios que los anunciantes dirigen a sus clientes. Losanunciantes utilizan para estos fines el listado de clientes con el que ya cuentan.

Estos productos de Facebook y el uso de tales anuncios tienen únicamente carácter conceptualy tentativo, pudiendo surgir otros en el futuro, si bien cualquier uso de dicha información querealizara Facebook a efectos de mejorar sus productos y anuncios estará cubierto por el controlque los usuarios existentes pudieron ejercer a efectos de optar por excluirse de tales usos. Noobstante, WhatsApp no ha compartido a esta fecha ningún dato de ningún usuario del servicioWhatsApp perteneciente a la Unión Europea a tales efectos con Facebook lreland. Así, lacesión de datos a efectos de estas dos finalidades se encuentra actualmente paralizada en laUnión Europea.

l. La información obtenida de Whatsapp no se agregará al perfil del usuario en Facebook, perono obstante, a efectos de las finalidades descritas anteriormente, es necesario correlacionar deforma fiable las cuentas de Facebook y WhatsApp.


7/79

A modo de ejemplo ilustrativo de dicha necesidad, Facebook Ireland Limited señala que lacorrelación es necesaria para realizar un análisis de inteligencia empresarial respecto de losservicios que ofrecen Facebook y WhatsApp (así como otras aplicaciones pertenecientes a lafamilia de Facebook). Dicha correlación permite la desduplicación de usuarios a fin de conocerel número de usuarios únicos de la familia de aplicaciones. La correlación también es necesariapara conocer la frecuencia y características de uso en tales aplicaciones. En todos estos casos,el análisis de inteligencia empresarial resultante genera información agregada y anónima.

Dicho análisis constituye una métrica interna clave del negocio. Facebook, Inc. publica elnúmero total de usuarios únicos sobre la base del uso (diario y mensual) de su servicio (estoes, usuarios diarios activos (“UDA”) y usuarios mensuales activos (“UMA”). Facebook buscaahora entender y poder publicar el número total de usuarios únicos de toda la familia deservicios Facebook, así como la frecuencia de uso de dichas aplicaciones por parte de sususuarios.

Igualmente a modo de ejemplo, una sólida correlación resulta imprescindible para afianzar losesfuerzos de las empresas pertenecientes a la familia de Facebook en materia de abuso,seguridad y lucha contra el correo no deseado. Ello se debe a que dicha correlación es la claveque permite identificar y, en supuestos debidamente justificados, cancelar la cuenta de loscorrespondientes usuarios responsables de tales conductas en los distintos servicios queofrecen dichas empresas. Sin el intercambio de la información de las cuentas de usuario deWhatsApp referido anteriormente, no es posible asociar de forma fiable las distintas cuentas ni,en consecuencia, identificar la cuenta del servicio Facebook que se corresponde con la cuentainfractora abierta en el servicio de WhatsApp, y viceversa (e igualmente en relación con lasrestantes aplicaciones que conforman la familia de aplicaciones que ofrece Facebook).

m. En cuanto a la conservación de datos, se indica que si el usuario de WhatsApp actualiza oelimina la información de su cuenta de WhatsApp, su información se actualiza o eliminaigualmente en Facebook. No obstante, y en tanto en cuanto el usuario mantenga su condicióncomo usuario de WhatsApp, la información de su cuenta se compartirá con Facebook para lasfinalidades indicadas anteriormente.

n. Sobre los derechos individuales, los Servicios de Inspección destacan que en la respuestarecibida no hay una indicación concreta en relación a cómo ejercer los derechos respecto delos datos comunicados por Whatsapp a Facebook. Se hace una referencia a como eliminar lacuenta de Whatsapp y la cuenta de Facebook, se hace referencia al apartado identificado conla leyenda “Contáctanos” que figura tanto en la Política de Privacidad de WhatsApp como en supágina web y al contactar con Facebook tanto en línea como por correo postal para cualquierpregunta sobre la Política de Datos de Facebook o el tratamiento por Facebook de sus datospersonales, a través de los datos de contacto que figuran en el apartado de dicha Política deDatos bajo el epígrafe de “Cómo hacer llegar tus dudas a Facebook”.

ñ. En cuanto a las opciones que se ofrecen al usuario para no compartir sus datos, FacebookIreland Limited respondió lo siguiente:

La Política de Privacidad de WhatsApp proporcionó a sus usuarios existentes un grado decontrol tal sobre el uso de sus datos que les permitió optar por permitir o no a Facebook lautilización de la información de su cuenta de WhatsApp para mejorar los productos yexperiencia de publicidad en Facebook. Dicha posibilidad se ofreció inicialmente a los usuarios


8/79

existentes como parte del procedimiento de presentación de la Actualización. El controlcontinuó disponible a través de los ajustes de la propia aplicación, durante un plazo deaproximadamente de treinta días. Finalizado dicho plazo de treinta días, el mecanismo caducóy dejó de estar disponible. No obstante, y en cualquier momento, cualquier usuario puede dejarde utilizar WhatsApp y suprimir su cuenta mediante la función “Eliminar mi cuenta”. Cuando elusuario elimina la información de su cuenta de WhatsApp, dicha información se eliminaigualmente de Facebook y deja de compartirse.

Los usuarios existentes que, habiendo aceptado la Actualización, ejercieron el control de suinformación -antes de que, finalizado el plazo señalado, se retirara el botón que permitía dichaopción- por denegar a Facebook el uso de la información de su cuenta de WhatsApp con el finde mejorar sus productos y experiencias de publicidad en Facebook, pueden continuarhaciendo uso del servido de WhatsApp al igual que antes, con sujeción a los Términos y a laPolítica de Privacidad actualizados. En su caso, Facebook no utilizará la información de lascuentas de WhatsApp de dichos usuarios para mejorar los productos y la experiencia depublicidad que ofrece Facebook.

o. Manifiestan no entender el alcance de la solicitud realizada en el requerimiento que decíaliteralmente “Copia del contrato entre Whatsapp y Facebook en el que se identifican lasentidades cedente y cesionaria de los datos anteriores, en el que se establecen las cláusulasde comunicación de dichos datos y las finalidades de dicha comunicación. Eliminar de dichacopia todos los elementos que no tengan relación con los elementos citados.”

8. Con fecha 28/02/2017, se recibió la respuesta elaborada por Whatsapp Inc. al requerimientode información que los Servicios de Inspección de la Agencia dirigieron al domicilio de dichaentidad en California, Estados Unidos. En dicho escrito, la citada entidad manifiesta queconsultó con Facebook Ireland Limited y prepararon respuestas similares a las proporcionadaspor dicha entidad. Así, en su escrito reproduce literalmente, entre otras, las cuestionesrecogidas en el apartado 7 anterior, letras a), b), d), e), f), g), i), ñ) y o).

Asimismo, señala que, como medida provisional y a efectos de facilitar un diálogo abierto conel Comisionado y sus esfuerzos de coordinación de las preocupaciones de los distintos ADPsde la Unión Europea, Whatsapp se ha abstenido voluntariamente de compartir información delos usuarios de la Unión Europea con Facebook Ireland con la finalidad de utilizar dichainformación para mejorar los productos y la experiencia publicitaria de Facebbok dirigidas a sususuarios europeos (incluso en el caso en que los usuarios existentes han optado por autorizardicho uso).

Y confirma que Whatsapp “actualmente” comparte con Facebook la información reseñada en laletra c) del apartado anterior; y en relación con los fines para los que Facebook utiliza los datosde usuarios de WhatsApp, que se mencionan en la letra j) del mismo apartado, añade que secomparte información para el análisis de las oportunidades de monetización de Whatsapp conla ayuda de los sistemas de Facebook y que, dado que el servicio continúa evolucionando, lasoportunidades de esta última entidad para ofrecer servicios a Whatsapp evolucionarán también.Y menciona igualmente los fines reseñados en la letra k) –mejorar el producto principal deFacebook y los productos publicitarios de la misma.

Asimismo, WhatsApp informa lo siguiente:

a. A 15/02/2017 había 37 millones de usuarios de Whatsapp registrados en España.


9/79

b. “En España, más del 21% del total de usuarios existentes de WhatsApp que aceptaron losnuevos Términos y Política de Privacidad optaron por no autorizar el uso por Facebook de lainformación de sus cuentas”

c. “Los datos que se comparten con Facebook se refieren a todos los usuarios de WhatsApp,incluyendo aquellos que no son usuarios de Facebook”.

d. En relación con los usuarios existentes de WhatsApp que no consienten que sus datos seancedidos, WhatsApp informó que proporcionó notificaciones visibles, inteligibles y fácilmenteaccesibles sobre la Actualización, incluyendo aquélla respecto a la cesión de datos a Facçbook.Los usuarios existentes tuvieron la oportunidad de aceptar expresamente (a través del botón“Acepto”) la Actualización, y solo aquellos usuarios existentes que la aceptaron quedaronvinculados a la misma. Un usuario existente podía optar en cualquier momento por no pulsar elvisible botón de “Acepto” para denegar el consentimiento a la cesión de la información de sucuenta a Facebook para cualquiera de las finalidades descritas en la actualizada Política dePrivacidad. En ese caso, sin embargo, dicho usuario existente no hubiera podido seguirutilizando el servicio de WhatsApp y su información no hubiera sido compartida con Facebookcon el fin de que esta entidad la utilizase.

Además, WhatsApp permitió a dichos usuarios eligir si Facebook puede utilizar la informaciónde su cuenta de WhatsApp para mejorar los productos y la experiencia publicitaria deFacebook. Los usuarios existentes que aceptaron la Actualización pero no permitieron aFacebook utilizar la información de sus cuentas de WhatsApp para mejorar los productos y laexperiencia publicitaria de Facebook pudieron continuar utilizando el servicio de WhatsAppcomo antes, de acuerdo con los actualizados Términos y la Política de Privacidad. En estoscasos, Facebook no utilizará esta información de las cuentas de usuarios de WhatsApp paramejorar sus productos y su experiencia publicitaria. No obstante, dicha información de lascuentas de usuarios de WhatsApp podría seguir siendo compartida con Facebook con otrasfinalidades incluidas en la Política de Privacidad como, por ejemplo, para entender cómo sonutilizados los servicios de WhatsApp o los servicios de otras sociedades del grupo Facebook(en concreto, desduplicación/entender de forma precisa cómo utilizan los servicios cada uno delos usuarios), para la protección, la seguridad de los sistemas y la lucha contra el spam en losservicios (estas finalidades fueron también informadas con la antigua política de privacidad deWhatsApp). WhatsApp continuará teniendo un amplio margen para utilizar a Facebook comoproveedor de servicios que le ayude a proporcionar y a mejorar su servicio y a desarrollar sunegocio, incluyendo su apoyo para el análisis de las oportunidades de monetización deWhatsApp con la ayuda de los sistemas de Facebook.

Con respecto a los nuevos usuarios, WhatsApp añade que informó a los mismos sobre cómosu información será utilizada antes de que éstos puedan utilizar los servicios de WhatsApp.WhatsApp da la posibilidad a los nuevos usuarios de revisar los Términos y la Política dePrivacidad y da la opción -a dichos usuariosde aceptarlos haciendo “click” en “aceptar ycontinuar”. Si un nuevo usuario no quiere aceptar los Términos y la Política de Privacidad paraconsentir la cesión en los términos previstos en las mismas, el usuario puede optar por nodarse de alta en WhatsApp (lo que supone que su información no será compartida conFacebook para que ésta entidad la utilice).

Finalmente, advierte que la información facilitada en su respuesta es confidencial y estásujeta a la obligación legal de secreto que vincula a la AEPD.


10/79

Por otra parte, los Servicios de Inspección de la AEPD, en su Informe de ActuacionesPrevias de Investigación, destacaron la información siguiente:

1 Plazo de tiempo durante el que se haya venido cometiendo los hechos investigados:No se tiene constancia desde cuando hay comunicación de datos, pero Facebookcompra Whatsapp en octubre de 2014.

2 Naturaleza y cuantía de los perjuicios causadosSe estima que Facebook tiene 1.500 millones de usuarios, 21 millones en España.Whatsapp tiene 37 millones de usuarios en España.

3 Beneficios obtenidos por los hechosLos ingresos de Facebook se basan en la publicidad, y el propósito de la cesión estener una medida más precisa del público de Facebook y perfilado para publicidad.Whatsapp manifiesta que la comunicación de datos tiene como objeto la monetizaciónde sus servicios.

4 Volumen de facturación a que afecta los hechos cometidosLos beneficios de Facebook se han estimado en una cantidad de 3.690 millones dedólares en 2015 y de 1.500 millones de dólares en el primer trimestre de 2016.No hay constancia de beneficios en Whatsapp.

TERCERO: Con fecha 11/09/2017, la Directora de la Agencia Española de Protección deDatos, con arreglo a lo dispuesto en el artículo 127 del Reglamento de desarrollo de la LOPD,aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD), acordó lo siguiente:

1. Iniciar procedimiento sancionador a la entidad WHATSAPP INC., por la presunta infraccióndel artículo 11 de la LOPD, tipificada como grave en el artículo 44.3.k) de la citada Ley.

2. Iniciar procedimiento sancionador a la entidad FACEBOOK INC., por la presunta infraccióndel artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.b) de la citada Ley.

A los efectos previstos en el artículo 64.2.b) de la ley 39/2015, de 1 de octubre, delProcedimiento Administrativo Común de las Administraciones Públicas (LPACAP), y el artículo127, letra b), del RLOPD, en el citado acuerdo de apertura se determinó que las sanciones quepudieran corresponder por las infracciones descritas sería de 300.000 euros, por cada una deellas, sin perjuicio de lo que resulte de la instrucción.

CUARTO: Con fecha 20/09/2017, se incorporó al procedimiento el escrito presentado por D.A.A.A., de fecha 20/07/2017, en el que denuncia que Whatsapp cede datos personales aFacebook, aun con la negativa del usuario, los cuales son utilizados por esta última paramostrar sugerencias de amistad que obtiene de la carpeta de contactos de Whatsapp o degrupos a los que pertenece el usuario.

QUINTO: El Acuerdo de apertura de procedimiento reseñado en el Antecedente Tercero fuenotificado a la entidad WHATSAPP INC., a su domicilio en Estados Unidos, indicándoleexpresamente su derecho a la audiencia en el procedimiento y otorgándole un plazo de quincedías hábiles para que formulase las alegaciones y propusiera las pruebas que consideraseprocedentes.

Después de que le fuera concedida una ampliación del plazo inicial hasta un máximo de siete


11/79

días, se recibió escrito de alegaciones de la entidad WHATSAPP INC., redactado en inglés,acompañado de una versión traducida, en el que solicita el archivo de las actuaciones deconformidad con las consideraciones siguientes:

1. Con carácter previo, se refiere a distintas circunstancias que califica como errores en elprocedimiento, señalando que se extrae una conclusión negativa de la “falta” de entrega delcontrato, sin considerar la aclaración que le fue solicitada; se alude a un “Informe deActuaciones Previas de Investigación” que presenta información engañosa e inexacta (sepresenta como si incluyera declaraciones de la propia WhatsApp recogidas en la Carta deWhatsApp); e incluye el contenido de dos procedimientos (E/04949/2016 y n° E/04948/2016)que han sido archivados, por lo que la AEPD no puede basar la apertura del procedimiento enhechos traídos de dichos procedimientos.

Considera, asimismo, que se han producido varios defectos de forma que han perjudicado suderecho de defensa, como el retraso experimentado en la entrega de la notificación en eldomicilio de WhatsApp, el idioma en el que fue notificada la apertura del procedimiento, queobligó a la entidad a traducirla al inglés y el tiempo empleado para facilitar una traducción decortesía al castellano de su escrito de alegaciones.

2. El escrito de alegaciones presentado por WHATSAPP INC. dedica un apartado de susalegaciones a los antecedentes de hecho: En cuanto a la finalidad, advierte que en la actualidad los datos de las cuentas de los usuariosespañoles únicamente se comparten con fines limitados. Según la información prevista en laPolítica de Privacidad y en el epígrafe de “Información para los usuarios de la UE” previsto ensu apartado de Preguntas Frecuentes, WhatsApp puede compartir los datos de la cuenta deusuario de WhatsApp por tres posibles razones:

• Para mejorar los propios productos de Facebook y ofrecer anuncios más relevantes enFacebook (“Productos y Anuncios de Facebook”);• Para ayudar a garantizar la seguridad de los servicios que ofrece la familia de empresasde Facebook (i.e., por razones de “Seguridad y Protección”); y• Para recibir servicios que ayuden a WhatsApp a mejorar y desarrollar su negocio(“Servicios de Soporte”).

En cuanto a la comunicación de datos a la que se refiere la actualización, manifiesta que no hacompartido aún datos de las cuentas de sus usuarios españoles de WhatsApp, de responsablea responsable, para finalidades de Seguridad y Protección (combatir el fraude o abuso en suservicio).

Asimismo, señala que aceptó suspender eventualmente el uso de datos de usuarios europeospara los fines de Productos y Anuncios de Facebook, aunque considera que ha obtenido unconsentimiento válido para dicha finalidad, tras las conversaciones mantenidas con la AutoridadIrlandesa de Protección de Datos (Irish Data Protection Comissioner) (el “DPC”), hasta alcanzarun acuerdo previo con el DPC sobre un futuro mecanismo que permita dicho uso (WhatsAppoptó por iniciar dichas conversaciones con el DPC debido a la condición de este último comoautoridad de control de Facebook lreland. Facebook lreland es la entidad responsable deltratamiento de datos e igualmente responsable de la prestación del servicio que ofreceFacebook a personas físicas ubicadas fuera de Estados Unidos y Canadá. Por ello, y para elcaso en que WhatsApp pretendiera compartir, de responsable a responsable, la información delas cuentas de los usuarios españoles de WhatsApp, lo haría con Facebook lreland para que


12/79

ésta pudiese mejorar los Productos y Anuncios de Facebook en su plataforma, y el uso dedichos datos de la cuenta por parte de Facebook lreland estaría sujeto a la legislación irlandesay a la competencia del DPC.);

Entiende que, si bien, ninguna de estas formas de compartir información está teniendo lugar adía de hoy, ambas estarían amparadas por la legislación de la UE así como por los Términosde Servicio y la Política de Privacidad de WhatsApp, por lo que dicho intercambio sería lícito.

En la actualidad únicamente se comparten (de responsable a encargado) con Facebook Inc. aefectos de permitir a WhatsApp recibir ciertos Servicios de Soporte, en el marco de la relacióncontractual formalizada por ambas y con sujeción a una estricta supervisión por parte deWhatsApp. Facebook, Inc. actúa como un proveedor de servicios de seguridad y protección.

Los Servicios de Soporte permiten a WhatsApp analizar y entender cómo utilizan su servicio losusuarios, ayudan a mantener la integridad del servicio de WhatsApp (por ejemplo, paradetectar y prevenir la propagación de spam), permiten a WhatsApp aprovechar lainfraestructura, las tecnologías, los sistemas, las herramientas y la experiencia de Facebook,Inc., tanto en beneficio de la propia WhatsApp como de sus usuarios.

En los Términos de Servicio y en la Política de Privacidad se prevé que WhatsApp puedacompartir (de responsable a encargado) cierta información de sus usuarios con tercerosproveedores de servicios y con otras entidades de la familia de empresas de Facebook.

Por otra parte, añade WhatsApp que, en contra de lo manifestado por la AEPD, el volumen dedatos involucrado es mínimo: WhatsApp no comparte (de responsable a encargado) conFacebook, Inc. de forma indiscriminada ni a gran escala los datos de las cuentas de usuariosespañoles. Da acceso a un volumen ínfimo de datos las cuentas de usuarios a Facebook, Inc.,en el marco de la relación propia entre un responsable y un encargado del tratamiento para laprestación de ciertos Servicios de Soporte, para los fines especificados por WhatsApp y enbeneficio de esta última. Ello en virtud de un contrato de prestación de servicios de tratamientode datos personales de fecha 7 de noviembre de 2016 (data processing agreement o “DPA”),que cumple los criterios previstos en la Directiva (en la medida en que esta es aplicable) asícomo los dispuestos en la LOPD (aunque no sea de aplicación).

Las categorías limitadas de datos que actualmente recopila WhatsApp de sus usuarios son lassiguientes:

• Un número de teléfono (obligatorio para el registro y que será utilizado como ID de cuentade WhatsApp del usuario (WhatsApp Account ID);• un nombre, junto con una imagen y estado de perfil opcionales;• Información básica sobre uso y registro (por ejemplo, una marca de tiempo (timestamp));• Información estándar del dispositivo utilizado (por ejemplo, versión del sistema operativo);• Números de teléfono de la libreta de direcciones móvil del usuario.

Tras la Actualización, WhatsApp generalmente solo comparte (de responsable a encargado) lassiguientes categorías de datos:

. El número de teléfono del usuario;

. Cierta información básica del dispositivo (identificador del dispositivo, versión del sistemaoperativo, versión de la aplicación, información de la plataforma, el código de país y códigode red y flags que permitan el rastreo de las opciones de control y aceptación por parte delos usuarios de los términos de las actualizaciones);


13/79

. Determinada información básica sobre utilización (cuando un usuario utilizó WhatsApppor última vez, fecha en que el usuario registró su cuenta y tipos y frecuencia de utilizaciónde funcionalidades).

3. Alega WhatsApp que la LOPD no es aplicable y que una correcta aplicación del Artículo 4 dela Directiva llevaría a pensar que, si existe una legislación en materia de protección de datos deun Estado Miembro de la UE aplicable a WhatsApp, dicha legislación sería la irlandesa.

La aplicación de la LOPD por virtud de lo establecido en su artículo 2.1.c), por la utilización demedios en España, sólo procede, a juicio de WhatsApp, cuando el responsable del tratamientocarece de un establecimiento en territorio europeo. En este caso, WhatsApp dispone de unestablecimiento europeo en Irlanda (WhatsApp lreland, constituida el 6 de julio de 2017, dosmeses antes de la apertura), por lo que el citado artículo 2.1.c) no le es de aplicación. Por lamisma razón, no es posible entender que la empresa está sujeta a la legislación española alamparo del Artículo 4(1)(c) de la Directiva.

De conformidad con lo dispuesto en el Artículo 4(1)(a) de la Directiva y con la legislaciónirlandesa en materia de protección de datos, WhatsApp lreland, como sociedad constituida enIrlanda, se encuentra establecida en Irlanda y sujeta a dicha legislación.

En consecuencia, WhatsApp lreland es el establecimiento de WhatsApp en la UE y, deconformidad con los criterios establecidos en Google Spain, se encuentra sujeta a la leyirlandesa. Por el contrario, dado que WhatsApp no tiene establecimiento de ningún tipo enEspaña, no puede estar sujeto a la legislación española en virtud del Artículo (4)(1)(a).

Por otra parte, añade que el software de la aplicación de WhatsApp no implica que se utilicen“medios” en España. WhatsApp no utiliza los smartphones de sus usuarios para tratar datospersonales a efectos de lo dispuesto en el artículo 4(1)(c) de la Directiva. WhatsApp tan sólo esel destinatario de los datos que el usuario remite a sus servidores ubicados en Estados Unidos.

El GT del Artículo 29 (WP56) considera “…que no toda interacción entre un usuario de Internetestablecido en la UE y un sitio web fuera de la UE conduce necesariamente a la aplicación dela legislación europea sobre protección de datos. El Grupo de Trabajo es de la opinión de quelos medios deberían estar a disposición del responsable del tratamiento en el tratamiento dedatos personales”. A la luz de esta postura, el Grupo de Trabajo señala que el artículo 4(1)(c)únicamente se aplica en aquellos supuestos en que exista “algún tipo de actividad delresponsable” acompañada de “la clara intención del mismo de tratar datos personales”. Sinembargo, este no es el caso de WhatsApp, quien de forma pasiva recibe una serie de datos delusuario, desde un dispositivo que se encuentra plenamente bajo el control de dicho usuario. Nopuede decirse que exista ninguna “actividad” de WhatsApp en el dispositivo del usuario enEspaña. La iniciativa recae totalmente sobre el usuario del smartphone que decide instalar elsoftware WhatsApp, facilitar un nombre y su número de teléfono a WhatsApp en EstadosUnidos para darse de alta en el servicio, y utilizar la aplicación para acceder al servicio demensajería de WhatsApp. WhatsApp no accede, sin el conocimiento de los usuarios, a losdispositivos de estos últimos para recopilar o tratar cualesquiera datos personales ni utiliza deforma independiente los teléfonos de los usuarios para tratar sus datos personales.

WhatsApp no trata datos de las cuentas de usuarios en los smartphones; simplemente recibeinformación enviada por los usuarios desde sus smartphones y devuelve cierta información aestos smartphones en el curso de la prestación de sus servicios, siempre utilizando sus propios


14/79

servidores en Estados Unidos para tratar los datos.

Incluso si se entendiera que la aplicación de software de WhatsApp constituye un medio enEspaña, habría que concluir que los teléfonos inteligentes en los que se encuentra instalada, seutilizan con fines de tránsito, en la medida en que tales medios estarían siendo utilizadosúnicamente para transmitir datos personales desde el teléfono en cuestión hasta los servidoresde WhatsApp ubicados en Estados Unidos.

4. No existe dicha base legal sobre cual la AEPD, como autoridad pública española, puedaafirmar su competencia sobre WhatsApp, una sociedad estadounidense sin actividad enEspaña. Cualquier intento de ejercer jurisdicción sobre una empresa estadounidense infringe elprincipio de competencia territorial del derecho internacional.

El artículo 28 de la Directiva explica cómo se reparte la competencia entre las autoridades deprotección de datos nacionales y limita la competencia territorial de las autoridades de controlde los Estados Miembros sobre su propio territorio: “Los Estados miembros dispondrán que unao más autoridades públicas se encarguen de vigilar la aplicación en su territorio de lasdisposiciones adoptadas por ellos en aplicación de la presente Directiva”.

El Artículo 4 de la Directiva, en el que se basa el Artículo 2 de la LOPD, se refiere únicamente,tal y como indica el epígrafe al que pertenece, a la cuestión de la legislación aplicable. DichoArtículo 4 no aborda en absoluto la competencia de las autoridades de control, y no prevé laexistencia de jurisdicción extraterritorial.

Y menos aún ofrece justificación para sostener que una autoridad pública española dispone dejurisdicción sobre la relación contractual de prestación de servicios de tratamiento de datosentre dos sociedades estadounidenses.

Por su parte, el artículo 28.6 de la Directiva señala que:“Toda autoridad de control será competente, sean cuales sean las disposiciones de Derechonacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propioEstado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo.Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estadomiembro”.

Así, cualquiera que fuera la legislación aplicable, toda autoridad de control es competente paraejercitar, exclusivamente dentro de los límites del territorio nacional de dicha autoridad, lospoderes que se enumeran en el artículo 28.3. Asimismo, la jurisprudencia del TJUE pone demanifiesto que las autoridades de control carecen de competencia para imponer multas en loscasos en que su legislación nacional sobre protección de datos no resulta de aplicación.

Asimismo, el artículo 28.6 de la Directiva impone a las autoridades nacionales el deber explícitode cooperar con otras autoridades de protección de datos. Dado que WhatsApp dispone de unestablecimiento en Irlanda, si la AEPD tiene dudas sobre el tratamiento de datos personalesque pudiera realizar WhatsApp, dicho deber obliga a la AEPD a colaborar con el DPC.

Ley aplicable y jurisdicción son conceptos jurídicos fundamentalmente distintos que requierenser considerados por separado.

5. En cuanto al fondo del asunto, destaca los aspectos siguientes:


15/79

(A) Facebook, Inc. ha sido contratado por WhatsApp como proveedor de servicios conforme alos criterios legales que regulan las relaciones entre responsable y encargado del tratamientoen materia de protección de datos (artículo 17 de la Directiva y 12 de la LOPD). En estecontexto, Facebook Inc. actúa por cuenta y en beneficio de WhatsApp, que imparte lasinstrucciones precisas y decide qué sucederá en última instancia con las operaciones detratamiento.

Según el contrato formalizado, Facebook, Inc. presta a favor de WhatsApp ciertos servicios deanálisis. En particular, Facebook, Inc. debe tratar los datos de las cuentas de usuariosespañoles de WhatsApp para (i) generar información sobre los usuarios de WhatsApp (en suconjunto) y los distintos usuarios de los servicios que ofrece el grupo Facebook, utilizando tantoinformación de WhatsApp como otra información accesible para Facebook, Inc.; e (ii) identificarusuarios únicos de los servicios que ofrece la familia de empresas de Facebook, así como lascaracterísticas de uso y su frecuencia.

Por ello, de ser aplicable alguna disposición de la LOPD, sería de aplicación el artículo 12 de laLOPD, ya que aborda la contratación de proveedores externos que acceden a datospersonales, y no el artículo 11 de dicha Ley Orgánica, que no es aplicable a los contratos queimplican un acceso a datos.

(B) En cuanto a los servicios de análisis (analytics) que Facebook, Inc. presta como parteesencial de los Servicios de Soporte, WhatsApp indica que para poder ofrecer tales serviciosde indudable valor comercial a WhatsApp, Facebook, Inc. necesita comparar información deotros productos que conforman la “Familia de Aplicaciones” (según se define dicha expresiónen el contrato) de Facebook. De conformidad con las instrucciones que recibe, Facebook, Inc.ha de “correlacionar” los datos personales a los que le dá acceso WhatsApp con informaciónen poder de Facebook, Inc. (que podría incluir información tratada por esta última en sucondición de encargado del tratamiento actuando por cuenta de otras entidades pertenecientesa la familia de empresas de Facebook). Dicha comparación permite conocer de una formaprecisa el número de usuarios de WhatsApp y de forma genérica los patrones de uso (a nivelglobal) del servicio de WhatsApp. Los resultados agregados recibidos por parte de WhatsAppde Facebook, Inc. podrían incluir estudios sobre patrones de uso de otras aplicaciones de lafamilia Facebook, los cuales pueden ayudar a WhatsApp a entender mejor los cambiosglobales que podrían influir en las decisiones de negocio de WhatsApp. Esta actividad decomparativa se lleva a cabo de conformidad con las instrucciones escritas y expresas deWhatsApp y está sujeta a diversas restricciones previstas en el propio contrato.

La información extraída de dicha comparación, y facilitada a WhatsApp, se corresponde condatos agregados y anonimizados que son utilizados para fines estadísticos y administrativos yque no pueden tener, en consecuencia, la consideración de datos personales.

Las sociedades filiales únicamente pueden obtener información general sobre la forma en quese utilizan sus servicios en relación con los servicios de WhatsApp (en el caso de queWhatsApp decida compartir dicha información), sin que les sea posible atribuir dicho uso aningún usuario en particular.

Además, no existe ningún tratamiento cruzado de los datos que implique una cesión de datosde responsable a responsable, conforme al significado de dicha expresión previsto en elartículo 47 del Reglamento de desarrollo de la LOPD, el cual se refiere a tratamientos cruzados


16/79

de con fines de marketing, que generan nuevos ficheros de datos personales, que a su vez soncedidos. La propia AEPD, en su Informe 0364/2015, entendió que las técnicas de tratamientocruzado (i.e. depuración) que suponen una cesión de datos requiere que por esta vía seobtengan por una entidad datos de clientes de otra entidad, que no eran suyos propios,pasando a estar a su disposición para realizar las promociones publicitarias que tuviera porconveniente.

(C) Con carácter subsidiario, añade que incluso si alguna de las actividades que implica unacceso a datos personales hubiera tenido lugar en el marco de una relación de responsable aresponsable del tratamiento, dicha comunicación sería lícita al poder estar basada en elconsentimiento, la necesidad contractual y el interés legítimo. - ConsentimientoWhatsApp podría sin duda alguna basar cualquier posible cesión en el consentimientoinequívoco, informado, específico y libremente otorgado por sus usuarios españoles con el finde llevar a cabo un tratamiento, de responsable a responsable, de los datos de las cuentas deestos últimos con fines de Seguridad y Protección, así como para mejorar los Productos yAnuncios de Facebook. Incluso la comunicación para los servicios de análisis prestados alamparo del DPA sería igualmente lícita sobre la base del consentimiento del usuario, prestadoen la forma ya detallada.

Además, se trata de un consentimiento informado mediante la Política de Privacidad, diseñadaexpresamente para que fuera fácil de leer y de fácil navegación para el usuario medio,siguiendo las recomendaciones del GT del Artículo, y cuya puesta a disposición de los usuariosquedó debidamente garantizada;

Dicho consentimiento es específico, lo que no exige que el interesado acepte por separadotodas y cada una de las actividades de tratamiento de datos o preste su consentimiento, envirtud de actos separados, al contenido de varios documentos distintos. Y, de conformidad conlos criterios que ofrece el GT del Artículo 29 al respecto, es específico en la medida que laPolítica de Privacidad identifica claramente las formas en que WhatsApp recoge, utiliza ycomparte la información del usuario.

El consentimiento que obtiene WhatsApp de sus usuarios es libre. A este respecto, manifiestaque WhatsApp es un servicio de comunicación gratuito, del que los usuarios pueden librementedarse de baja en cualquier momento, sin penalización alguna Si la persona opta por noconsentir la Política de Privacidad, no podrá utilizar WhatsApp, sin estar sujeta a sanciones operjuicios que pudieran viciar el consentimiento.

Además, WhatsApp es solo uno de los muchos servicios de mensajería disponibles paraparticulares. En este entorno competitivo, los usuarios eligen libremente incorporarse o no aWhatsApp y, al darse de alta, aceptan que WhatsApp puede tratar la información de su cuentade conformidad con la Política de Privacidad. En el caso de que no quieran dar suconsentimiento para esta forma de tratamiento de sus datos personales, son libres de utilizarotro servicio de mensajería en línea.

El consentimiento que obtiene WhatsApp de sus usuarios es también un consentimientoinequívoco. Al darse de alta en el servicio de WhatsApp, el nuevo usuario, sin lugar a dudas,está consintiendo “de forma inequívoca” los Términos de Servicio y la Política de Privacidad deWhatsApp, mediante una acción expresa al hacer clic en el botón identificado con la leyenda


17/79

“Aceptar y continuar”. Aquellos usuarios que ya estaban dados de alta en el servicio WhatsAppprestan su consentimiento “inequívoco” cuando deciden continuar utilizando el servicioWhatsApp tras haber recibido varias notificaciones directas de la Actualización y haber hechoclic en “Aceptar”.

Y destaca que el procedimiento número E/04948/2016 dictaminó que es lícito el consentimientoobtenido de los usuarios del servicio WhatsApp autorizando la cesión de datos a Facebook,expresamente para mejorar su experiencia en materia de Productos y Anuncios de Facebook.

- Necesidad contractual.El artículo 7.b de la Directiva autoriza a WhatsApp a tratar los datos personales de sus usuariosen aquellos casos en que el tratamiento fuera “necesario para la ejecución de un contrato en elque el interesado sea parte”.

Al darse de alta en el servicio de WhatsApp, los usuarios españoles celebran un contrato conWhatsApp: los Términos de Servicio. La ejecución de dicho contrato exige tanto el tratamientode los datos de los usuarios españoles de WhatsApp como ofrecer al usuario un servicioseguro y protegido. Por ello, en el supuesto de que se cediesen datos de los usuarios europeospor razones de Seguridad y Protección, de responsable a responsable, con Facebook Ireland,dicha cesión habría de entenderse autorizada sobre la base de una necesidad contractuallegítima. Además, los Términos de Servicio y la Política de Privacidad permiten la identificaciónde actores malintencionados que constituyan una amenaza.

Por ejemplo, si WhatsApp descubriera que alguien está usando sus servicios con fines ilícitos,los términos permitirían deshabilitar su cuenta y podría notificar dicha circunstancia a otrasempresas de la familia Facebook de forma que estas últimas pudiera, en su caso, considerarhacer lo mismo.

Si se iniciaran las cesiones de datos en la UE, de responsable a responsable, por razones deSeguridad y Protección, ayudaría a poder prestar a los usuarios un “servicios online seguro” y arestringir el uso ilícito del servicio que contraviniese nuestros Términos de Servicio.

WhatsApp también podría recurrir a esta base jurídica para justificar la supuesta cesión dedatos que respecto de los Servicios de Soporte le intenta atribuir la AEPD, por cuanto lascategorías de soporte general y servicios de análisis tales como servicios de administración,servicios informáticos y de alojamiento de datos son precisamente los servicios que permiten laprestación del servicio WhatsApp al usuario final y, por lo tanto, son necesarios para ejecutar elcontrato de servicio suscrito entre WhatsApp y sus usuarios.

- Interés legítimoEl artículo 7.f de la Directiva, que tiene efecto directo en España de acuerdo con lajurisprudencia del TJUE, reconoce el interés legítimo como base jurídica válida para la cesiónde datos personales en supuestos en los que no es necesario el consentimiento del usuario,sin que pueda admitirse que un Estado miembro incorpore condiciones adicionales.

Y el RGPD, al referirse a la cesión de datos de datos entre empresas pertenecientes a unmismo grupo y para fines internos, señala:“(48) Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a unorganismo central pueden tener un interés legítimo en transmitir datos personales dentro delgrupo empresarial para fines administrativos internos, incluido el tratamiento de datos


18/79

personales de clientes o empleados. (...)“.

Si WhatsApp decidiese comenzara a ceder datos (de responsable a responsable) estaríalegitimado a hacerlo en virtud del Artículo 7 (f) de la Directiva, que permite basar las cesionesde datos que superen el “test de sopesamiento” (en palabras del GT del Artículo 29) en elinterés legítimo. Ello en virtud de que el Artículo 11 de la LOPD incumple con la Directiva al noincluir, entre las bases jurídicas para poder ceder datos, el interés legítimo.

Por otra parte, el GT del Artículo 29 ha publicado una serie de observaciones (Dictamen6/2014) en las que reconoce que los intereses económicos de un responsable, tales como elvalor derivado de la detección de fraude y el marketing directo, puede ser un interés legítimoválido a tener en cuenta en el test de proporcionalidad (“el test de sopesamiento” en pablarasdel GT del Artículo 29).

En última instancia, WhatsApp ofrece a sus usuarios un servicio de mensajería que funciona demanera rápida y fiable en cualquier parte del mundo. Como toda empresa, WhatsApp tiene uninterés legítimo en entender cómo utilizan el servicio sus usuarios, así como en obtener losServicios de Soporte necesarios. Los usuarios desean recibir un servicio gratuito sininterrupciones. Además, dadas las incidencias que pueden surgir con las tecnologías decomunicación, WhatsApp, Facebook Ireland, sus usuarios y, de hecho, el público en general,tienen un interés legítimo en apartar a los actores malintencionados de sus servicios en línea,así como en detener cualquier amenaza para el servicio.

De forma adicional, WhatsApp ofrece un servicio de mensajería gratuito a sus usuarios,mientras que Facebook Ireland ofrece una red social gratuita. WhatsApp y la familia deempresas de Facebook son sociedades con ánimo de lucro, con obligaciones financieras frentea sus accionistas y empleados, por lo que, a efectos de poder ofrecer un servicio gratuito parasus usuarios, tanto WhatsApp como Facebook lreland necesitan obtener financiación para susactividades. El GT del Artículo 29 ha reconocido esta necesidad de financiación en el caso delas empresas privadas (Dictamen 5/2009, sobre redes sociales). Los usuarios esperan yentienden, cuando hacen uso de un servicio gratuito, que sus datos podrían ser utilizados confines publicitarios a cambio de la gratuidad del servicio en cuestión. Como reflejo de estasituación, existe un interés legítimo en compartir los datos en cuestión a efectos de mejorar laexperiencia del usuario en materia de Productos y Anuncios de Facebook.

Asimismo, a efectos de llevar a cabo la “prueba de sopesamiento” entre los intereses legítimosdel interesado y los del responsable del tratamiento, el GT de Artículo 29 sugiere considerar lossiguientes factores:

“la naturaleza y la fuente del interés legítimo, y si el tratamiento de datos es necesario para elejercicio de un derecho fundamental, resulta de otro modo de interés público o se beneficia delreconocimiento de la comunidad afectada; la repercusión para el interesado y sus expectativasrazonables sobre qué sucederá con sus datos, así como la naturaleza de los datos y la maneraen la que sean tramitados; y las garantías adicionales que podrían limitar un impacto indebidosobre el interesado, tales como la minimización de los datos, las tecnologías de protección dela intimidad, el aumento de la transparencia, el derecho general e incondicional de exclusiónvoluntaria y la portabilidad de los datos”.

. En base a lo expuesto, respecto del tratamiento de los datos a efectos de prestar los Serviciosde Soporte (que se lleva a cabo al amparo de un encargo del tratamiento), ha llegado un


19/79

momento en que los interesados esperan razonablemente que las empresas han de generaruna serie de informes de patrones de comportamiento sobre sus usuarios que les permitaobtener la información necesaria para desarrollar y mejorar sus servicios. En particular,WhatsApp recibe informes de análisis, los cuales facilitan información comercial esencial, enforma agregada, lo que minimiza cualquier efecto indebido sobre los derechos y libertades delos interesados. Así, y en la medida en que dicho tratamiento pudiera constituir (erróneamentepara la AEPD) un supuesto de cesión, de responsable a responsable, de datos personales, lanaturaleza de dicha cesión junto con su repercusión mínima sobre los usuarios y las medidasde protección existentes indican, sopesados tales factores en su conjunto, que dicha supuestacesión respondería a un interés legítimo de WhatsApp.

. En relación con la comunicación de datos con fines de Seguridad y Protección, al evaluar elimpacto del tratamiento sobre las personas, deberán tenerse en consideración lasconsecuencias tanto positivas como negativas, conforme reconoce el GT del Artículo 29. Elpropio GT del Artículo 29, en su dictamen 6/2014, ofrece varios ejemplos al respecto:

(i) futuras acciones o decisiones potenciales llevadas a cabo o tomadas por terceros (ii)situaciones en las que el tratamiento pueda dar lugar a la exclusión de personas o a sudiscriminación o difamación, (iii) situaciones en las que haya riesgo de daño a la reputación, alpoder de negociación o a la autonomía del interesado, (iv) repercusiones emocionales másgenerales, tales como el enfado, el miedo y la angustia que puedan derivarse de la pérdida decontrol sobre la información personal por parte del interesado, o del conocimiento de que dichainformación personal ha sido o pueda ser mal utilizada o se vea comprometida, por ejemplo,mediante su exposición en Internet, o (v) el efecto amedrentador sobre el comportamientoprotegido, como la libertad de investigación o la libertad de expresión, que puede resultar deuna supervisión o un seguimiento continuo.

Dichas consecuencias negativas tienen un elemento en común: la pérdida de control delindividuo sobre sus datos, o la existencia de un daño o cualquier otra forma de perjuicio para elmismo.

Cuando analizamos la potencial repercusión que podría tener una potencial cesión de datos enla UE, de responsable a responsable, por razones de Seguridad y Protección, resulta evidenteque no existiría dicha repercusión negativa para el usuario final (salvo para aquellos usuariosfinales que pretendieran utilizar el servicio de WhatsApp o Facebook para la comisión dedelitos o para causar cualquier otro daño). La integridad del servicio y la desactivación oreducción de las amenazas a la propia seguridad personal del usuario no conllevan unapérdida de control o cualquier otra forma de perjuicio para las personas. Por el contrario, lapolítica de tolerancia cero que mantiene WhatsApp en materia de terrorismo y la identificaciónde actores malintencionados ha de considerarse a efectos de poner en valor el interés legítimode WhatsApp/Facebook (así como el interés legítimo de la gran mayoría de los usuarios deWhatsApp/Facebook, de la comunidad en general y de las posibles víctimas de delitos) frente alos derechos de los usuarios que pudieran participar en cualquier conducta delictiva o ilícita.

Por ejemplo, si se identificara a cualquier actor malintencionado en el servicio WhatsApp, laidea sería que únicamente los datos de dicha persona fueran compartidos, de responsable aresponsable, a fin de detectar si la persona en cuestión también se encuentra registrada enFacebook. En muchos casos los sistemas han sido diseñados a efectos de integrar un gradode intervención y supervisión humana antes de la adopción de cualquier decisión de inhabilitaruna cuenta; y en todos estos casos se ofrecerían opciones para que los usuarios solicitaran


20/79

información o puedan impugnar esta acción, si la entendieran injustificada.

. Y en caso de que se pusiera en marcha la cesión de datos en Europa para mejorar laexperiencia del usuario en relación con los Productos y Anuncios de Facebook que se le ofreceen Facebook, WhatsApp podría basar dicha decisión en el interés legítimo de Facebook lrelanden tratar los datos con fines de publicidad y personalización del servicio, algo necesario paramejorar el servicio que ofrece Facebook lreland. El modelo de negocio de Facebook lreland sebasa en la publicidad, incluyendo en la venta de espacios publicitarios dentro del propioservicio basados en los intereses de los correspondientes destinatarios y usuarios del mismo.El GT del Artículo 29 ha reconocido el carácter legítimo del interés económico de las empresasen aprender, tanto como sea posible, sobre sus potenciales clientes con el fin de orientar mejorla publicidad sobre sus productos y servicios (Dictamen 6/2014, página 24).

Asimismo, sería un error sugerir que el interés legítimo de Facebook lreland en ofrecer unaexperiencia personalizada a sus usuarios amenaza los intereses o los derechos fundamentalesy las libertades de los usuarios españoles de WhatsApp. De hecho, los intereses de Facebooklreland y los de sus usuarios están alineados: tanto Facebook lreland como sus usuarios sebenefician cuando la personalización brinda a los usuarios una mejor experiencia en el servicio.

Además, se han adoptado una serie de medidas adicionales a efectos de proteger los derechose intereses de los interesados. En el caso de los usuarios existentes, se les ofreció laposibilidad de oponerse (opt-out); lo que refuerza el hecho de que Facebook lreland ofrece alos usuarios un grado considerable de control sobre qué anuncios ven y cómo se tratan susdatos personales con fines publicitarios y de productos.

En conclusión, incluso si el tratamiento de los datos de las cuentas de los usuarios españolesde WhatsApp que se lleva a cabo para prestar Servicios de Soporte a WhatsApp conllevaseuna cesión de datos (que no es el caso, ya que los Servicios de Soporte se prestan al en virtudde un encargo del tratamiento), dicha cesión podría basarse en la existencia de un interéslegítimo de WhatsApp y de otras empresas de la familia Facebook (y de hecho, el propio RGPDseñala expresamente que “Los responsables que forman parte de un grupo empresarial ...pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarialpara fines administrativos internos, incluido el tratamiento de datos personales de clientes’).

Por último, y a efectos de una mayor exhaustividad, cabe señalar que si se pusieran en marchacesiones de datos en la UE para fines de Seguridad y Protección y/o de Productos y Anunciosde Facebook, dichas cesiones estarían igualmente justificadas debido a la existencia deintereses legítimos para el cedente y el cesionario.

6. WhatsApp se está preparando para el RGPD y desarrollará nuevas políticas, herramientas,funcionalidades y servicios que ayuden a los interesados a exigir el cumplimiento de susderechos derivados del RGPD, que se darán a conocer antes del 25 de mayo de 2018, fechade entrada en vigor del RGPD.

7. Ninguno de los criterios para graduar la sanción, analizados por la AEPD en el acuerdo deapertura del procedimiento, es aplicable al presente caso:i) No existe intención alguna de infringir la LOPD u otra legislación, ni se ha acreditado faltaalguna de diligencia. En realidad, WhatsApp ha hecho todo lo posible para garantizar que eltratamiento en cuestión se realiza con sujeción a un DPA detallado que cumple (y excede) losrequisitos que exige la legislación española y de la UE;


21/79

ii) En la actualidad no se comparte información, de responsable a responsable, con fines deProductos y Anuncios de Facebook ni por razones de Seguridad y Protección, respecto de losusuarios españoles de WhatsApp.

Por el contrario, si la LOPD fuera de aplicación, los criterios para la graduación de sancionesque figuran en el artículo 45.5 de la LOPD debieran servir para atenuar cualquier posiblesanción. Este es especialmente el caso de un supuesto en el que no es posible atribuir falta dediligencia a WhatsApp, a la luz de la transparencia de la información que WhatsApp facilita asus usuarios y en atención a la forma, ajustada a derecho, en la que WhatsApp ha contratadolos servicios de Facebook, Inc. como encargada del tratamiento.

SEXTO: El Acuerdo de apertura del procedimiento reseñado en el Antecedente Tercero fuenotificado a la entidad FACEBOOK INC., en su domicilio en Estados Unidos, y también a travésde Facebook Spain, S.L., como establecimiento del responsable en España para que diesetraslado de la misma a FACEBOOK INC., indicándole expresamente su derecho a la audienciaen el procedimiento y otorgándole un plazo de quince días hábiles para que formulase lasalegaciones y propusiera las pruebas que considerase procedentes.

Después de que le fuera concedida una ampliación del plazo inicial hasta un máximo de sietedías, se recibió escrito de alegaciones de la entidad FACEBOOK INC., redactado en inglés,acompañado de una versión traducida, en el que solicita el archivo de las actuaciones deconformidad con las consideraciones siguientes:

1. Con carácter preliminar, destaca que la AEPD interpreta erróneamente la carta remitida porFacebook lreland a dicha Agencia durante la fase previa de investigación; refiere que variosdefectos de forma han perjudicado su derecho de defensa, como la entrega del acuerdo deapertura en el domicilio social de Facebook Spain y la notificación realizada en español a unaempresa que opera en inglés; y añade que la apertura incluye contenido de dos procedimientosdiferentes tramitados contra WhatsApp (E/04949/2016 y E/04948/2016) que fueron archivados,en los que la AEPD no puede apoyarse.

2. En cuanto a los antecedentes de hecho, pone de manifiesto algunas consideracionesrelativas a las entidades implicadas, detallando lo siguiente:

. El servicio Facebook se dividió en 2010 entre las entidades Facebook Inc. y Facebook lreland.Desde esa fecha, esta última presta el servicio a todos los usuarios de Facebook situados fuerade Estados Unidos y Canadá a través de la página www.facebook.com y de las aplicacionesmóviles de Facebook. Facebook Inc., que ofrece la plataforma de Facebook a los usuariosubicados en Estados Unidos y Canadá, no presta servicio en España ni dirige sus actividades aEspaña y no tiene control alguno sobre los datos personales de los usuarios europeos de laplataforma Facebook. Corresponde a Facebook Ireland establecer los fines y medios a utilizarpara el tratamiento de los datos personales de estos usuarios. Facebook Ireland es también laentidad que vende publicidad como parte del servicio de Facebook a los anunciantes enEuropa, incluyendo España.

. Facebook ofrece servicios de alojamiento de datos (hosting) y otros servicios auxiliares a otrasentidades de la familia de empresas de Facebook, incluida WhatsApp. Por ejemplo,determinados datos de usuarios europeos de Facebook son alojados por Facebook Inc. porcuenta de Facebook lreland. En este sentido, Facebook Inc. actúa como encargado deltratamiento para Facebook lreland, y esta relación se refleja en las cláusulas contractuales tipo


22/79

(responsable del tratamiento-encargado del tratamiento) aprobadas por la Comisión Europea yque han sido suscritas por Facebook lreland y Facebook Inc.

. Facebook Spain es una sociedad española constituida en 2009 que no participa en laprestación del servicio Facebook ni tiene acceso a los datos de los usuarios de Facebook o deWhatsApp, ni realiza función alguna por cuenta de éstas. Facebook Spain no es unestablecimiento de Facebook Inc., ya que no presta servicios a Facebook Inc. ni ofrece soportealguno a los negocios de Facebook Inc. en Estados Unidos y Canadá, y tiene como objetosocial la prestación de “servicios de publicidad y marketing en línea” a Facebook lreland, queactúa como único comercializador de publicidad en Europa.

. WhatsApp es una empresa estadounidense responsable de la prestación del servicioWhatsApp a usuarios de todo el mundo, que fue constituida en febrero de 2009 y entró aformar parte de la familia de empresas de Facebook en octubre de 2014, si bien opera deforma separada. Dispone de una filial europea constituida en Irlanda el 6 de julio de 2017(WhatsApp lreland Limited) y no dispone de ninguna filial, instalaciones, oficinas o empleados uotra forma de presencia en España.

Información de cuentas compartida por WhatsApp. La comunicación de datos por WhatsApp Inc. a Facebook Inc. de las cuentas de usuariosespañoles de WhatsApp tiene lugar dentro de una relación de encargado a responsable y serealiza de forma limitada únicamente para aprovechar la infraestructura, recursos y servicios deexperiencia ofrecidos por Facebook Inc.

WhatsApp Inc. también comparte información con terceros prestadores de servicios, queactúan por cuenta de WhatsApp, según se advierte en la Política de Privacidad y “en la medidaque sea razonablemente necesario para operar, mejorar o mantener el servicio WhatsApp”.

. La información recabada por WhatsApp consta de: (i) número de teléfono verificado; (u)determinada información básica sobre el dispositivo (como es el número de identificación deldispositivo, la versión del sistema operativo, la versión de la aplicación, información sobre laplataforma, el código de país y código de red, y flags que permitan el rastreo de las opcionesde control y aceptación de los términos de las actualizaciones); y (iii) información sobreutilización (por ejemplo, última vez que el usuario utilizó WhatsApp, fecha en que el usuarioregistró por primera vez su cuenta y tipos y frecuencia de utilización de características). Losusuarios no están obligados a facilitar un nombre o una imagen de perfil, ni un mensaje deestado, ni a subir la libreta de direcciones de su dispositivo para poder utilizar WhatsApp.

. WhatsApp explica en su Política de Privacidad que puede compartir los datos de la cuenta portres motivos:

. Para mejorar los productos propios de Facebook y ofrecer anuncios más relevantes enFacebook (“Productos y Anuncios de Facebook”): esta comunicación nunca se ha llevado acabo en la UE, y está en suspenso tras el acuerdo alcanzado con el DPC. En cualquiercaso, y desde el punto de vista de los usuarios españoles, la información se compartiríacon Facebook lreland, como entidad que actúa como responsable para usuarios españolesdel servicio Facebook.

. Para contribuir a mantener servicios pertenecientes a la familia de Facebook debidamenteseguros y protegidos (“Seguridad y Protección”): WhatsApp no comparte los datos de sus


23/79

cuentas españolas con fines de Seguridad y Protección. No obstante, en el caso de losusuarios españoles de WhatsApp, supondría una comunicación de los datos a FacebookIreland para que ésta pudiera adoptar medidas para combatir el “spam” y el abuso en susservicios.

. Para recibir servicios que ayuden a WhatsApp a mejorar y desarrollar su negocio(“Servicios de Soporte”): los datos de las cuentas son compartidos de responsable aencargado con Facebook Inc. para prestar servicios. Este mecanismo permite a WhatsAppla prestación y la mejora del servicio para sus usuarios y para sus propios fines, analizar ysaber cómo se utiliza su servicio y por tanto personalizar y desarrollar el mismo de formaóptima para sus usuarios. Esos servicios también facilitan la protección de la integridad delservicio de WhatsApp, lo que puede implicar, por ejemplo, detectar y evitar la difusión despam a través del servicio de WhatsApp.

La prestación de estos Servicios de Soporte se lleva a cabo al amparo del contrato entreresponsable y encargado del tratamiento de fecha 7 de noviembre de 2016, en virtud delcual Facebook Inc. se compromete a tratar los datos por cuenta de WhatsApp, para losfines que se establecen y se limitan en el contrato. WhatsApp imparte las instruccionesprecisas y decide qué sucederá en última instancia con las operaciones de tratamiento.

3. La LOPD no es aplicable a FACEBOOK INC.

. Facebook Inc. no presta ningún servicio en España, no dirige su actividad hacia este país, niparticipa en la prestación del servicio Facebook en España.

. Facebook Spain no es un establecimiento de Facebook Inc., en el sentido del artículo 4.1(a)de la Directiva, ni realiza ninguna función en nombre de Facebook Inc., que no opera en elmercado español.

. Las operaciones de tratamiento no se realizan “en el marco de las actividades” de FacebookSpain, cuyas actividades de publicidad son independientes al tratamiento de los datos y selimitan a servir de apoyo a las actividades de negocio de Facebook Ireland, no existiendovínculo económico alguno entre las actividades de Facebook Spain y las de Facebook Inc.

Además, en el caso que nos ocupa, Facebook Inc. actúa como encargado del tratamiento porcuenta de una empresa distinta (WhatsApp) en virtud de un contrato de encargo de tratamientode datos lícito y válido. Por tanot, tampoco existe vínculo económico entre los servicios quepresta Facebook Spain a Facebook Irelan y los Facebook Inc. presta a WhatsApp.

Asimismo, reitera Facebook Inc. que no se comparten los datos de las cuentas de usuarios deWhatsApp a efectos de Productos y Anuncios de Facebook o Seguridad y Protección delservicio Facebook. Así, y en la medida en que la AEPD pretende encontrar una “relación decausalidad” entre el hecho de que WhatsApp comparta los datos de sus usuarios y la mejoradel servicio Facebook (ofrecido por Facebook Ireland) y las actividades de Facebook Spain quese realizan en apoyo de las de Facebook Ireland, hemos de decir que no existe dicha relaciónde causalidad.

Por otra parte, incluso si dicha comunicación tuviera lugar de responsable a responsable, elresponsable de los usuarios europeos de la Plataforma Facebook sería Facebook Ireland, quese beneficia de las actividades publicitarias y de marketing de Facebook Spain.


24/79

. Facebook Inc. no utiliza “medios” ubicados en el territorio español para el tratamiento de datospersonales. Es Facebook Ireland la que presta el servicio de Facebook a los usuariosespañoles.

Asimismo, añade que el TJUE nunca ha aceptado que las cookies y el código informáticoconstituyan “medios” a los efectos del artículo 4.1(c) de la Directiva. Pero incluso si seadmitiera que dichas tecnologías constituyen tales “medios”, aun no existirían motivos quejustificaran que la AEPD pretendiera hacer valer la aplicación de la ley española frente aFacebook Inc. en este caso, por cuanto la entidad que utiliza las cookies de Facebook esFacebook Ireland y, además, el presente caso no tiene ningún tipo de relación con las cookiesde Facebook.

. Siendo Facebook Ireland, y no Facebook Inc., quien controla el tratamiento de los datospersonales de los usuarios españoles del servicio Facebook, si los datos de las cuentas deusuarios de WhatsApp estuvieran siendo compartidos por razones de Productos y Anuncios oSeguridad y Protección, en el marco de una relación de responsable a responsable deltratamiento, sería la legislación irlandesa, y no la española, la que debería aplicarse. Eltratamiento, como responsable por razones de Productos y Anuncios de Facebook o Seguridady Protección estaría intrínsecamente unido a la actividad del establecimiento de Facebooklreland en Dublín, Irlanda.

Facebook lreland es el responsable exclusivo de todas las cuestiones en materia detratamiento de datos personales fuera de Estados Unidos y Canadá, incluyendo la Política dePrivacidad, la Política de Cookies, determinar quién puede acceder a los datos personales delos usuarios, considerar y contestar a las reclamaciones de los usuarios europeos y eldesarrollo de herramientas de privacidad de los datos.

Desde el punto de vista de la naturaleza de las actividades, para todos los países exceptoEstados Unidos y Canadá, el servicio Facebook se ofrece (tanto desde un punto de vistajurídico como técnico) y se financia por las actividades de Facebook lreland, que vendeespacios publicitarios en el servicio Facebook en todos los países del mundo, salvo en EstadosUnidos y en Canadá.

Por tanto, dichas operaciones se encuentran sujetas, en virtud de lo dispuesto en el artículo4.1(a) de la Directiva, a la legislación irlandesa.

4. La AEPD no puede imponer sanciones a una sociedad estadounidense que no realizaactividades relevantes en España. Facebook Inc. no presta ningún servicio en España ni dirigesu actividad hacia este país y, en consecuencia, no puede ser sancionada por ningunaautoridad española.

El artículo 28.1 de la Directiva otorga a la autoridad de control de cada Estado miembrojurisdicción general sobre su propio territorio, señalando que se encargan de “vigilar laaplicación en su territorio de las disposiciones adoptadas por ellos”. Por su parte, el artículo28.6 de la Directiva señala que “Toda autoridad de control será competente, sean cuales seanlas disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer enel territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por unaautoridad de otro Estado miembro”.


25/79

Así, cualquiera que fuera la legislación aplicable, toda autoridad de control es competente paraejercitar, exclusivamente dentro de los límites del territorio nacional de dicha autoridad, lasfacultades que se enumeran en el artículo 28.3.

Asimismo, la jurisprudencia del TJUE pone de manifiesto que las autoridades de controlcarecen de competencia para imponer sanciones en los casos en que su legislación nacionalsobre protección de datos no resulta de aplicación.

En relación con el presente caso, Facebook Inc. destaca lo siguiente:

. La conducta que es objeto de reproche se realiza íntegramente en Estados Unidos. FacebookSpain no presta servicios ni a Facebook Inc. ni a WhatsApp.. El ejercicio por la AEPD de su competencia en Estados Unidos es incompatible con losprincipios básicos del derecho internacional público.. Pretende sustentar la jurisdicción de la AEPD en la conclusión de que la ley aplicable es laespañola ignora el hecho de que ley aplicable y jurisdicción son conceptos jurídicos totalmentedistintos y necesitan ser analizados por separado.. Dado que la ley española no es de aplicación, resulta claro de la jurisprudencia del TJUE quela AEPD carece de jurisdicción para imponer sanciones.

5. En cuanto al fondo del asunto, señala lo siguiente:

A. Sin perjuicio de que WhatsApp considera que ha obtenido el consentimiento válido paracompartir datos de las cuentas de los usuarios de WhatsApp europeos (incluyendo españoles)para mejorar las experiencias en Productos y Anuncios de Facebook, aún no se ha comenzadoni se comenzará hasta que WhatsApp llegue a un acuerdo con el DPC sobre ese extremo.Cualquier comunicación se produciría, en todo caso, con Facebook lreland. En cualquier caso,no cabe la posibilidad de justificar ninguna sanción (ni a Facebook Inc. ni a ninguna otraentidad) por comunicaciones de datos que aún no han comenzado.

B. Aunque comenzara el tratamiento de datos de las cuentas de los usuarios de WhatsApp confines de Seguridad y Protección, que permitiera la identificación de actores maliciosos entre lasdistintas plataformas, podría estar amparada en la base legal recogida en el artículo 7.f de laDirectiva (interés legítimo). También sería lícita sobre la base del consentimiento de losusuarios, al estar permitida tanto por la política de privacidad de WhatsApp, y sobre la base dela necesidad contractual, ya que la prestación del servicio cuya utilización contratan losusuarios depende de la capacidad de WhatsApp (y de Facebook lreland) de prestar un servicioseguro.

C. El tratamiento por Facebook Inc. de los datos de las cuentas de los usuarios de WhatsApppara los Servicios de Soporte, incluidos los fines analíticos, es lícito y conforme al concepto de“encargado del tratamiento”. Se rige por un contrato que cumple igualmente los criteriosformales y materiales establecidos en la Directiva (aunque se trate de dos empresasestadounidenses), en el que se identifica a WhatsApp como responsable del tratamiento de losdatos personales, como parte que determina los fines y medios del tratamiento de dichosdatos, ya Facebook Inc. como el encargado del tratamiento que trata los datos por cuenta deWhatsApp y de conformidad con sus instrucciones.

Las actividades de tratamiento se detallan en el Anexo 2 del contrato e incluyen la prestación


26/79

de diversos servicios analíticos, siendo WhatsApp la entidad que se beneficia de laidentificación de los usuarios únicos de los servicios, así como de las características y lafrecuencia de uso, para la mejora de sus productos y servicios.

El Grupo del Artículo 29 señala que las relaciones contractuales entre las partes generan unapresunción sobre qué parte ha de ser considerada como responsable o encargado en larelación.

6. Facebook Inc. es un encargado del tratamiento de los Datos Personales de WhatsApp y notrata datos para sus fines propios, ni tampoco decide la finalidad, los medios, el contenido ni eldestino del tratamiento; por tanto, no es de aplicación el artículo 6 de la LOPD. Este artículoúnicamente se aplica a las entidades que tratan datos personales para sus propios fines, y quedecidan sobre la finalidad, medios, contenido y destino del tratamiento (artículo 3 d) de laLOPD).

La prestación de los Servicios de Soporte no puede llevar a la conclusión de que Facebook Inc.trata los datos de los usuarios españoles de WhatsApp para sus propios fines y en su propiobeneficio. Facebook Inc. es la encargada del tratamiento en el caso que nos ocupa y no existenargumentos para que la AEPD aplique el artículo 6 de la LOPD (que se refiere a responsablesdel tratamiento) a proveedores de servicios que actúen como encargados del tratamiento.

Si la LOPD fuera aplicable al tratamiento en cuestión, el artículo relevante sería el artículo 12de la LOPD, que regula las relaciones contractuales entre responsables y encargados deltratamiento y ampararía los servicios prestados por Facebook Inc. a WhatsApp.

7. El hecho de que Facebook Inc. se sirva de otra información para prestar los serviciosanalíticos a Whatsapp no le convierte en responsable del tratamiento de los datos de lascuentas de los usuarios de Whatsapp.

En relación con la posibilidad de que Facebook Inc. “de-duplique” datos personales, alega quese realiza en su condición de encargado de tratamiento, para prestar los servicios de soporteen beneficio de WhatsApp. Para ello, puede utilizar varias fuentes que tiene disponibles, coninformación relativa a otros productos de las aplicaciones del grupo Facebook, y prepararestudios comerciales sobre el conjunto de los usuarios de WhatsApp y sobre cómo podríanafectarle los desarrollos externos en la operativa de su plataforma.

La prestación por parte de Facebook Inc. de servicios de analítica, incluyendo la actividad decomparación de datos personales que podría conllevar dichos servicios, se lleva a cabo consujeción a las instrucciones de WhatsApp y al contrato suscrito por ambas entidades, y con lasfinalidades definidas por la misma, sin que se produzca ninguna transmisión, derechos obeneficios de los datos de WhatsApp a Facebook Inc. en virtud del dicho contrato.

El poder de decisión de Facebook Inc. está limitado a determinar los medios técnicos yorganizativos para llevar a cabo del tratamiento, los cuales tienen que ser reportados y puedenser auditados por WhatsApp tal y como señala el contrato. Conforme a lo señalado en elDictamen del Grupo del Artículo 29 es perfectamente posible que los medios técnicos yorganizativos los determine exclusivamente el encargado del tratamiento de los datos. En estoscasos, los medios deberían representar una vía razonable para alcanzar el o los fines y elresponsable del tratamiento debería estar plenamente informado de los medios utilizados (...)”.


27/79

Como resultado de los Servicios de Soporte, Facebook no contacta ni establece un vínculodirecto con los usuarios españoles de WhatsApp, que mantienen la relación contractualdirectamente y solo con WhatsApp. Asimismo, de acuerdo con lo establecido en la Cláusula 11del contrato “Una vez resuelto, ejecutado o finalizado el presente Contrato, o en cualquiermomento en que se lo indique WhatsApp Inc, Facebook Inc deberá eliminar sin dilación, o (siasí se le solicita) devolver, todos los Datos Personales de WhatsApp puestos a disposición deFacebook Inc en virtud del presente Contrato.”

Por otra parte, los Datos Personales Españoles de WhatsApp solo pueden ser accedidos porFacebook Inc. en la medida en que ello sea estrictamente necesario. Ello es completamenteinconsistente con cualquier sugerencia de que Facebook Inc. es el responsable del fichero dedichos datos personales y de que los utiliza para sus propios fines.

Además, cuando Facebook Inc., actuando como encargado del tratamiento para prestar losservicios analíticos, compara datos de los usuarios españoles del servicio de WhatsApp y delservicio de Facebook, los resultados son información agregada y anonimizada (que no puede,bajo ningún concepto, considerarse dato personal). Así, WhatsApp, cuando recibe los serviciosanalíticos, no cede (de responsable a responsable) información sobre sus usuarios españolescon Facebook lreland u otras compañías del grupo (familia) Facebook. Además, WhatsApp haordenado a Facebook Inc. que solo facilite información agregada y anonimizada a Facebook ya otras entidades del grupo Facebook.

No se lleva a cabo una de-duplicación que implique una cesión de datos de responsable delfichero a responsable, en los términos del artículo 47 del RD 1720/2007. No hay comparaciónentre las actividades descritas en el citado artículo y el servicio analítico que se presta y queestá siendo analizado. En este sentido, la AEPD señaló, en su Informe Jurídico 0364/2015, quelas actividades de cruce de datos que constituyen una cesión de datos (de responsable aresponsable) deben reunir los siguientes requisitos:“…se pretende que, tras el cruce de bases de datos de clientes, se genere un nuevo ficherocon aquellos que no son clientes de la empresa primitiva… la depuración constituye unaverdadera cesión o comunicación de datos, puesto que en definitiva por esta vía se obtienenpor una entidad datos de clientes de otra entidad, que no eran suyos propios, pasando a estara su disposición para realizar las promociones publicitarias que tuviera por conveniente.”

Esto es diferente de los tratamientos de los Servicios de Soporte llevados a cabo por FacebookInc. como prestador de servicios. En este caso, el tratamiento (i.e. el análisis de datos) no selleva a cabo con fines de marketing, sino con fines estadísticos y administrativos, en particularpara facilitar a WhatsApp con estudios útiles sobre sus usuarios (de forma agregada) y sobresu negocio. Además, el contrato expresamente prohíbe el uso de los datos de los usuarios deWhatsApp con fines de marketing.

Además, dado que los resultados de los servicios de analítica son agregados y anónimos,Facebook Inc. (por cuenta de WhatsApp) no crea nuevos ficheros de datos personales quepueda usar para fin alguno o que pueda facilitar a otras compañías del grupo Facebook. Porello, los servicios de analítica de Facebook Inc. (prestados como parte de los Servicios deSoporte) no pueden ser considerados, ni comparados con la de-duplicación de datos en lostérminos del artículo 47 del RD 1720/2007, dado que el artículo 47 requiere la creación y cesiónde un nuevo fichero de datos personales utilizado para finalidades de marketing.

8. Finalmente, hace notar que la familia (el grupo) de empresas Facebook se encuentra


28/79

actualmente revisando y actualizando sus productos y servicios para mejorar el cumplimientode los requisitos que exigirá el próximo RGPD. En la medida en que la AEPD ha señalado unaserie de preocupaciones respecto a la comunicación de datos entre WhatsApp y otrosmiembros de la familia (del grupo) de Facebook, tales preocupaciones podrán encontrarrespuesta en el marco de los cambios que se están realizando de cara a la próxima entrada envigor del RGPD. Estos cambios se implementarán antes del 25 de mayo de 2018, fecha deentrada en vigor del RGPD.

9. En cuanto a los criterios sancionadores, considera que no son aplicables a Facebook Inc., enla medida en que no opera en ni dirige sus actividades al mercado español ni existe vínculoalguno entre la actividad de Facebook Inc. y el tratamiento de los datos en cuestión.

Por otra parte, entiende que ha de tenerse en cuenta que la cesión de datos con la finalidad deProductos y Anuncios o con fines de Seguridad y Protección no ha comenzado en relación conlos usuarios españoles (y, en todo caso, sería Facebook Ireland -y no Facebook Inc.- elcorrespondiente responsable –cesionario- de la citada cesión).

Según Facebook Inc., alguno de los factores considerados por la AEPD como circunstanciasagravantes debería operar como atenuante, en particular, que no ha existido intención deinfringir la Ley y la existencia de un contrato de encargo de tratamiento.

SÉPTIMO: En fecha 23/11/2017, se personó en esta Agencia un representante de FACEBOOK,INC. para tomar vista del expediente y obtener copia de los documentos que forman parte delmismo, la cual le fue entregada en ese acto.

OCTAVO: En fecha 22/12/2017, se personó en esta Agencia un representante de WHATSAPP,INC. para tomar vista del expediente y obtener copia de los documentos que forman parte delmismo, la cual le fue entregada en ese acto.

NOVENO: Con fecha 22/12/2017, se emitió propuesta de resolución en el sentido de que por laDirectora de la Agencia Española de Protección de Datos se sancione a WHATSAPP, INC. conmulta de 300.000 euros (trescientos mil euros) por la infracción del artículo 11 de la LOPD,tipificada como grave en el artículo 44.3.k) de dicha norma; y a la entidad FACEBOOK, INC.con multa de 300.000 euros (trescientos mil euros) por la infracción del artículo 6 de la LOPD,tipificada como grave en el artículo 44.3.b) de la misma Ley Orgánica.

La propuesta de resolución fue remitida a la entidad WHATSAPP, INC., a su domicilioen Estados Unidos, y a FACEBOOK, INC., a su domicilio en Estados Unidos y al domiciliosocial de Facebook Spain, S.L., para que ésta diese traslado de la citada propuesta aFACEBOOK INC., a fin de que en el plazo de quince días hábiles pudieran a alegar cuantoconsiderasen en su defensa y presentasen los documentos e informaciones que estimaranpertinentes, de acuerdo con el artículo, de acuerdo con el artículo 89.2 en relación con el art.73.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de lasAdministraciones Públicas.

DECIMO: La propuesta de resolución fue remitida a la entidad FACEBOOK, INC., tanto en sudomicilio en Estados Unidos como en el domicilio social de Facebook Spain, S.L.

Con fecha 09/01/2018, tuvo entrada en esta Agencia un escrito de la entidadFACEBOOK, INC., redactado en inglés (adjuntando la correspondiente “Traducción a efectos


29/79

informativos”), en el que se solicitaba una ampliación del plazo otorgado para realizaralegaciones a la propuesta de resolución, advirtiendo sobre los retrasos que conlleva lanotificación efectuada en castellano y en el domicilio de Facebook Spain, S.L., circunstanciasque califica como defectos procesales. Añade, asimismo, que la ampliación de plazo solicitadano perjudica a ningún tercero.

Esta solicitud fue desestimada por el instructor del procedimiento, considerando quedurante la instrucción del mismo no se ha incorporado ningún nuevo elemento de conviccióndistinto de los que constaban en el momento en que fueron formuladas las alegaciones alacuerdo de apertura; que no se ha practicado prueba adicional alguna; y que ya disfrutó de unaampliación del plazo que le fue concedido para formular aquellas alegaciones a la apertura delprocedimiento.

Se tuvo en cuenta, asimismo, que en la notificación de la citada propuesta de resoluciónse le concedió un plazo de quince días para formular alegaciones, y no el de diez días que concarácter general viene concediendo esta Agencia de conformidad con lo establecido en laLPACAP, en atención a las circunstancias que concurren en este supuesto y, especialmente, laresidencia fuera de España de FACEBOOK, INC. (artículo 32.2 de la LPACAP).

Por otra parte, se advirtió a la citada entidad sobre lo dispuesto en el artículo 15 de lacitada LPACAP, según el cual “la lengua de los procedimientos tramitados por la AdministraciónGeneral del Estado será el castellano”.

DECIMOPRIMERO: Con fecha 17/01/2018, tuvo entrada en esta Agencia un escritopresentado por la entidad WHATSAPP INC., redactado en inglés y acompañado de una versióntraducida, el cual está relacionado con la “resolución” dictada en el procedimiento, según señaladicha entidad expresamente en el mismo escrito, si bien advierte que aún no ha recibido copiade la misma.

En dicho escrito, WHATSAPP INC. manifiesta que esa “resolución” se basa en varios erroresfácticos, a los que responderá una vez le sea notificada, y alude a su posición en cuanto a leyaplicable y competencia en este asunto.

Después de indicar que contacta con la Agencia para aclarar una cuestión fundamental, ponede manifiesto lo siguiente:

“…la resolución se fundamenta en la asunción de que WhatsApp está comunicando datos delas cuentas de usuarios españoles de WhatsApp a Facebook, Inc. con la finalidad de businessanalytics en el marco de una cesión de responsable a responsable. Esta conclusión se basa enuna interpretación de algunos fragmentos de la Política de Privacidad de WhatsApp. Estainterpretación (con la que discrepamos) no refleja la realidad del tratamiento de datos que enrealidad tiene lugar. Además, aparentemente, la Agencia Española de Protección de Datos(“AEPD”) no ha tenido en cuenta las manifestaciones fácticas que WhatsApp realizó a esterespecto en su escrito de 24 de octubre de 2017.

WhatsApp desea reafirmar que todas las actividades que conllevan tratamiento de datos con lafinalidad de business analytics relacionadas con datos de las cuentas de usuarios españolesde WhatsApp entre WhatsApp y Facebook, Inc. tienen lugar exclusivamente sobre la base deuna relación entre responsable y encargado de tratamiento y, únicamente, de conformidad conel Contrato de Encargo de Tratamiento de Datos de 7 de noviembre de 2016 copia del cual se


30/79

ha facilitado a la AEPD (el “Contrato”). Para ofrecer los “Servicios Analíticos” descritos en elAnexo 2 del Contrato, se exige a Facebook, Inc. actuar exclusivamente como encargado deltratamiento y en todo momento por cuenta de WhatsApp. Para un mayor detalle en estacuestión nos remitimos, en particular, a la cláusula 7 del Contrato, junto con las instruccionescontenidas en el Anexo 2.

Dicho de forma simple: en lo relativo a los Servicios Analíticos, WhatsApp no comparte datosde las cuentas de usuarios españoles de WhatsApp con Facebook, Inc. en el marco de unarelación de responsable a responsable.

De hecho, tal y como se ha explicado a la AEPD en escritos anteriores, a día de hoy, no se haproducido ninguna transferencia de datos d las cuentas de usuarios españoles de WhatsApp aFacebook, Inc. (o a cualquier otra compañía de la Familia Facebook) para ningún tipo definalidad en el marco de una relación de responsable a responsable.

Para lo que pudiera servir de ayuda a la AEPD, les confirmamos sin que quepa lugar a dudaalguna en esta cuestión que WhatsApp no realizará transferencias de datos de cuentas deusuarios españoles de WhatsApp a Facebook, Inc. (ni a ninguna otra compañía de la FamiliaFacebook) en el marco de una relación de responsable a responsable — para ningún tipo definalidad, incluyendo Ja finalidad de business analytics — antes de que el Reglamento Generalde Datos Personales (“RGDP”) sea de aplicación el próximo 25 de mayo de 2018 y, conposterioridad a esta fecha, solamente después de haber revisado la causa de legitimación paradicha comunicación con el Data Protection Comissioner, su autoridad supervisora bajo elRGPD”.

DECIMOSEGUNDO : Con fecha de entrada en esta Agencia 19/01/2018, FACEBOOK INC.presentó escrito de alegaciones a la propuesta de resolución de fecha 22/12/2017, redactadoen inglés y acompañado de una versión traducida, en el que alega, básicamente, que ladesestimación de la ampliación del plazo que le fue concedido para formular dichas alegaciones haprovocado que no pueda preparar y finalizar su respuesta en plazo, en perjuicio de su derecho dedefensa.

Considera que su solicitud de ampliación de plazo era razonable y necesaria, considerandoque la propuesta de resolución no fue notificada a Facebook, Inc. en su domicilio social deEstados Unidos, sino en el de Facebook Spain S.L., que no es formalmente parte delprocedimiento ni representante legal de Facebook, Inc. a estos efectos. Además, esanotificación se produce el 28/12/2017, en plenas vacaciones, cuando la mayoría de lostrabajadores de Facebook Spain y Facebook, Inc. estaban fuera de la oficina, y a pesar de quehabía recibido el escrito de alegaciones de Facebook, Inc. en respuesta al escrito de inicio delprocedimiento con más de dos meses de antelación (el 13/10/2017).

Y añade que se le remitió una única versión de la propuesta en español, no habiendo dispuestode la traducción al inglés hasta el día 05/01/2018; que se trata de un documento extenso ycomplejo, que excede en más del doble al escrito original; y que el otorgamiento de laextensión de plazo no hubiera perjudicado a ningún tercero.

En relación con esta cuestión, que califica como defectos formales y procedimentales, ysalvando su posición general acerca de la jurisdicción y leyes aplicables en este caso,manifiesta que no se comunicó la desestimación de la ampliación del plazo hasta el18/01/2018, que supone un trato diferenciado por parte de la AEPD respecto a otras compañías


31/79

sin motivo aparente alguno, y que es contraria a las expectativas razonables de FACEBOOKINC., en la medida que en todos los procedimientos previos frente a la AEPD se le hanotorgado plazos similares.

Por otra parte, deja constancia de su propósito de no perder la ·limitada oportunidad” que se leha proporcionado para, al menos, aclarar una cuestión fundamental. Y añade lo siguiente:

“En el Escrito, la AEPD está asumiendo que Facebook, Inc. está recibiendo por parte deWhatsApp, Inc. (“WhatsApp”) datos de las cuentas de usuarios de WhatsApp españoles parafines analíticos de responsable-a-responsable del tratamiento. Tal y como Facebook, Inc. haexplicado en su escrito de 13 de octubre de 2017, esto no es cierto.

Queremos reiterar que todas las actividades de tratamiento de datos con fines analfticos quese refieren a datos de las cuentas de usuarios de WhatsApp españoles entre WhatsApp yFacebook, Inc. se realizan únicamente en el contexto de una relación responsable-encargado.En lo relativo a estas actividades, Facebook, Inc. actúa exclusivamente en nombre deWhatsApp y siguiendo sus instrucciones bajo el Contrato de Encargo del Tratamiento, de 7 denoviembre de 2016, al que nos referimos en nuestro anterior escrito (el “DPA”). Para prestarestos “Servicios Analíticos” descritos en el Anexo 2 del DPA, Facebook, Inc. necesariamentetiene que, tal y como hace, operar como encargado del tratamiento, actuando siempre porcuenta y en nombre de WhatsApp.

Los hechos y la verdad de este caso son, al contrario de la asunción en la que se basa elEscrito, que en relación con los Servicios Analíticos, Facebook, Inc. no recibe datos de lascuentas de usuarios de WhatsApp españoles por parte de WhatsApp con carácter de cesión deresponsable-a-responsable.

De hecho, podemos ir más allá. Como se ha explicado a la AEPD en escritos anteriores, hastaeste momento, Facebook, Inc. (o cualesquiera otra entidad del grupo de compañías de lafamilia Facebook) no ha recibido ningún dato de las cuentas de usuarios de WhatsAppespañoles para ser tratados de responsable-a-responsable para ningún fin. Queremos despejarcualquier posible duda a este respecto confirmando que Facebook, Inc. (o cualesquiera otrasentidades del grupo de compañías de la familia Facebook) no recibirá ningún dato de lascuentas de usuarios de WhatsApp españoles por parte de WhatsApp, para ningún fin, en elmarco de una relación de responsable-a-responsable antes de que el Reglamento General deProtección de Datos (“RGPD”) sea aplicable el 25 de mayo de 2018.

Tras esa fecha, los datos de las cuentas de usuarios de WhatsApp españoles solo secompartirán con otras entidades del grupo de compañías de la familia Facebook tras revisar elfundamento jurídico que permita tal cesión con la Autoridad Irlandesa de Protección de Datos(Irish Data Protection Commissioner), la autoridad de control principal del servicio de WhatsAppy Facebook en la UE bajo el RGPD.

Si se nos hubiese proporcionado el tiempo suficiente para responder a fondo al Escrito,hubiésemos proporcionado motivos adicionales (tanto de hecho como de derecho) de por quélas alegaciones del Escrito no están justificadas. Sin embargo, basta la informaciónproporcionada en los párrafos anteriores para ver que las alegaciones previstas en el Escritocarecen de fundamento, por lo que solicitamos el archivo del procedimiento”.

DÉCIMOTERCERO: La entrega a WHATSAPP, INC. del escrito que le fue remitido a su


32/79

domicilio en Estados Unidos, por el que se le notificaba la propuesta de resolución reseñada enel Antecedente Noveno, no ha sido confirmada por el Servicio de Correos.

No obstante, con fecha 22/01/2018, se personó en esta Agencia un representante deWHATSAPP, INC. para obtener una copia del escrito de notificación de la propuesta deresolución, expresamente autorizado para ello por esa entidad. En dicho acto le fue entregadael citado escrito de notificación.

Con fecha 25/01/2018, tuvo entrada en esta Agencia un escrito de la entidadWHATSAPP, INC., redactado en inglés (adjuntando la correspondiente “Traducción a efectosinformativos”), en el que se solicitaba una ampliación del plazo otorgado para realizaralegaciones a la propuesta de resolución, advirtiendo que la propuesta no había sido entregadatodavía en Estados Unidos y que la misma sólo consta en castellano. Añade, asimismo, que laampliación de plazo solicitada no perjudica a ningún tercero.

Esta solicitud fue desestimada por el instructor del procedimiento conforme a loscriterios ya expuestos en el Antecedente Décimo.

DÉCIMOCUARTO: Con fecha 16/02/2018, se recibió el escrito de alegaciones a la propuestade resolución elaborado por la entidad Whatsapp en el que reproduce, básicamente, losargumentos expuestos en sus escrito anteriores, como fundamento para su solicitud de archivode actuaciones:

1. En relación con los hechos analizados, reitera que no ha iniciado las cesiones de datos delas cuentas de usuarios de responsable a responsable a Facebook Inc., conforme alcompromiso asumido por ambas entidades, al menos hasta la entrada en vigor del ReglamentoUE 2016/679 en mayo de 2018, del que ya dieron cuenta en escritos anteriores. Reiteran,asimismo, que las únicas cesiones que se producen se llevan a cabo en virtud del contrato deencargo del tratamiento suscrito por ambas entidades para recibir ciertos servicios detratamientos de datos especificados en beneficio de Whatsapp, y no para mejorar los productosde Facebook Inc. o permitir a la misma anuncios más relevantes, por lo que no se incumple loestablecido en el artículo 11 de la LOPD. En este caso, aunque fuera aplicable la LOPD, larelación entre las citadas entidades estaría sujeta al artículo 12 de dicha norma.

Y advierte que, en todo caso, esa cesión de haberse producido, sería lícita al disponer delconsentimiento de los usuarios españoles, por virtud de lo establecido en el artículo 7.f de laDirectiva 95/46/CE, que admite la cesión de datos en supuestos en los que proceda apreciar elinterés legítimo.

Alega nuevamente que se ha interpretado erróneamente su escrito de respuesta alrequerimiento de información que le fue efectuado durante la fase previa de investigación y queno existe prueba alguna sobre cesiones de datos indiscriminadas, como se ha evidenciado porlas dos empresas citadas en escritos remitidos a la AEPD.

A este respecto, ya señaló a la Agencia que las autoridades de control han venido examinandolas actividades de comunicación de datos, que facilitó al público información clara ytransparente en el momento de la actualización, que ya fue objeto de análisis por la AEPD conresultado satisfactorio, y que ciertas comunicaciones de datos nunca han llegado a tener lugarde acuerdo con las conversaciones mantenidas con el DPC, autoridad europea concompetencia sobre Facebook Irlanda, la cual ha confirmado públicamente que la cesión de


33/79

datos con fines de productos y publicidad de Facebook no tiene ni ha tenido lugar a esta fecha.Y añade que la Agencia debería igualmente considerar las conversaciones mantenidas con elGrupo de Trabajo del Artículo 29 sobre la forma de obtener el consentimiento de usuarioseuropeos para el intercambio de datos personales (en una reunión de 25/01/2018, Whatsappexplicó que había tomado la decisión de no seguir compartiendo datos con fines de productos ypublicidad de Facebook Inc.

Considera que la Agencia ha interpretado erróneamente el servicio de correlación que prestaFacebook Inc. para el recuento exacto de usuarios únicos de Whatsapp, sujetas a lasrestricciones previstas en el Contrato de encargo de tratamiento, de modo que aquellaúnicamente puede utilizar los datos personales que reciba para prestar a Whatsapp serviciosde soporte, sin posibilidad de ceder tales datos a otras empresas del grupo ni la de crear unanueva base de datos con los datos de las cuentas de usuarios de Whatsapp. No es aplicable alrespecto, en este caso, el artículo 47 del Reglamento de desarrollo de la LOPD, según lapropia doctrina de la AEPD, incluyendo su informe jurídico 0364/2015, por lo que no existe unsupuesto de cesión que permita a Facebook Inc. mejorar la experiencia de publicidad yproductos que ofrece.

Nada en las investigaciones ni en los documentos que forman parte del expediente evidenciaque efectivamente los datos se estén cediendo de responsable a responsable. La propuesta deresolución, en concreto, confunde la cesión con el intercambio de información de responsable aencargado del tratamiento y se apoya sin justificación alguna en citas extraídas de la Políticade Privacidad (global) de Whatsapp, a pesar de que ha optado por no ceder los datos enmuchas de las formas permitidas por dicha política y sus preguntas frecuentes. La Política dePrivacidad es un documento de carácter global que no impide que Whatsapp cumpla lanormativa local aplicable en cada mercado.

En definitiva, confunde una actividad hipotética que podría iniciarse en el futuro con el acceso adatos por un encargado del tratamiento que si está teniendo lugar, hasta el punto de que en elFundamento de Derecho XI no establece distinción entre ambas situaciones. E ignora lasPreguntas Frecuentes, que claramente sostienen que este tipo de cesiones no se está llevandoa cabo.

Considera, igualmente, que la propuesta se apoya en una mala interpretación de lasmanifestaciones de las entidades intervinientes, sin considerar que el acceso y tratamiento delos datos de usuarios de Whatsapp por Facebook Inc. en la UE, tal y como se aclara en elcontrato, está restringido a la utilización de los datos para la prestación de servicios, bajo elcontrol de Whatsapp y en beneficio de ésta; que no se comparte el contenido de los mensajes,cifrados de extremo a extremo; que únicamente han admitido que Whatsapp da acceso a unconjunto limitado de datos en el marco de la relación contractual aludida, dentro de lasrestricciones incluidas por dicho contrato sobre el alcance y objeto del tratamiento que puederealizarse (no tiene sentido afirmar, como hace la propuesta, que “no se establece restricciónalguna sobre los datos que se cederán en relación con las finalidades expresadas, salvo la yaindicada sobre los mensajes de Whatsapp”); y que Whatsapp no ha admitido que su Política dePrivacidad no limite la información que comparte.

2. Considera que su derecho de defensa y a un procedimiento justo ha sido ignorado, lo que asu juicio conlleva la nulidad del procedimiento, al no haberse comunicado debidamente condicha entidad y no haber presentado las pruebas que respaldan la postura de la AEPD sobre lacesión de datos,.


34/79

En cuanto a los vicios del procedimiento atribuibles a la AEPD, señala en primer término que nose entregó a Whatsapp, en tiempo y forma, la correspondiente documentación procesal. Conesta afirmación se refiere a la demora producida en la notificación de la propuesta deresolución, sobre la que no tuvo información a pesar de haberla requerido en diversasocasiones, y que finalmente tuvo que producirse mediante su entrega en las oficinas de laAEPD a un abogado local, a sugerencia de la persona responsable de la investigación. Conello se incumple la obligación de notificar correctamente al investigado, que es el destinatariode la propuesta, dejando la entrega de la misma a la responsabilidad e iniciativa de Whatsapp.

Añade que una semana después llegó la copia al domicilio de la entidad en California, con unretraso que no ha sido explicado, en un intento de la AEPD de corregir el defecto consistenteen la falta de notificación anterior de dicha documentación.

Por otra parte, señala que se denegó de forma irrazonable la habitual ampliación de los plazossolicitada, infringiendo las legítimas expectativas de Whatsapp, en particular teniendo encuenta la extensión de la propuesta, elaborada en español, y que se trata de una empresaestadounidense.

Se refiere nuevamente a la utilización de información obtenida en anteriores procedimientos deinvestigación, que concluyeron que el tratamiento era lícito para apoyar ahora un resultadodistinto.

Se produce un error en la identidad del responsable del tratamiento de los datos personales delservicio Facebook en la UE, incluyendo España, a pesar de la descripción de las funciones yresponsabilidades de la familia de empresas Facebook aportada.

Y existe un intento de basar las conclusiones en el RGPD, que aún no se encuentra en vigor, alreferirse en la propuesta a lo señalado en su Considerando 43.

3. E insiste en la no aplicación de la LOPD a una sociedad que no tiene presencia en España niutiliza medios situados en este país. La AEPD no explica porque la aplicación de un softwareconstituye en “medio” para el tratamiento de datos personales ni ofrece razón que justifique porqué tales medios no estarían siendo utilizados “únicamente con fines de tránsito”. Whatsapprecibe, de forma pasiva, datos del usuario a través de un dispositivo que se encuentraíntegramente bajo su control, sin que exista ninguna actividad por parte de esa entidad endicho dispositivo.

En todo caso, si se entendiera que los teléfonos en los que se encuentra instalada la aplicaciónconstituyen medios que utiliza Whatsapp, tales medios estarían siendo utilizados únicamentepara transmitir datos personales desde el teléfono hasta los servidores ubicados en EstadosUnidos. No existe base alguna en la Directiva para que el equipo tenga la consideración de“equipo de transmisión”.

Además, advierte que el artículo 4, apartado 1, letra c), de la Directiva no resulta de aplicaciónporque el responsable del tratamiento ya dispone de un establecimiento en un Estado miembro(Irlanda), según consta acreditado ante la Agencia mediante la documentación constitutiva. Porello, si la AEPD alberga dudas sobre las actividades de tratamiento de datos personales quepudiera realizar WhatsApp, deberá ponerse en contacto con el DPC, por ser ésta la únicaautoridad de control facultada para sancionar a WhatsApp.


35/79

En relación con la competencia de las autoridades de control, ha de considerarse lo establecidoen el artículo 28 de la Directiva, al que no se refiere la Agencia. Afirmar la jurisdicción de laAEPD sobre Whatsapp viola el principio de soberanía territorial, que equivaldría a unaafirmación de extraterritorialidad. Si la Agencia fuera competente y gozara de jurisdicción, susfacultades se limitarían a llevar a cabo una investigación y no a la imposición de sanciones.

El TJUE ha reconocido la necesidad de que las autoridades de control respeten la soberaníaterritorial y, en el Asunto 230/14, Weltimmo, ha diseñado un marco específico para el ejercicio dela potestad sancionadora que tiene en cuenta las exigencias de la soberanía territorial:"56. En efecto, como señaló el Abogado General en el punto 50 de sus conclusiones, de lasexigencias derivadas de la soberanía territorial del Estado miembro de que se trate, del principiode legalidad y del concepto de Estado de Derecho se desprende que el ejercicio de la potestadsancionadora no puede tener lugar, en principio, fuera de los límites legales dentro de loscuales una autoridad administrativa está autorizada para actuar, sujeta al Derecho de su propioEstado miembro".

Así, y de conformidad con el TJUE, el principio de soberanía territorial del Estado miembrosupone que dicha autoridad de control únicamente puede sancionar la infracción de las normasestablecidas por el Estado miembro al que dicha autoridad pertenece, e igualmente que solopuede ejercitar su potestad sancionadora en aquellos casos en que el responsable del tratamientose encontrara directamente establecido en el Estado miembro al que pertenece dicha autoridadde control. Claramente, este no es el caso en el supuesto que nos ocupa, ya que WhatsApp noestá establecida en España.

En definitiva, no hay ninguna base en la normativa de protección de datos, o en el derechointernacional, que permita a la AEPD ejercer jurisdicción extraterritorial sobre WhatsApp en laforma prevista en la Propuesta.

Asimismo, como expresara en su escrito de alegaciones a la apertura del procedimiento, reiteraque según el artículo 28 de la Directiva, con independencia de la legislación nacional aplicable,una autoridad de control es competente para ejercitar las competencias se listan en el apartado3, entre las que no se incluye imponer sanciones, y únicamente dentro de los límites geográficosdel territorio de dicha autoridad.

4. En cuanto a la graduación de la sanción, considera que las circunstancias agravantes queaprecia la AEPD no son aplicables por los siguientes motivos:(i) al no haberse incurrido en las supuestas infracciones, no cabe hablar de continuidad alguna delas mismas;(ii) no existe un vínculo entre las actividades de las partes realizadas al amparo de un contratoválido y las supuestas infracciones de la LOPD que se discuten;(iii) la AEPD no tiene en cuenta el hecho de que el volumen de información recopilada porWhatsApp de sus usuarios españoles es ínfimo;(iv) el volumen de negocio es irrelevante en un supuesto en el que se ha acreditado que noexiste intercambio alguno de datos en la forma alegada;(v) WhatsApp no genera ingresos y Facebook Inc. no presta el servicio propio de Facebook enla UE y, por lo tanto, no deriva ingreso alguno de su plataforma en España. Sorprendentemente,la AEPD no ha tenido en cuenta que la comunicación de datos conllevaría la comunicación deun volumen muy limitado de información, y que tendría un efecto igualmente limitado sobre losderechos y la privacidad de los usuarios españoles de WhatsApp;


36/79

(vi) no cabe atribuir negligencia o mala praxis a la conducta de WhatsApp o de Facebook Inc.; (vii) tanto WhatsApp como Facebook Inc. (en el contexto de estos procedimientossancionadores) y Facebook Irlanda (en el contexto de las investigaciones preliminares) hancooperado sin reservas con la AEPD y han facilitado a la AEPD toda la información solicitada,así como cualquier documentación requerida por la AEPD.

Además, no cabe considerar los ingresos de Facebook Inc. a efectos de la fijación de cualquiersanción que hubiera de imponerse a WhatsApp. De igual forma, una referencia vaga y genéricaal volumen mundial de facturación resulta injusta e inadmisible en términos de las disposicionessancionadoras españolas, dado que cualquier referencia en ese sentido debiera basarseexclusivamente en las cifras de la actividad española. En cualquier caso, Facebook Inc. carecede "actividad española" alguna, dado que cualquier relación contractual con los usuariosespañoles, así como cualesquiera ingresos derivados al respecto, corresponden a FacebookIrlanda, no a Facebook Inc.

Y entiende que han de considerarse las continuas ofertas de WhatsApp y Facebook Inc. defacilitar a la AEPD cualquier información adicional y los compromisos y garantías relativas a laausencia de actividad alguna de cesión de datos, de responsable a responsable. Por todas estasrazones, sería de aplicación lo dispuesto en el artículo 45.5, sin que quepa inferirintencionalidad alguna de la conducta de WhatsApp o Facebook Inc.

HECHOS PROBADOS

1. La entidad Whatsapp Inc. es una sociedad con sede social en California, Estados Unidos,responsable del servicio de mensajería instantánea denominado “Whatsapp”.

2. En el año 2014, la entidad Whatsapp Inc. fue adquirida por la entidad Facebook Inc., tambiéncon sede en California, Estados Unidos.

3. Con fecha 25/08/2016, la entidad Whatsapp Inc. publicó una actualización de los Términosde Servicio y de la Política de Privacidad de la aplicación “Whatsapp”.

4. Los usuarios del servicio mensajería “Whatsapp” existentes en el momento en que fuepublicada la actualización reseñada en el Hecho Probado Tercero, al acceder a la aplicación enun teléfono móvil recibieron un aviso informando sobre dicha actualización, con un enlace quepermitía acceder a la misma, así como una indicación advirtiendo que debía aceptarse lamisma en un plazo de 30 días.

Para la aceptación de los Términos de Servicio y de la Política de Privacidad se habilitó unbotón con la indicación “ACEPTAR”. La misma posibilidad se ofreció en el apartado deconfiguración Ajustes->Cuenta de la aplicación “Whatsapp”, opción “Compartir la info de micuenta”, con un botón de activación deslizante.

Asimismo, se ofreció un mensaje con un checkbox premarcado, con la leyenda “Compartir lainformación de mi cuenta de WhatsApp con Facebook para mejorar mi experiencia con losproductos y publicidad en Facebook. Tus chats y número telefónico no serán compartidos enFacebook independientemente de este ajuste”. Y en la base un botón destacado con laindicación “ACEPTAR”.


37/79

Si se desactivaba dicho checkbox aparecía el siguiente mensaje: “Después de pulsar“Aceptar”, la información de tu cuenta no será usada para mejorar tu experiencia con losproductos y publicidad en Facebook”.

Si se activaba de nuevo el checkbox aparecía el siguiente mensaje: “Después de pulsar“Aceptar”, la información de tu cuenta será usada para mejorar tu experiencia con losproductos y publicidad en Facebook”.

5. En el caso de usuarios nuevos o personas que pretenden descargar la aplicación“Whatsapp” con posterioridad a la actualización, durante dicha instalación se muestran enlacesa los Términos de Servicio y a la Política de Privacidad. Si se opta por instalar la misma, antesde utilizarla por primera vez, se muestra nuevamente un enlace a la información, además de unbotón etiquetado como “Aceptar y Continuar” que es necesario pulsar para avanzar. En estecaso, no se ofrece al usuario la posibilidad de consentir que su información sea compartida conFACEBOOK, INC. “para mejorar mi experiencia con los productos y publicidad en Facebook”.

6. Se declaran reproducidos, a efectos probatorios, los documentos “Términos de Servicio” y“Política de Privacidad” de la aplicación “Whatsapp” publicados en fecha 25/08/2016. De lainformación que contienen dichos documentos, se estima oportuno destacar los aspectossiguientes:

<<En nuestros Términos de servicio y Política de privacidad actualizados encontrarás lo siguiente…

. Nos unimos a Facebook en 2014. WhatsApp es parte de la familia de empresas de Facebook. NuestraPolítica de Privacidad explica cómo trabajamos en conjunto para brindarte una mejor experiencia; porejemplo, al combatir los mensajes no solicitados entre las aplicaciones, hacer sugerencias de productos,y mostrarte ofertas y publicidad relevantes en Facebook. Nada de lo que compartes en WhatsApp-incluyendo tus mensajes, fotos, e información de perfil será compartido en Facebook, o en alguna de lasaplicaciones que pertenecen a la familia de Facebook, para que otros los vean. De la misma manera, loque tú publiques en esas aplicaciones no será compartido en WhatsApp para que otros lo vean…

TÉRMINOS DE SERVICIO DE WHATSAPP

WhatsApp Inc. (“WhatsApp”, “nuestro’, “nosotros” o “nuestros”) ofrece mensajería, llamadas por internety otros servicios a usuarios alrededor del mundo. Por favor lee nuestros Términos de servicio paraentender los términos del uso de WhatsApp, Aceptas nuestros Términos de servicio (“Términos”) alinstalar, acceder o usar nuestras aplicaciones, servicios, funciones, software o sitio web (en conjunto,“Servicios”)…

Política de Privacidad y datos del usuarioWhatsApp se preocupa por tu privacidad. La Política de privacidad de WhatsApp describe nuestrasprácticas de información (como los mensajes), incluidos los tipos de datos que recibimos y recopilamosde ti y la forma en que usamos y compartimos esta información...

Otros…. Podemos modificar o actualizar estos Términos. Te avisaremos de las modificaciones a nuestrosTérminos, según sea apropiado, y actualizaremos la fecha de “Última modificación” en la parte superiorde nuestros Términos. Al continuar tu uso de nuestros Servicios, confirmas tu aceptación de nuestrosTérminos, con cualquier modificación. Si no estás de acuerdo con nuestros Términos y con susmodificaciones, debes dejar de usar nuestros Servicios. Por favor revisa nuestros Términos de vez encuando.. Todos nuestros derechos y obligaciones en nuestros Términos se asignan libremente a cualquiera de


38/79

nuestras afiliadas, en relación con una fusión, adquisición, restructuración o venta de activos, o poroperación de ley o de otro modo, y podemos transferir tu información a cualquiera de nuestras afiliadas,entidades sucesoras o propietarios nuevos...

POLÍTICA DE PRIVACIDAD DE WHATSAPP…

Cuando decimos “WhatsApp”, “nuestro”, “nosotros” o “nuestros” nos referimos a WhatsApp Inc. EstaPolítica de privacidad (“Política de privacidad”) se aplica a todas nuestras aplicaciones, servicios,funciones, software y sitio web (en conjunto, “Servicios”) a menos que se indique lo contrario…

Información recopiladaWhatsApp recibe o recopila información de nuestros usuarios cuando operamos y proveemos nuestrosServicios, incluso durante la instalación, el acceso o el uso de nuestros Servicios.

Información que tú proporcionas. La información de tu cuenta. Proporcionas tu número de teléfono móvil para crear una cuenta deWhatsApp. Nos proporcionas los números de teléfono de la libreta de direcciones de tu teléfono móvilregularmente, incluidos los de los usuarios de nuestros Servicios y los de los demás contactos de lalibreta de direcciones de tu teléfono móvil. Confirmas que estás autorizado a proporcionarnos dichosnúmeros. También puedes agregar otra información a tu cuenta, como un nombre de perfil, foto de perfily mensaje de estado.. Tus mensajes. No conservamos tus mensajes durante la prestación normal de nuestros Servicios. Unavez que se entregan tus mensajes (incluidos tus chats, fotos, videos, mensajes de voz, documentos einformación de tu ubicación), se eliminan de nuestros servidores. Tus mensajes se almacenan en tupropio dispositivo. Si un mensaje no puede entregarse de inmediato (por ejemplo, si estásdesconectado), podemos guardarlo en nuestros servidores por hasta 30 días mientras intentamosentregarlo… También ofrecemos cifrado de extremo a extremo… significa que tus mensajes estáncifrados para salvaguardarlos y que ni nosotros ni terceros los puedan leer.. Tus conexiones. Para ayudarte a organizar la forma en que te comunicas con los demás, podemoscrear una lista de tus contactos favoritos, y tú puedes crear grupos, unirte o dejar que te agreguen agrupos y listas de difusión. Dichos grupos y listas se asocian con la información de tu cuenta…

Información recopilada automáticamente. Uso e información de registro. Recopilamos información relacionada con el rendimiento, diagnóstico yservicio. Esto incluye información sobre tu actividad (como la forma en que usas nuestros Servicios, laforma en que interactúas con otros mediante nuestros Servicios y datos similares), archivos de registro,así como informes y registros de rendimiento, sitio web, fallos y diagnóstico.. Información sobre transacciones. Si pagas por nuestros Servicios podemos recibir información yconfirmaciones, como recibos de pago, incluidos los de las tiendas de aplicaciones o terceros queprocesen tu pago.. Información sobre tu conexión y dispositivos. Recopilamos información específica de tu dispositivocuando instalas, accedes o usas nuestros Servicios. Esto incluye información como el modelo dehardware, la información del sistema operativo, información sobre el navegador, la dirección IP einformación de la red móvil, incluido el número de teléfono y los identificadores del dispositivo.Recopilamos información sobre la ubicación de tu dispositivo si usas nuestras funciones de ubicación,así como cuando eliges compartir tu ubicación con tus contactos, ver lugares cercanos o aquellas queotros hayan compartido contigo y similares para fines de diagnóstico y solución de problemas, porejemplo, si tienes dificultades con la función de nuestra aplicación para compartir tu ubicación.. Cookies. Usamos cookies para operar y proveer nuestros Servicios, lo que incluye proveer nuestrosServicios basados en web, mejorar tus experiencias, entender cómo se usan nuestros Servicios ypersonalizar nuestros Servicios. Por ejemplo, usamos cookies para proveer WhatsApp paracomputadora y otros servicios basados en web. También podemos usar cookies para entender cuáles delas preguntas frecuentes de nuestro servicio de ayuda son más populares y para mostrarte contenidorelevante relacionado con nuestros Servicios. Además, podemos usar cookies para recordar tuselecciones, como tus preferencias de idioma, y también para personalizar nuestros Servicios para ti.


39/79

Obtén más información sobre cómo usamos las cookies para proveer nuestros Servicios.. Información sobre mensajes de estado. Recopilamos información sobre tus cambios de mensaje deestado y en línea en nuestros Servicios, como si estás en línea (tu ‘estado de conexión”), la última vezque usaste nuestros Servicios (tu ‘estado de última conexión”) y la última vez que actualizaste tumensaje de estado.

Información de terceros. Información que otros proporcionan sobre ti. Recibimos información que otras personas nosproporcionan, que puede incluir información sobre ti. Por ejemplo, cuando otros usuarios que conocesusan nuestros Servicios, pueden proporcionar tu número de teléfono de la lista de contactos de suteléfono móvil (así como tú puedes proporcionar el de ellos), o bien pueden enviarte un mensaje, enviarmensajes a los grupos a los que perteneces o llamarte.. Proveedores externos. Trabajamos con proveedores externos que nos ayudan a operar, proveer,mejorar, entender, personalizar y comercializar nuestros Servicios, así como ofrecer servicios de ayudapara nuestros Servicios. Por ejemplo, trabajamos con empresas para distribuir nuestras aplicaciones,ofrecer nuestros sistemas de infraestructura, de entrega y otros, proporcionar información de mapas ylugares, procesar pagos, ayudarnos a entender cómo la gente usa nuestros Servicios y comercializarnuestros Servicios. Estos proveedores externos pueden proporcionarnos información sobre ti en ciertascircunstancias; por ejemplo, las tiendas de aplicaciones pueden enviarnos informes que nos ayudan adiagnosticar y solucionar problemas con el servicio.. Servicios de terceros. Te permitimos usar nuestros Servicios en relación con servicios de terceros. Siusas nuestros Servicios con dichos servicios de terceros, podemos recibir información sobre ti por partede ellos. Por ejemplo, si usas el botón “Compartir” en WhatsApp en un servicio de noticias para compartirun artículo con tus contactos, grupos o listas de difusión de WhatsApp en nuestros Servicios, o sidecides acceder a nuestros Servicios por medio de la promoción de un operador de telefonía móvil o deun proveedor de dispositivos móviles. Ten en cuenta que cuando usas servicios de terceros, sus propiostérminos y políticas de privacidad regirán el uso de dichos servicios.

Cómo usamos la informaciónUsamos toda la información que tenemos para ayudarnos a operar, proveer, mejorar, entender,personalizar y comercializar nuestros Servicios, así como ofrecer servicios de ayuda para nuestrosServicios.. Nuestros Servicios. Operamos y proveemos nuestros Servicios, lo que incluye ofrecer un servicio deatención al cliente, así como mejorar, solucionar y personalizar nuestros Servicios. Entendemos cómousan las personas nuestros Servicios y analizamos y usamos la información que tenemos para evaluar ymejorar nuestros Servicios, investigar, desarrollar y probar servicios nuevos y funciones nuevas, asícomo llevar a cabo actividades para solucionar problemas con nuestros Servicios. También usamos tuinformación para responderte cuando te pones en contacto con nosotros. Usamos cookies para operar,proveer, mejorar, entender y personalizar nuestros Servicios.. Seguridad. Verificamos cuentas y actividades, y promovemos la seguridad dentro y fuera de nuestrosServicios, a través de la investigación de actividades sospechosas o infracciones de nuestros Términos,así como para asegurarnos de que nuestros Servicios se usen legalmente.. Comunicaciones sobre nuestros Servicios y la familia de empresas de Facebook. Nos comunicamoscontigo sobre nuestros Servicios y funciones y te informamos sobre nuestros términos y políticas, asícomo otras actualizaciones importantes. Podemos proporcionarte mercadotecnia para nuestros Serviciosy los de la familia de empresas de Facebook, de la cual ahora formamos parte.. Cero anuncios banner de terceros. No permitimos anuncios banner de terceros en WhatsApp. No esnuestra intención incluirlos, pero si alguna vez lo hacemos, actualizaremos esta política…

Información que tú y nosotros compartimosCompartes tu información mientras usas nuestros Servicios y te comunicas a través de ellos, y nosotroscompartimos tu información para ayudarnos a operar, mejorar, entender, personalizar, dar soporte ycomercializar nuestros Servicios.. Información de tu cuenta. Tu número de teléfono, nombre y foto de perfil, estado de conexión y mensajede estado, estado de última conexión y confirmaciones de lectura pueden estar disponibles para


40/79

cualquier persona que use nuestros Servicios, aunque puedes configurar los ajustes de nuestrosServicios para determinar qué información quieres que esté disponible para los demás usuarios.. Tus contactos y otros. Los usuarios con quienes te comunicas pueden almacenar o volver a compartirtu información (incluido tu número de teléfono o mensajes) con otros dentro y fuera de nuestrosServicios. Puedes usar los ajustes y la función de bloqueo en nuestros Servicios para administrar losusuarios de nuestros Servicios con quienes te comunicas y cierta información que compartes.. Proveedores externos. Trabajamos con proveedores externos que nos ayudan a operar, proveer,mejorar, entender, personalizar y comercializar nuestros Servicios, así como ofrecer servicios de ayudapara nuestros Servicios. Cuando compartimos información con proveedores externos, les exigimos queusen tu información en conformidad con nuestras instrucciones y términos o con tu permiso expreso…

Empresas afiliadasNos unimos a la familia de empresas de Facebook en 2014. Como parte de la familia de empresas deFacebook, WhatsApp recibe información de esta familia de empresas y comparte información con ellas.Podemos usar la información que recibimos de ellas, y ellas pueden usar la información quecompartimos con ellas, para ayudar a operar, proveer, mejorar, entender, personalizar y comercializarnuestros Servicios y sus ofertas, así como ofrecer servicios de ayuda para nuestros Servicios. Estoincluye ayudar a mejorar los sistemas de infraestructura y de entrega, entender cómo se usan nuestrosServicios o los de ellas, proteger los sistemas y combatir las actividades de infracción, abuso o mensajesno solicitados. Facebook y las demás empresas de la familia de Facebook también pueden usar nuestrainformación para mejorar tus experiencias con sus servicios, así como sugerencias (por ejemplo, deamigos o conexiones, o de contenido interesante), mostrar anuncios y ofertas relevantes. Sin embargo,tus mensajes de WhatsApp se mantienen privados y no se compartirán para que otros los vean enFacebook. De hecho, Facebook no usará tus mensajes de WhatsApp para ningún otro propósito distintodel de ayudarnos a operar y proveer nuestros Servicios.Para obtener información sobre la familia de empresas de Facebook y sus prácticas de privacidad,revisa sus políticas de privacidad.

Asignación, cambio, de control y transferenciaTodos los derechos y obligaciones establecidos en nuestra Política de privacidad se asignan librementea cualquiera de nuestras afiliadas, en relación con una fusión, adquisición, restructuración o venta deactivos, o por operación de ley o de otro modo, y podemos transferir tu información a cualquiera denuestras afiliadas, entidades sucesoras o propietarios nuevos.

Administración de tu informaciónSi quieres administrar, cambiar, limitar o eliminar tu información, te permitimos hacerlo a través de lassiguientes herramientas:(…). Eliminación de tu cuenta de WhatsApp. Puedes eliminar tu cuenta de WhatsApp en cualquier momento(incluso si quieres revocar tu consentimiento para que usemos tu información) mediante la función“Eliminar mi cuenta” dentro de la aplicación. Cuando elimines tu cuenta de WhatsApp, tus mensajes noentregados se eliminarán de nuestros servidores, así como el resto de tu información que ya nonecesitamos para operar y proveer nuestros Servicios. Ten en cuenta que si solo eliminas nuestrosServicios de tu aparato sin usar la función “Eliminar mi cuenta” dentro de la aplicación, podemosalmacenar tu información durante un período más prolongado. Recuerda que, cuando eliminas tucuenta, no afecta a la información que otros usuarios tienen relacionada contigo, por ejemplo, su copiade los mensajes que les enviaste.

Legislación y protecciónPodemos recopilar, usar, conservar y compartir tu información si consideramos de buena fe que esrazonablemente necesario para: (a) responder de acuerdo con las leyes o normas, procesos legales osolicitudes gubernamentales aplicables; (b) exigir el cumplimiento de nuestros Términos o cualquier otrotérmino y política aplicable, incluso para investigaciones de infracciones potenciales; (c) detectar,investigar, impedir y abordar fraudes y otras actividades ilegales o problemas técnicos o de seguridad; o(d) proteger los derechos, la propiedad y la seguridad de nuestros usuarios, WhatsApp, la familia de


41/79

empresas de Facebook u otros.

Nuestras operaciones globalesAceptas nuestras prácticas de información, que incluyen la recopilación, el uso, el procesamiento y eluso compartido de tu información, tal como se describe en esta Política de privacidad, así como latransferencia y el procesamiento de tu información en los Estados Unidos y otros países de maneraglobal donde tenemos o usamos instalaciones, proveedores de servicios o socios, independientementede dónde usas nuestros Servicios. Reconoces que las leyes, disposiciones y normas del país en el quese almacena o procesa tu información pueden ser diferentes de aquellas que rigen en tu propio país.

Actualizaciones a nuestra políticaPodemos modificar o actualizar nuestra Política de privacidad… Si no estás de acuerdo con nuestraPolítica de privacidad y con sus modificaciones, debes dejar de usar nuestros Servicios…

CookiesSobre las cookiesCookie se refiere a un archivo de texto que se almacena en tu computadora o teléfono móvil cuandovisitas una página web. La página web pide que tu navegador genere y guarde las cookies.

Cómo usamos las cookiesUtilizamos las cookies para entender, operar y garantizar la seguridad de nuestros servicios. Porejemplo:. Usamos las cookies para proveer WhatsApp para computadoras y otros servicios basados en la web,Así podemos mejorar tu experiencia, entender mejor cómo usas nuestros servicios y personalizarnuestros servicios.. Usamos las cookies para averiguar cuáles son las preguntas frecuentes más leídas y así crear yproveer mejor contenido.. Usamos las cookies para acordarnos de tus preferencias, tal como tu idioma, para poder personalizar tuservicio.. Usamos las cookies para poder ordenar las preguntas frecuentes de tal manera que puedas ver laspreguntas más leídas primero. También, nos ayudan a entender la diferencia entre las preferencias quetienes usando WhatsApp en tu teléfono o en tu computadora y lo eficaz de la información queproporcionamos.

Cómo gestionar las cookiesPuedes cambiar los ajustes de las cookies según las opciones en tu navegador o tu teléfono móvil(usualmente localizados bajo Ajustes o Preferencias). Por favor, ten en cuenta que nuestro serviciopuede que no funcione correctamente si desactivas las cookies>>.

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la Directora de la Agencia Española deProtección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con elartículo 36 de la LOPD.

II

Se considera, en primer término, que la conducta realizada por las entidadesWHATSAPP INC. y FACEBOOK INC. afecta a datos de carácter personal relativos a personasidentificadas o identificables, cuestión que no ha sido objeto de ninguna controversia por partede las mismas.


42/79

Por ello, y considerando que se trata de sociedades estadounidenses, procede analizarel ámbito de aplicación de la LOPD respecto de los hechos examinados; cuestión de la que sederivan tres aspectos básicos como son la aplicación o no de la LOPD, la propia competenciade la Agencia Española de Protección de Datos y la imputabilidad de las entidades citadas.

El examen de estas cuestiones exige considerar si las conductas analizadas han sidollevadas a cabo por WHATSAPP INC. y FACEBOOK INC. en el marco de las actividades de unestablecimiento del responsable del tratamiento en territorio español o se han empleadomedios situados en España por parte de las mismas. Si nos encontrásemos en uno de estoscasos serían aplicables los principios, derechos y garantías previstos en la legislación españolade protección de datos.

La LOPD, en el párrafo segundo de su artículo 2.1, al referirse al “Ámbito de aplicación”de la norma, establece lo siguiente:

“Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades deun establecimiento del responsable del tratamiento.b) Cuando al responsable del tratamiento no establecido en territorio español, le sea deaplicación la legislación española en aplicación de normas de Derecho Internacional público.c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europeay utilice en el tratamiento de datos medios situados en territorio español, salvo que talesmedios se utilicen únicamente con fines de tránsito”.

Y el último párrafo del artículo 5.1 de la misma norma establece lo siguiente:

“Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europeay utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvoque tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio delas acciones que pudieran emprenderse contra el propio responsable del tratamiento”.

Por otra parte, el artículo 3 del Reglamento de desarrollo de la LOPD, aprobado porReal Decreto 1720/2008 (RLOPD), señala su ámbito territorial de aplicación en los siguientestérminos:

“1. Se regirá por el presente Reglamento todo tratamiento de datos de carácter personal:a) Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimientodel responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado enterritorio español.Cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un encargadodel tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en eltítulo VIII del presente Reglamento.b) Cuando al responsable del tratamiento no establecido en territorio español, le sea deaplicación la legislación española, según las normas de Derecho internacional público.c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europeay utilice en el tratamiento de datos medios situados en territorio español, salvo que talesmedios se utilicen únicamente con fines de tránsito.En este supuesto, el responsable del tratamiento deberá designar un representante establecidoen territorio español.


43/79

2. A los efectos previstos en los apartados anteriores, se entenderá por establecimiento, conindependencia de su forma jurídica, cualquier instalación estable que permita el ejercicioefectivo y real de una actividad”

En este mismo sentido se pronuncia el artículo 4 “Derecho nacional aplicable” de laDirectiva 95/46/CE (aplicable hasta el 25 de mayo de 2018, de acuerdo con lo establecido en elartículo 99 del Reglamento general de protección de datos, Reglamento UE 2016/679 delParlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de laspersonas físicas en lo que respecta al tratamiento de datos personales y a la libre circulaciónde estos datos y por el que se deroga la citada Directiva 94/46/CE); artículo 4 que establece losiguiente:

“Derecho nacional aplicable1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para laaplicación de la presente Directiva a todo tratamiento de datos personales cuando:a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento delresponsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsabledel tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar lasmedidas necesarias para garantizar que cada uno de dichos establecimientos cumple lasobligaciones previstas por el Derecho nacional aplicable;b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sinoen un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra,para el tratamiento de datos personales, a medios, automatizados o no, situados en el territoriode dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con finesde tránsito por el territorio de la Comunidad Europea.2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberádesignar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio delas acciones que pudieran emprenderse contra el propio responsable del tratamiento”.

Este artículo responde a las consideraciones que se plasman en la exposición demotivos de la misma Directiva; en concreto los considerandos 18 y siguientes presentan lasiguiente justificación del artículo 4 en cuestión:

“(18) Considerando que, para evitar que una persona sea excluida de la protección garantizadapor la presente Directiva, es necesario que todo tratamiento de datos personales efectuado enla Comunidad respete la legislación de uno de sus Estados miembros; que, a este respecto,resulta conveniente someter el tratamiento de datos efectuados por cualquier persona queactúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a laaplicación de la legislación de tal Estado;

(19) Considerando que el establecimiento en el territorio de un Estado miembro implica elejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídicade dicho establecimiento, sea una simple sucursal o una empresa filial con personalidadjurídica, no es un factor determinante al respecto; que cuando un mismo responsable estéestablecido en el territorio de varios Estados miembros, en particular por medio de unaempresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable,que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derechonacional aplicable a estas actividades;


44/79

(20) Considerando que el hecho de que el responsable del tratamiento de datos estéestablecido en un país tercero no debe obstaculizar la protección de las personas contempladaen la presente Directiva; que en estos casos el tratamiento de datos debe regirse por lalegislación del Estado miembro en el que se ubiquen los medios utilizados y deben adaptarsegarantías para que se respeten en la práctica los derechos y obligaciones contempladas en lapresente Directiva;”

La Sentencia del Tribunal de Justicia de la Unión Europea, de 13 de mayo de 2014,(STJUE, Gran Sala, cuestión prejudicial Google Spain S.L. y Google Inc./AEPD, C-131/2012),dictada en el marco de una cuestión prejudicial relativa a la interpretación, entre otros, delartículo 4, apartado 1, letra a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo,de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta altratamiento de datos personales y a la libre circulación de estos datos, a fin de dar respuesta ala cuestión planteada acerca de si debe interpretarse que existe un “establecimiento”, en lostérminos descritos en el art. 4.1.a) considera que “la actividad de promoción y venta deespacios publicitarios, de la que Google Spain es responsable para España, constituye la parteesencial de la actividad comercial del grupo Google y puede considerarse que estáestrechamente vinculada a Google Search” y recuerda que Google Spain se dedica alejercicio efectivo y real de una actividad mediante una instalación estable en España y que alestar dotada de personalidad jurídica propia, es de este modo una filial de Google Inc. enterritorio español, y, por lo tanto, un «establecimiento», en el sentido del artículo 4, apartado 1,letra a), de la Directiva 95/46.

Hechas las mencionadas consideraciones la Sentencia analiza si el tratamiento se«lleve a cabo en el marco de las actividades» de un establecimiento de dicho responsablesituado en territorio de un Estado miembro. Sobre este particular el Tribunal declara que “ laDirectiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado«por» el propio establecimiento en cuestión, sino que se realice «en el marco de lasactividades» de éste.”

Considera sobre este punto que “el tratamiento de datos personales realizado en ordenal funcionamiento de un motor de búsqueda como Google Search, gestionado por unaempresa que tiene su domicilio social en un Estado tercero pero que dispone de unestablecimiento en un Estado miembro, se efectúa «en el marco de las actividades» de dichoestablecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de losespacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuestopor el motor. En efecto, en tales circunstancias, las actividades del gestor del motor de búsqueda y las de suestablecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas,dado que las actividades relativas a los espacios publicitarios constituyen el medio para que elmotor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, almismo tiempo, el medio que permite realizar las mencionadas actividades.La propia presentación de datos personales en una página de resultados de una búsquedaconstituye un tratamiento de tales datos. Pues bien, toda vez que dicha presentación deresultados está acompañada, en la misma página, de la presentación de publicidad vinculada alos términos de búsqueda, es obligado declarar que el tratamiento de datos personalescontrovertido se lleva a cabo en el marco de la actividad publicitaria y comercial delestablecimiento del responsable del tratamiento en territorio de un Estado miembro, en el casode autos el territorio español.”


45/79

Concluye indicando que “el artículo 4, apartado 1, letra a), de la Directiva 95/46 debeinterpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en elmarco de las actividades de un establecimiento del responsable de dicho tratamiento enterritorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de unmotor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizarla promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuyaactividad se dirige a los habitantes de este Estado miembro”.

Como señala el Tribunal Supremo en la Sentencia núm. 1384/2016, de 13/06/2016, “…se trata de evitar la elusión del cumplimiento de la normativa europea sobre la materia conbase en el argumento de que el responsable del tratamiento no tiene su sede social enterritorio europeo, lo que le permitiría sustraerse a las obligaciones y garantías que en dichanormativa se establecen. Esta es la lógica a la que responde la previsión normativa que,mediante la ampliación del ámbito de aplicación territorial, consigue el efecto útil y protecciónque otorga la normativa comunitaria al interesado”.

Así la cuestión se centra en dilucidar si concurre en este caso alguna de lascircunstancias que determinan la aplicación de la LOPD y de su reglamento de desarrollo.

III

En el caso de FACEBOOK INC, debe analizarse si el tratamiento de datos examinadose realiza por dicha entidad en el marco de las actividades de FACEBOOK SPAIN.

Conforme a lo dispuesto en el artículo 4.1.a) de la Directiva, la aplicación de lasdisposiciones nacionales de un Estado miembro viene determinada por la existencia de unestablecimiento del responsable del tratamiento en el territorio del Estado miembro de que setrate. Aunque esta Directiva no define el concepto de “establecimiento”, en su preámbulo(Considerando 19) señala como elemento determinante el ejercicio efectivo y real deactividades a través de una instalación estable, no siendo preciso que dicho establecimientotenga personalidad jurídica. Además, el tratamiento de datos personales deberá llevarse a caboen el marco de tales actividades.

En relación con esta cuestión, el Grupo de Trabajo del artículo 29, en su Dictamen8/2010, sobre Derecho aplicable, emitido el 16 de diciembre de 2010, señala que “la referenciaa «un» establecimiento significa que la aplicabilidad del Derecho de un Estado miembro sedesencadenará por la ubicación de un establecimiento del responsable del tratamiento en eseEstado miembro y los Derechos de otros Estados miembros podrían desencadenarse por laubicación de otros establecimientos de ese responsable del tratamiento en esos Estadosmiembros”. Y añade que “Aun cuando el responsable del tratamiento tenga su establecimientoprincipal en un tercer país, el mero hecho de tener uno de sus establecimientos en un Estadomiembro podría desencadenar la aplicabilidad del Derecho de dicho país, siempre que sereúnan las otras condiciones del artículo 4, apartado1, letra a)…”.

El mismo Dictamen citado señala que “la noción de “marco de actividades” no implicaque el Derecho aplicable sea el del Estado miembro donde esté establecido el responsable deltratamiento, sino donde un establecimiento del responsable del tratamiento esté implicado enactividades relativas al tratamiento de datos”, y que deberá tenerse en cuenta al respecto elgrado de implicación del establecimiento en las actividades de tratamiento de datos personales.


46/79

El artículo 2.1.a) de la LOPD establece que «se regirá por la presente Ley Orgánicatodo tratamiento de datos de carácter personal (...) cuando el tratamiento sea efectuado enterritorio español en el marco de las actividades de un establecimiento del responsable deltratamiento».

En relación con el “Derecho nacional aplicable”, el artículo 4.1 de la Directiva contieneun mandato claro, preciso e incondicional dirigido a los Estados miembros en lo referente a ladelimitación del ámbito territorial de aplicación de las normas de transposición de la Directiva,de modo que la interpretación del citado artículo 2.1.a) de la LOPD debe ser efectuada deforma congruente con dicha Directiva.

Por otra parte, la versión inglesa de esta norma, que ha sido la analizada, entre otros,en los documentos elaborados por el Grupo de Trabajo creado por el artículo 29 de la Directiva,se refiere al tratamiento llevado a cabo “en el contexto de las actividades de un establecimientodel responsable del tratamiento”, siendo así que la utilización de esta expresión podríarevelarse fundamental para dar una adecuada interpretación al contenido del propio artículo.

Por tanto, se ha de tener en cuenta el lugar en que efectivamente se encuentre ubicadoel establecimiento del responsable en cuyo contexto se lleva a cabo el tratamiento de los datos,al ser su intervención necesaria para que dicho tratamiento llegue a tener lugar.

En estos casos es de aplicación la Ley del Estado de ubicación del establecimiento delresponsable en cuyo marco se llevan a cabo las operaciones de tratamiento de los datos decarácter personal.

Facebook Spain, S.L. es el establecimiento de Facebook Inc. en cuyo contexto se tratanlos datos; y la LOPD la ley aplicable, según lo establecido en su artículo 2.1.a), interpretadoconforme a la Directiva.

Esta conclusión es la que recoge el Reglamento de desarrollo de la LOPD en su artículo3. Así, el artículo 2.1.a) de la citada Ley Orgánica sólo puede ser interpretado en el sentido deconsiderar aplicable la legislación española «cuando el tratamiento sea efectuado en el marcode las actividades de un establecimiento del responsable del tratamiento, siempre que dichoestablecimiento se encuentre ubicado en territorio español», haciendo recaer en la localización delestablecimiento el criterio determinante de la aplicación.

En el presente caso concreto, la entidad FACEBOOK INC., que tiene su sede principalen Estados Unidos, concretamente en California, desarrolla una actividad de caráctereconómico que tiene por objeto la obtención de ingresos a cambio de la publicidad de tercerosque inserta en los sitios web que gestiona, y ofrece servicios que no serían viables sin esafinanciación (FACEBOOK INC. es responsable de la red social “Facebook” y titular del dominofacebook.com. Además, los accesos al dominio facebook.es, registrado a nombre de FacebookIreland, se redirigen a la web Facebook.com).

Esta entidad dispone de un establecimiento en España, FACEBOOK SPAIN, S.L.,implicado en actividades que entrañan el tratamiento de datos personales relativos a personasidentificadas o identificables, que se recaban y se tratan en territorio español.

La captación de anunciantes en el territorio español constituye la tarea principal de


47/79

FACEBOOK SPAIN, S.L. En aquellos casos en los que el servicio se sustenta en la publicidad,la actuación de FACEBOOK SPAIN, S.L. es significativa para la prestación de los servicios y lostratamientos de datos que conllevan, existiendo una relación de causalidad entre la actuaciónde FACEBOOK SPAIN, S.L. y la existencia misma de los servicios sustentados en la publicidad.

Por lo tanto, cabe concluir que la protección conferida por la LOPD es aplicable alpresente supuesto respecto de FACEBOOK INC., por el tratamiento de datos realizado en elmarco de las actividades de un establecimiento del responsable del tratamiento ubicado enterritorio español, y, por ende, la Agencia Española de Protección de Datos es competente parala tramitación del presente procedimiento, de conformidad con lo establecido en el artículo2.1.a) de la citada Ley Orgánica.

Como ya se ha señalado anteriormente, la existencia de un “establecimiento” supone elejercicio real y efectivo de actividades a través de gestiones estables, y la forma jurídica delestablecimiento (una oficina local, una filial con personalidad jurídica o una representaciónmediante terceros) no resulta determinante. En este caso, al margen de la forma jurídica de laentidad FACEBOOK SPAIN, puede entenderse que existe un establecimiento implicado enactividades que entrañan el tratamiento de datos personales relativos a personas identificadaso identificables, que se recaban, se tratan y divulgan en el marco de actividades de FacebookSpain. FACEBOOK SPAIN es el establecimiento de FACEBOOK INC en cuyo contexto setratan los datos.

En todo caso, la entidad FACEBOOK INC. recurre, además, a medios situados en elterritorio español con el fin de captar información en nuestro territorio (utilizando, entre otros,los equipos de los usuarios residentes en España para almacenar información de forma local através de cookies y otros medios, así como ejecutando código en dichos dispositivos), sin quela utilización de tales equipos para la recogida de datos se realice exclusivamente con fines detránsito por el territorio de la Unión Europea, es decir, no se trata de equipos de transmisión,sino que dichos equipos se emplean para la recogida y tratamiento de los datos.

La red social FACEBOOK, denominación utilizada como marca comercial, se configuraen torno a la entidad matriz FACEBOOK, INC., responsable última de toda la actividad enInternet de dicha plataforma de comunicación entre sus usuarios. Dicha plataforma, parausuarios españoles, utiliza dispositivos ubicados en territorio español (“Facebook.com” estáregistrado a nombre de FACEBOOK, INC. y el dominio “Facebook.es” está registrado a nombrede FACEBOOK IRELAND; pero, al intentar acceder a la página www.facebook.es, secomprueba que dicha página no existe, sino que existe una redirección a la página: es-es.facebook.com).

Por tanto, la Agencia Española de Protección de Datos también es competente paradecidir sobre el tratamiento llevado a cabo por un responsable no establecido en territorio delEspacio Económico Europeo que ha utilizado en el tratamiento de datos medios situados enterritorio español, por lo que debe concluirse, igualmente, que la LOPD es aplicable al presentesupuesto y procedente la intervención de la Agencia Española de Protección de Datos, porvirtud de lo dispuesto en el artículo 2.1.c) de la LOPD, ya citado.

En definitiva, la LOPD es aplicable al presente supuesto y procedente la intervención dela Agencia Española de Protección de Datos, pues FACEBOOK, INC cuenta con unestablecimiento situado en territorio español, FACEBOOK SPAIN, S.L., implicado en lasactividades relativas al tratamiento de datos que ahora se analiza, y, aun cuando no resultara


48/79

procedente la aplicación de lo dispuesto en el artículo 2.1.a) de la LOPD, también escompetente la Agencia Española de Protección de Datos para decidir sobre el tratamientollevado a cabo por un responsable no establecido en territorio del Espacio Económico Europeoque ha utilizado en el tratamiento de datos medios situados en territorio español, por lo quedebe concluirse, igualmente, que la LOPD es aplicable al presente supuesto y procedente laintervención de la Agencia Española de Protección de Datos, por virtud de lo dispuesto en elartículo 2.1.c) de la LOPD, ya citado.

Considerando cuanto antecede, el procedimiento debe dirigirse contra la entidadFacebook Inc.

IV

La misma conclusión procede respecto de WHATSAPP INC., que tiene sede enCalifornia, Estados Unidos. Esta entidad ofrece en España servicios de mensajería con 37millones de usuarios que conllevan la utilización en el tratamiento de datos de medios enterritorio español, sin que tales medios se utilicen únicamente con fines de tránsito.

La entidad WHATSAPP INC., en el momento en que se publica la actualización de losTérminos de Servicio y de la Política de Privacidad, en agosto de 2016, no disponía de unestablecimiento en España, ni en ningún otro país del EEE (WhatsApp lreland ha sidoconstituida el 6 de julio de 2017), implicado en actividades que entrañan el tratamiento de datospersonales relativos a personas identificadas o identificables, que se recaban y se tratan enterritorio español.

Sin embargo, dicha entidad recurre a medios situados en el territorio español con el finde captar información en nuestro territorio (utilizando, entre otros, los equipos de los usuariosresidentes en España para almacenar información de forma local, así como ejecutando códigoen dichos dispositivos), sin que la utilización de tales equipos para la recogida de datos serealice exclusivamente con fines de tránsito por el territorio de la Unión Europea, es decir, no setrata de equipos de transmisión, sino que dichos equipos se emplean para la recogida ytratamiento de los datos.

Por tanto, la protección conferida por la LOPD es aplicable al presente supuestorespecto de WHATSAPP INC. y la Agencia Española de Protección de Datos, por virtud de lodispuesto en el artículo 2.1.c) de la LOPD, ya citado, es competente para decidir sobre eltratamiento llevado a cabo por un responsable no establecido en territorio del EspacioEconómico Europeo que ha utilizado en el tratamiento de datos medios situados en territorioespañol, sin que tales medios se utilicen únicamente con fines de tránsito.

V

FACEBOOK, INC. ha alegado que no tiene responsabilidad en el tratamiento de losdatos personales de los usuarios de Facebook en la Unión Europea, en el sentido de que elresponsable del tratamiento de los usuarios españoles en España es FACEBOOK IRELAND.

Como ya se ha indicado la red social FACEBOOK se configura en torno a la entidadmatriz FACEBOOK, INC., responsable última de toda la actividad en Internet de dichaplataforma de comunicación entre sus usuarios. FACEBOOK, INC. adopta la decisión inicial


49/79

acerca de la recogida de información, incluidos los datos de carácter personal y determina lafinalidad para la que se lleva a cabo la recogida, así como el contenido y uso de los datospersonales recabados. Esta conducta se ajusta al concepto de responsable del tratamiento delos datos y le convierte en sujeto sometido al ámbito de aplicación de la LOPD.

El Grupo de Protección de Datos del artículo 29, en su Dictamen 8/2010 sobre Derechoaplicable, en el apartado III, señala lo siguiente:

<<…Análisis de las disposiciones:La disposición clave sobre el Derecho aplicable es el artículo 4, que determina qué disposición(disposiciones) nacional(es) de protección de datos aprobada(s) para la aplicación de laDirectiva puede(n) aplicarse al tratamiento de datos personales.

III.1. El responsable del tratamiento está establecido en uno o varios Estados miembros(artículo 4, apartado1, letra a) (…)

En tales circunstancias, la noción de «marco de actividades» –y no la ubicación de los datos–es un factor determinante en la determinación del Derecho aplicable. La noción de «marco de actividades» no implica que el Derecho aplicable sea el del Estadomiembro donde esté establecido el responsable del tratamiento, sino donde un establecimientodel responsable del tratamiento esté implicado en actividades relativas al tratamiento de datos. La consideración de diferentes hipótesis podría contribuir a clarificar lo que significa la nociónde «marco de actividades» y su influencia en la determinación del Derecho aplicable a lasdiferentes actividades de tratamiento en diferentes países.

a. Cuando un responsable del tratamiento tiene un establecimiento en Austria y trata datospersonales en Austria en el marco de actividades de ese establecimiento, el Derecho aplicableobviamente sería el de Austria, es decir donde el establecimiento está situado.

b. En la segunda hipótesis, el responsable del tratamiento tiene un establecimiento en Austria,en cuyo marco de actividades trata datos personales recogidos a través de su sitio Internet. Elsitio Internet es accesible a usuarios en distintos países. El Derecho de protección de datosaplicable seguirá siendo el de Austria, es decir el de donde está situado el establecimiento, conindependencia de la ubicación de los usuarios y de los datos.

c. En la tercera hipótesis, el responsable del tratamiento está establecido en Austria y contratael tratamiento a un encargado del tratamiento en Alemania. El tratamiento en Alemania seefectúa en el marco de las actividades del responsable del tratamiento en Austria. Es decir, eltratamiento se realiza en aras de los objetivos comerciales y bajo las instrucciones delestablecimiento austríaco. El Derecho austríaco será aplicable al tratamiento efectuado por elencargado del tratamiento en Alemania. Además, el encargado del tratamiento estará sujeto alos requisitos del Derecho alemán respecto de las medidas de seguridad que está obligado aadoptar en relación con el tratamiento. Esto requeriría una supervisión coordinada por parte delas autoridades de protección de datos alemanas y austríacas.

d. En la cuarta hipótesis, el responsable del tratamiento establecido en Austria abre una oficinade representación en Italia, que organiza todos los contenidos italianos del sitio Internet ygestiona las peticiones de los usuarios italianos. Las actividades de tratamiento de datosrealizadas por la oficina italiana se efectúan en el marco del establecimiento italiano, de modoque el Derecho italiano se aplicaría a dichas actividades…>>


50/79

Asimismo en la Sentencia del Tribunal de Justicia de la Unión Europea (Sala Tercera) de1 de octubre de 2015, en el asunto C-230/14, se establece:

<<1. El artículo 4, apartado 1, letra a), de la Directiva 95/46/CE del Parlamento Europeo y delConsejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo querespecta al tratamiento de datos personales y a la libre circulación de estos datos, debeinterpretarse en el sentido de que permite aplicar la legislación relativa a la protección de losdatos personales de un Estado miembro distinto de aquel en el que está registrado elresponsable del tratamiento de esos datos, siempre que éste ejerza, mediante una instalaciónestable en el territorio de dicho Estado miembro, una actividad efectiva y real, aun mínima, encuyo marco se realice el referido tratamiento.

Para determinar si así ocurre, en circunstancias como las controvertidas en el litigio principal, elórgano jurisdiccional remitente puede tener en cuenta, por un lado, que la actividad delresponsable de dicho tratamiento, en cuyo marco éste tiene lugar, consiste en la gestión desitios de Internet de anuncios de inmuebles situados en el territorio de dicho Estado miembro yredactados en la lengua de ese Estado y que, en consecuencia, se dirige principalmente,incluso íntegramente, a dicho Estado miembro y, por otro lado, que ese responsable disponede un representante en el referido Estado miembro que se encarga de cobrar los créditosresultantes de dicha actividad y de representarlo en los procedimientos administrativo y judicialrelativos al tratamiento de los datos en cuestión.

En cambio, es irrelevante el tema de la nacionalidad de las personas afectadas por dichotratamiento de datos.

2) En el supuesto de que la autoridad de control de un Estado miembro que entiende de unasdenuncias, de conformidad con el artículo 28, apartado 4, de la Directiva 95/46, llegue a laconclusión de que el Derecho aplicable al tratamiento de los datos personales de que se tratano es el Derecho de ese Estado miembro, sino el de otro Estado miembro, el artículo 28,apartados 1, 3 y 6, de esa misma Directiva debe interpretarse en el sentido de que dichaautoridad de control sólo podría ejercer en el territorio de su propio Estado miembro lasfacultades efectivas de intervención que se le han conferido conforme al artículo 28, apartado3, de la citada Directiva. Por lo tanto, no puede imponer sanciones basándose en el Derechode ese Estado miembro al responsable del tratamiento de tales datos que no está establecidoen dicho territorio, sino que, con arreglo al artículo 28, apartado 6, de la misma Directiva, debeinstar la intervención de la autoridad de control dependiente del Estado miembro cuyo Derechoes aplicable…>>.

El citado artículo 28.6 de la Directiva se restringe la competencia territorial de lasautoridades de control en el sentido expresado por las entidades interesadas en sus escritos dealegaciones. Dicho precepto está referido a las cuestiones que se susciten entre derechoaplicable y competencia de la autoridad de control dentro del mercado interior.

Procede, asimismo, recordar la doctrina del Tribunal Supremo en un supuesto bastantesimilar al que aquí se está estudiando, citando la sentencia del Tribunal Supremo 1384/2016,Sala de lo Contencioso-Administrativo, Sección Sexta, de fecha 13 de junio de 2016:

“El Dictamen 1/2010, sobre los conceptos de «responsable del tratamiento» y «encargado deltratamiento» adoptado el 16 de febrero de 2010 por el Grupo de Trabajo del artículo 29 de la


51/79

Directiva 95/46/ CE (GT29), dice en relación con el concepto de responsable del tratamiento losiguiente: <<El concepto de responsable del tratamiento es autónomo, en el sentido de quedebe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección dedatos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función dela capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechosmás que en un análisis formal>>.La definición de la Directiva consta de tres componentes fundamentales: el aspecto personal(«la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»); laposibilidad de un control plural («que solo o conjuntamente con otros»); los elementosesenciales para distinguir al responsable del tratamiento de otros agentes («determine los finesy los medios del tratamiento de datos personales»). En relación con la determinación de los fines y los medios se señala que "el hecho dedeterminar los «fines» del tratamiento trae consigo la consideración de responsable deltratamiento (de facto). En cambio, la determinación de los «medios» del procesamiento puedeser delegada por el responsable del tratamiento en la medida en que se trate de cuestionestécnicas u organizativas. Sin embargo, las cuestiones de fondo que sean esenciales a efectosde la legitimidad del tratamiento -como los datos que deban tratarse, la duración de suconservación, el acceso, etc.- deben ser determinadas por el responsable del tratamiento". No cabe duda alguna de que XXX, que gestiona el motor de búsqueda…, es responsable deltratamiento de datos, al determinar los fines, las condiciones y los medios del tratamiento dedatos personales. No obstante, ello no implica que XXX sea responsable del tratamiento ensolitario, ya que no podemos olvidar que el citado artículo 2.d) de la Directiva 95/46/CE, alude aque la determinación de los fines y los medios del tratamiento de datos personales se puedehacer "sólo o conjuntamente con otros", máxime si tenemos en cuenta, que "las actividades delgestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de quese trate están indisociablemente ligadas, dado que las actividades relativas a los espaciospublicitarios constituyen el medio para que el motor de búsqueda en cuestión seaeconómicamente rentable y dado que este motor es, al mismo tiempo, el medio que permiterealizar las mencionadas actividades" (apartado 56 de la Sentencia del TJUE de 13 de mayode 2014 ). A este respecto, en el Dictamen 1/2010 del GT29 se dice: "En el dictamen de la Comisiónsobre la enmienda del PE, la Comisión menciona la posibilidad de que «varias partesdeterminen conjuntamente, para una única operación de tratamiento, los fines y los medios deltratamiento que se vaya a llevar a cabo» y, por lo tanto, en tal caso, «cada uno de estoscorresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestaspor la Directiva de proteger a las personas físicas cuyos datos se estén tratando»" . Se añadeque "la definición de tratamiento contenida en el artículo 2.b) de la Directiva no excluye laposibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos deoperaciones en materia de datos personales. Estas operaciones pueden producirsesimultáneamente o en distintas fases". Y se concluye que "la participación de las partes en ladeterminación de los fines y los medios del tratamiento en el contexto del control conjuntopuede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales...Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desdeluego no cabe presumir que haya una responsabilidad solidaria en todos los casos. Por lodemás, es muy posible que en sistemas complejos con varios agentes el acceso a datospersonales y el ejercicio de otros derechos de los interesados también los puedan garantizardistintos agentes a diferentes niveles".

En esta misma Sentencia de 13/06/2016, el Tribunal Supremo declara: “…el criteriomantenido por la Sala en esas sentencias, como hemos señalado antes, se ha visto


52/79

confirmado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo ala protección de las personas físicas en lo relativo al tratamiento de datos personales y a lalibre circulación de estos datos, recientemente aprobado y publicado en el Diario Oficial de laUnión Europea de 4 de mayo de 2016, que deroga la Directiva 95/46/CE, el cual, entre otrasprevisiones a las que ya nos hemos referido y despejando posibles dudas, regula en su art. 26la corresponsabilidad en el tratamiento de datos, considerando corresponsables a quienesdeterminen conjuntamente los objetivos y los medios del tratamiento, exigiendo, además, quelos corresponsables determinen de modo transparente y de mutuo acuerdo susresponsabilidades respectivas en el cumplimiento de las obligaciones impuestas por elReglamento, en particular en cuanto al ejercicio de los derechos del interesado…”.

También resulta ilustrativa otra sentencia del Tribunal Supremo 210/2016, Sala de loCivil, de fecha 5 de abril de 2016, que viene a decir que:

“Los sujetos protegidos por la normativa sobre protección de datos son las personas físicas(art. 1 y 2.a de la Directiva). El efecto útil de la normativa comunitaria se debilitaríaenormemente si los afectados hubieran de averiguar, dentro del grupo empresarial titular de unmotor de búsqueda, cuál es la función concreta de cada una de las sociedades que locomponen, lo que, en ocasiones, constituye incluso un secreto empresarial y, en todo caso, noes un dato accesible al público en general. También se debilitaría el efecto útil de la Directiva sise diera trascendencia, en el sentido que pretende la recurrente…, a la personificación jurídicaque el responsable del tratamiento de datos diera a sus establecimientos en los distintosEstados miembros, obligando de este modo a los afectados a litigar contra sociedades situadasen un país extranjero”.

En consecuencia, hay que desestimar las alegaciones realizadas a este respecto porparte de FACEBOOK, INC., y por consiguiente debe considerarse que dicha entidad esresponsable del tratamiento de datos personales a los que se hace referencia en losFundamentos de Derechos siguientes, pues su participación en la determinación de los fines ylos medios del tratamiento queda constatada.

Por otra parte, las entidades interesadas han manifestado que no hacen uso de mediospara el tratamiento de datos que estén situados en España y rechazan que puedanconsiderarse como tales los equipos pertenecientes a los "usuarios”, sobre los que no ejercencontrol alguno. Sin embargo, no existe duda alguna sobre la utilización de los dispositivos de losusuarios por parte de las citadas entidades para la recogida de datos personales.

Esta cuestión se analiza con detalle por el Grupo de Trabajo del artículo 29 en elDocumento de Trabajo relativo a la aplicación internacional de la legislación comunitaria sobreprotección de datos al tratamiento de los datos personales en Internet por sitios webestablecidos fuera de la UE, aprobado el 30 de mayo de 2002 (Documento WP 56).

En este Documento, el Grupo de Trabajo señala: <<no es necesario que el responsabledel tratamiento tenga un control total sobre los medios. El responsable del tratamiento puedetener un control variable de estos medios. El control es suficiente cuando el responsable deltratamiento, al determinar la forma en que estos medios funcionan, toma las decisionesadecuadas en relación con la naturaleza de los datos y su tratamiento. En otras palabras, elresponsable determina qué datos se recogen, se almacenan, se transfieren, se modifican, etc.,de qué forma y con qué objetivo.El Grupo de Trabajo considera que el concepto de «recurrir» presupone dos elementos: un


53/79

determinado tipo de actividad emprendida por el responsable y su intención de tratar datospersonales. Esto implica que no todo «recurso» a «medios» dentro de la UE lleva a laaplicación de la Directiva.No obstante, la facultad de disposición del responsable no debe confundirse con la propiedad ola posesión de los medios, ya sea por el responsable del tratamiento, o por la persona. Dehecho, la Directiva no concede ninguna importancia a la propiedad de los medios. La interpretación presentada por el Grupo de Trabajo concuerda plenamente con la motivacióndel legislador europeo para la elaboración de la disposición de la letra c) del apartado 1 delartículo 4 de la Directiva. El considerando 20 explica que «el hecho de que el responsable deltratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección delas personas contemplada en la presente Directiva; que en estos casos el tratamiento de datosdebe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados ydeben adoptarse garantías para que se respeten en la práctica los derechos y obligacionescontempladas en la presente Directiva». Es el corolario necesario si se quiere lograr el objetivomás amplio de la Directiva, que es: “evitar que una persona sea excluida de la proteccióngarantizada por la presente Directiva”>>.

En el mismo documento se refieren algunas soluciones concretas aplicables a casostípicos. En concreto, se indica que <<los PC, los terminales y los servidores, que se puedenutilizar para casi todos los tipos de operaciones de tratamiento de datos, son ejemplos de“medios”>>.

Entre los ejemplos prácticos que se analizan en el citado Documento figura el relativo ala introducción de cookies en el equipo de un usuario de Internet. Se declara que el equipo delusuario puede considerarse un “medio”:

“Caso A: CookiesEl responsable del tratamiento decide recoger datos de carácter personal por medio de unfichero de texto (cookie) que se coloca en el disco duro del ordenador personal del usuario… Tal como se ha explicado anteriormente, el PC del usuario puede considerarse un «medio» conarreglo a la letra c) del apartado 1 del artículo 4 de la Directiva 95/46/CE. Está ubicado en elterritorio de un Estado miembro. El responsable decidió utilizarlo para el tratamiento de datospersonales y, tal como se explica en los apartados anteriores, tienen lugar varias operacionestécnicas sin un control por parte del interesado. El responsable del tratamiento emplea losmedios del usuario y no lo hace solamente con fines de tránsito en el territorio de laComunidad.El Grupo de Trabajo opina por lo tanto que las condiciones en que pueden recogerse datospersonales del usuario mediante la colocación de cookies en su disco duro son reguladas porel Derecho nacional del Estado miembro donde se sitúa este ordenador personal”.

A este respecto, la propia Política de Privacidad de WHATSAPP INC. advierte enrepetidas ocasiones sobre la recogida de información de los terminales y ordenadores de losusuarios. Incluso contiene un apartado específico dedicado a la “información recopiladaautomáticamente”.

En relación con las cuestiones expuestas en el presente Fundamento de Derecho y enlos que preceden, ya recogidos en la propuesta de resolución, la entidad WHATSAPP INC., ensu escrito de alegaciones a dicha propuesta reproduce, básicamente, las alegacionesformuladas en respuesta a la apertura del procedimiento, que han sido suficientementeanalizadas y desestimadas mediante los argumentos desarrolladas anteriormente.


54/79

Así, reitera que es una sociedad sin presencia en España que no utiliza medios situadosen este país, señalando al respecto que la aplicación de un software no constituye un medio yque no lleva a cabo ninguna actividad en el dispositivo móvil del usuario, el cual, en todo caso,estaría siendo utilizado con fines de tránsito para transmitir datos personales desde el teléfonohasta los servidores ubicados en EEUU.

Reitera, asimismo, que ya dispone de un establecimiento en un Estado miembro(Irlanda), y afirma nuevamente que, por virtud del principio de soberanía territorial y al amparode lo establecido en el artículo 28 de la Directiva 95/46/CE, la AEPD no tiene competenciasobre WHATSAPP INC. A lo indicado en sus alegaciones anteriores, añade que el apartado 3del citado artículo no incluye entre los poderes que puede ejercitar una autoridad de control elde imponer sanciones.

Ya hemos indicado como WHATSAPP INC. recoge datos personales de los terminalesmóviles de los usuarios, incluso de forma automática, según la propia entidad reconoce en suPolítica de Privacidad. En contra de lo que se afirma en las alegaciones, la información no serecopila de forma pasiva y sin ninguna actividad de aquella entidad ni se limita a la facilitadadirecta y personalmente por el usuario.

Más adelante se detalla la información recabada por WHATSAPP INC. de formaautomática. Como ejemplo se puede señalar la información relativa a los números de teléfonodel a libreta de direcciones del teléfono del usuario, nombre de perfil, foto de perfil, listas decontacto, información sobre la conexión y dispositivos, estado de conexión e información deldispositivo o a dirección IP y la ubicación..

Estos dispositivos móviles constituye un “medio” al que recurre las entidad interesadapara la recogida del a información, que determina la aplicación de la LOPD a este supuesto. ElGrupo de Trabajo del artículo 29, en su Dictamen 13/2011, de 16/05/2011, sobre los serviciosde geolocalización en los dispositivos móviles inteligentes, es claro al respecto cuando declaraque “el dispositivo concreto es fundamental para calcular su propia ubicación… Este dispositivocumple también el criterio del artículo 4, apartado 1, letra c), del a Directiva sobre protección dedatos, relativo a equipos situados en un Estado miembro”. Lo mismo puede decirse en relacióncon los ordenadores personales en los que se instale la aplicación de mensajería “Whatsapp”.

Las interesadas han alegado, en relación con los terminales móviles que, en todo caso,tales medios se estarían utilizando con fines de tránsito. Sin embargo, esta excepción no esaplicable al presente caso, en el que no se produce una transmisión de punto a punto que enuna parte de su recorrido transite por el territorio español. Al contrario, en este caso se recabandatos personales en el territorio español utilizando para ello medios ubicados en el territorioespañol. Recurrir a medios solamente con fines de tránsito (como, por ejemplo, las redes detelecomuncaciones (cables) que solo garantizan que las comunicaciones transiten por elterritorio de la Unión europea hasta alcanzar los terceros países), constituye una excepción alcriterio de los medios sujeta a una “interpretación estricta”, según declara el Grupo de Trabajodel artículo 29, en su Dictamen 8/2010, de 16/12/2010, sobre el Derecho aplicable. El terminalmóvil no es in dispositivo por el que transite la información para desde un punto hasta otrosituado en un tercer país.

En cuanto al software, no existe duda sobre la condición de responsable del tratamientode los creadores de sistemas operativos y proveedores de aplicaciones capaces de procesar


55/79

datos personales resultantes de la instalación y uso de la aplicación.

También se ha hecho alusión con anterioridad a la constitución de la entidad Whatsapplrelanden en un momento (julio de 2017) posterior a la fecha en que se publica la actualizaciónde los Términos de Servicio y de la Política de Privacidad (agosto de 2016), y muy posterior ala adquisición de WHATSAPP INC. por FACEBOOK, INC. en 2014, de modo que el presenteprocedimiento se refiere a hechos a los que le son plenamente aplicables los Fundamentos deDerecho expuestos.

En cuanto a lo dispuesto en el artículo 28 de la Directiva y la competencia territorial delas autoridades de control, cabe reiterar que dicho precepto no tiene el alcance queWHATSAPP INC. pretende otorgarle cuando señala que el mismo impide que la Agencia actúecontra una entidad con sede en Estados Unidos, por cuanto el mismo, según se ha indicado,está referido a las cuestiones que se susciten entre derecho aplicable y competencia de laautoridad de control dentro del mercado interior.

Sobre la facultad de estas autoridades de control para imponer sanciones, la citadaDirectiva, en el artículo 28.3, se refiere a los poderes de estas autoridades, incluyendo entre losmismos la capacidad procesal en caso de infracciones a las disposiciones nacionalesadoptadas en aplicación de la Directiva. Por otro lado, el artículo 24 de la misma Directivaestablece que “Los Estados miembros adoptarán las medidas adecuadas para garantizar laplena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, lassanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas enejecución de la presente Directiva”. En el caso español, es la AEPD la autoridad que tieneatribuida la potestad sancionadora en materia de protección de datos de carácter personal.

VI

Con carácter previo al análisis del fondo del asunto, se estima conveniente hacerreferencia a las cuestiones previas suscitadas por las entidades interesadas, relativas a losdefectos de forma apreciados por las mismas que, a su juicio, han perjudicado su derecho dedefensa, por el retraso en la notificación de la apertura del procedimiento y el idioma en el quefue notificado el acuerdo correspondiente.

A este respecto, cabe señalar que el acuerdo de apertura del presente procedimientosancionador fue puntualmente notificado a ambas entidades, concediéndoles un plazo dequince días para formular alegaciones, y no el de diez días que con carácter general vieneconcediendo esta Agencia, considerando las circunstancias que concurren en este supuesto y,especialmente, su residencia fuera de España.

En cuanto al idioma en que fue notificado el repetido acuerdo, como ya se advirtió a lascitadas entidades, se tiene en cuenta lo dispuesto en el artículo 15 de la LPACAP, según el cual“la lengua de los procedimientos tramitados por la Administración General del Estado será elcastellano”.

Por otra parte, tanto WHATSAPP INC. como FACEBOOK, INC., pusieron de manifiesto

que en el presente procedimiento se tiene en cuenta el contenido de dos procedimientos(E/04949/2016 y n° E/04948/2016) que fueron archivados, entendiendo por ello que la AEPDno puede apoyarse en los mismos.


56/79

Sin embargo, la Agencia se ha limitado a incorporar a las presentes actuaciones,durante la fase previa de investigación, el resultado de algunas de las comprobacionesrealizadas en los procedimientos citados, que coincide con lo expresado al respecto por dichasentidades en sus respuestas a los Servicios de Inspección y en sus escritos de alegaciones.Estas comprobaciones tienen que ver con los mecanismos habilitados por WHATSAPP INC.para notificar la actualización de sus Términos de Servicio y la Política de privacidad, así comopara recabar el consentimiento de los usuarios de la aplicación de mensajería “Whatsapp”,tanto en relación con los usuarios existentes en el momento en que se publicó la actualización,como respecto de los usuarios nuevos, cuyo contenido consta reseñado en los hechosprobados Cuarto y Quinto.

Por otra parte, las entidades interesadas, en sus escritos de respuesta a la propuestade resolución, alegan que se ha perjudicado su derecho de defensa por la desestimación de laampliación del plazo que le fue concedido para formular alegaciones a dicha propuesta, de lacual, además, se remitió una única versión en español.

En las respuestas elaboradas por el instructor del procedimiento a las solicitudes deampliación del plazo, que desestimaron las mismas, ya se advertía a FACEBOOK, INC. yWHATSAPP INC. sobre las circunstancias que justificaron ese acuerdo desestimatorio y sereiteró lo dispuesto en el citado artículo 15 de la LPACAP en relación con la lengua de losprocedimientos.

En concreto, se consideró que durante la instrucción del procedimiento no se haincorporado ningún nuevo elemento de convicción distinto de los que constaban en el mismoen el momento en que fueron formuladas por la solicitante sus alegaciones al acuerdo deapertura y no se ha practicado prueba adicional alguna, y que ya disfrutó de una ampliación delplazo que le fue concedido para formular alegaciones a la apertura del procedimiento.

Y se tuvo en cuenta, especialmente, que en la notificación de la propuesta de resolución, aligual que en el trámite de apertura del procedimiento, se le concedió un plazo ampliado paraformular alegaciones. El plazo concedido al efecto en ambos trámites fue de quince días, y noel de diez días previsto con carácter general en la LPACAP, en atención a las circunstanciasque concurren en este supuesto y, especialmente, la residencia fuera de España de lasinteresadas. Interesa destacar al respecto lo establecido en la citada LPACAP en los artículossiguientes:

“Artículo 32 Ampliación

1. La Administración, salvo precepto en contrario, podrá conceder de oficio o a petición de losinteresados, una ampliación de los plazos establecidos, que no exceda de la mitad de losmismos, si las circunstancias lo aconsejan y con ello no se perjudican derechos de tercero. Elacuerdo de ampliación deberá ser notificado a los interesados.

2. La ampliación de los plazos por el tiempo máximo permitido se aplicará en todo caso a losprocedimientos tramitados por las misiones diplomáticas y oficinas consulares, así como aaquellos que, sustanciándose en el interior, exijan cumplimentar algún trámite en el extranjero oen los que intervengan interesados residentes fuera de España”.

“Artículo 73 Cumplimiento de trámites


57/79

1. Los trámites que deban ser cumplimentados por los interesados deberán realizarse en elplazo de diez días a partir del siguiente al de la notificación del correspondiente acto, salvo enel caso de que en la norma correspondiente se fije plazo distinto”.

“Artículo 89 Propuesta de resolución en los procedimientos de carácter sancionador” “2. En el caso de procedimientos de carácter sancionador, una vez concluida la instrucción delprocedimiento, el órgano instructor formulará una propuesta de resolución que deberá sernotificada a los interesados. La propuesta de resolución deberá indicar la puesta de manifiestodel procedimiento y el plazo para formular alegaciones y presentar los documentos einformaciones que se estimen pertinentes”.

Por otra parte, WHATSAPP INC. califica también como vicio del procedimiento atribuiblea la AEPD la demora producida en la notificación de la propuesta de resolución, cuya entregatuvo que producirse en las oficinas de la AEPD a un abogado local, a sugerencia de la personaresponsable de la investigación.

Pero no es cierto que se incumpliera la obligación de notificar la propuesta de resolucióna la entidad interesada, ni es atribuible a la Agencia la demora producida en la entrega. Lapropuesta de resolución elaborada por el instructor del procedimiento, de fecha 22/12/2017, fuepuntualmente remitida a WHATSAPP INC., al domicilio señalado inicialmente a efectos denotificaciones, mediante certificado internacional admitido por el Servicio de Correos en lamisma fecha del 22/12/2017. Corresponde a este Servicio la responsabilidad por la tardanza enla entrega, la cual no tuvo lugar hasta el día 23/01/2018, después de que esta Agencia hubieseformulado la oportuna reclamación en fecha 18/01/2018.

Y tampoco es cierto que se entregara la propuesta a “un abogado local” a sugerencia dela Agencia. Fue la propia entidad WHATSAPP INC. la que, a su iniciativa, autorizóexpresamente a dicho abogado para que, en su nombre, se personara en la sede de la Agenciapara que le fuera notificada la repetida propuesta de resolución.

VII

Las presentes actuaciones tienen por único objeto analizar la conformidad con lanormativa de protección de datos de las comunicaciones de datos personales que WHATSAPPINC. realiza a FACEBOOK INC. relativos a los usuarios del servicio de mensajería instantánea“Whatsapp” y los tratamiento de tales datos que esta última realiza con carácter de responsableresponsable. Ello a la luz de la información que la misma facilita a los usuarios del producto yde los mecanismos habilitados para que los afectados presten su consentimiento para que esacesión de datos pueda llevarse a efecto.

No será objeto de pronunciamiento alguno ningún otro aspecto en materia de protecciónde datos que se ponga de manifiesto en los Términos de Servicio y en la Política de Privacidadde WHATSAPP INC., de modo que esta propuesta no servirá de fundamento para considerarque el resto de cuestiones suscitadas por dicha información resultan conformes a la normativaque regula dicha materia.

Tampoco se analiza ningún tipo de cesión de información relativa a usuarios de“Whatsapp” a Facebook Ireland Limited, a las que repetidamente se refieren las entidades


58/79

interesadas para señalar que esta comunicación de información se encuentra suspendidasegún los compromisos asumidos con la autoridad de protección de datos de Irlanda.

Asimismo, no se consideran objeto del procedimiento los accesos a datos personales deusuarios de “Whatsapp” por parte de FACEBOOK, INC. en su condición de encargado deltratamiento, al amparo del contrato de prestación de servicios formalizado por dicha entidadcon WHATSAPP INC., salvo que conlleve un tratamiento de datos personales en el queFACEBOOK, INC. intervenga como responsable, según se expondrá en los Fundamentos dederecho siguientes.

Con esa salvedad que se expondrá más adelante, se entiende que FACEBOOK INC.interviene en la condición de encargado del tratamiento cuando realiza tareas en beneficio deWHATSAPP INC. con las finalidad de prestar servicios de soporte, a los que se refierenampliamente las mismas en sus escritos de alegaciones, los cuales constituyen el objeto delcontrato suscrito por ambas entidades. El acceso a la información por parte de FACEBOOKINC. que conlleva las prestación de tales servicios queda amparado, en consecuencia, por loestablecido en el artículo 12 de la LOPD y no tiene la consideración de comunicación de datos,siempre con la excepción que se expondrá.

VIII

Los hechos objeto de las actuaciones, en relación con los datos personales de usuariosde la aplicación “Whatsapp” que WHATSAPP INC. facilita a FACEBOOK INC., determinaron laimputación a aquella entidad de una infracción del artículo 11.1 de la LOPD, que establece losiguiente:

"1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a untercero para el cumplimiento de fines directamente relacionados con las funciones legítimasdel cedente y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:a Cuando la cesión está autorizada en una Ley.b Cuando se trate de datos recogidos de fuentes accesibles al público.c Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídicacuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dichotratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima encuanto se limite a la finalidad que la justifique.d Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor delPueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejerciciode las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando lacomunicación tenga como destinatario a instituciones autonómicas con funciones análogas alDefensor del Pueblo o al Tribunal de Cuentas.e Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto eltratamiento posterior de los datos con fines históricos, estadísticos o científicos.f Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria parasolucionar una urgencia que requiera acceder a un fichero o para realizar los estudiosepidemiológicos en los términos establecidos en la legislación sobre sanidad estatal oautonómica.


59/79

3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a untercero cuando la información que se facilite al interesado no le permita conocer la finalidad aque destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quiense pretenden comunicar.

4. El consentimiento para la comunicación de los datos de carácter personal tiene también uncarácter de revocable.

5. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho dela comunicación, a la observancia de las disposiciones de la presente Ley.

6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable loestablecido en los apartados anteriores."

La cesión o comunicación de datos se define en el artículo 3.i) de la LOPD como “todarevelación de datos realizada a una persona distinta del interesado”, y se considera un“tratamiento de datos”, definido en la letra c) del mismo artículo como las “operaciones yprocedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabaciónconservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones dedatos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

El presente supuesto no se ajusta a los previstos en el apartado 2 del citado artículo 11de la LOPD, en los cuales no se requiere el consentimiento del afectado para la comunicaciónde los datos a un tercero.

Ni siquiera a la contemplada en la letra c) de este apartado, prevista para aquelloscasos en los que una relación jurídica válidamente aceptada implique “necesariamente” laconexión del tratamiento con ficheros de terceros. La relación jurídica que vincula al usuario dela aplicación de mensajería con WHATSAPP INC. no requiere, para su ejecución ycumplimiento, que se realicen las cesiones de datos a las que se refiere este procedimiento.

Por tanto, la comunicación de datos personales que WHATSAPP INC. realiza aFACEBOOK INC., de acuerdo con el artículo 11.1 de la LOPD, exige el consentimiento delafectado.

IX

La manera en la que debe recabarse el consentimiento en el marco de una relacióncontractual (como la que vincula a WHATSAPP INC. con el usuario de la aplicación) para eltratamiento de datos con fines no relacionados directamente con la relación contratada, vienerecogida en el artículo 15 del Reglamento de desarrollo de la LOPD, que establece lo siguiente:

“Artículo 15. Solicitud del consentimiento en el marco de una relación contractual para fines norelacionados directamente con la misma.

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el procesode formación de un contrato para finalidades que no guarden relación directa con elmantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado quemanifieste expresamente su negativa al tratamiento o comunicación de datos.En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de


60/79

una casilla claramente visible y que no se encuentre ya marcada en el documento que se leentregue para la celebración del contrato o se establezca un procedimiento equivalente que lepermita manifestar su negativa al tratamiento”.

Este artículo 15 de RLOPD impone la obligación de facilitar al interesado la posibilidadde mostrar expresamente su negativa al tratamiento de datos para fines no relacionadosdirectamente con el mantenimiento de la relación contractual, “durante el proceso de formaciónde un contrato”.

En este sentido la sentencia de la Audiencia Nacional de fecha 30 de enero de 2013, hadeclarado lo siguiente: “hay que informar y dar la posibilidad de que el afectado pueda mostrarsu negativa al tratamiento de sus datos con dicha finalidad, como así lo exige el art. 15 del RD1720/2007, en relación con el deber de información en la recogida de datos regulado en elcitado art. 5.1 LOPD. Y en el caso de autos no se ha informado y dado la posibilidad alafectado de mostrar su negativa al tratamiento de sus datos personales con esos fines que noguardan relación directa con la relación contractual, ni en el momento de realizar el pedidotelefónicamente, ni tampoco cuando se recibe el pedido en el domicilio en el talón de venta quetiene que ser firmado por el destinatario de la mercancía, como así hizo el denunciante”.

WHATSAPP INC. habilitó mecanismos para notificar la actualización de los Términos deServicio y la Política de privacidad, así como para recabar el consentimiento de los usuarios dela aplicación de mensajería “Whatsapp”, tanto en relación con los usuarios existentes en elmomento en que se publicó la actualización, como respecto de los usuarios nuevos, cuyocontenido consta reseñado en los hechos probados Cuarto y Quinto.

Los usuarios existentes, al acceder a la aplicación en un teléfono móvil, recibieron unaviso informando sobre dicha actualización, con un enlace que permitía acceder a la misma,así como una indicación advirtiendo que debía aceptarse en un plazo de 30 días (“EnWhatsApp estamos actualizando nuestros Términos de Servicio y nuestra Política dePrivacidad para reflejar la integración de nuevas funciones, como Llamada WhatsApp. Lee losTérminos y la Política de Privacidad para aprender más acerca de tus opciones. Por favoracepta los Términos y la Política de Privacidad antes del 19 de octubre de 2016 para continuarusando WhatsApp”).

Para la aceptación de los Términos de Servicio y de la Política de Privacidad se habilitóun botón con la indicación “ACEPTAR” y se ofreció la misma posibilidad en el apartado deconfiguración Ajustes->Cuenta de la aplicación “Whatsapp”, opción “Compartir la info de micuenta”, con un botón de activación deslizante.

Asimismo, al acceder a los Términos de Servicio y Política de Privacidad siguiendo elenlace antes indicado, se ofreció un mensaje con un checkbox premarcado, con la leyenda“Compartir la información de mi cuenta de WhatsApp con Facebook para mejorar miexperiencia con los productos y publicidad en Facebook. Tus chats y número telefónico noserán compartidos en Facebook independientemente de este ajuste”, y en la base un botóndestacado con la indicación “ACEPTAR”. Al desactivar dicho checkbox aparecía el mensaje“Después de pulsar “Aceptar”, la información de tu cuenta no será usada para mejorar tuexperiencia con los productos y publicidad en Facebook. Y al activarlo de nuevo se indicaba alusuario que “Después de pulsar “Aceptar”, la información de tu cuenta será usada para mejorartu experiencia con los productos y publicidad en Facebook”.


61/79

Es decir, si no se marca dicho checkbox, la información no se utiliza por FACEBOOKINC. con la finalidad de “mejorar la experiencia con los productos y publicidad en “Facebook”,pero no significa que la comunicación de datos a dicha entidad por parte de WHATSAPP INC.no se lleve a cabo, sino que la misma se realiza con otras finalidades incluidas en la Política dePrivacidad.

En el caso de usuarios nuevos, durante la instalación de la aplicación se muestran losenlaces a los Términos de Servicio y a la Política de Privacidad, y si se elige instalar la misma,antes de utilizarla por primera vez se muestra nuevamente un enlace a la información, ademásde un botón etiquetado como “Aceptar y Continuar” que es necesario pulsar para avanzar.

En este último caso, es decir, para “usuarios nuevos” que pretender descargar la

aplicación, no se ofrece la posibilidad de consentir que su información sea compartida conFACEBOOK, INC. “para mejorar mi experiencia con los productos y publicidad en Facebook”.

En definitiva, tanto en el caso de usuarios existentes al publicar la citada actualizacióncomo en el de usuarios nuevos que pretender instalar la aplicación, la aceptación de losnuevos Términos de Servicio y de la Política de Privacidad en su totalidad se impone comoobligatoria para poder hacer uso de la misma o para realizar su instalación en los dispositivos,en el caso de nuevos usuarios.

Resulta, además, que las cesiones o comunicaciones de datos personales, que noguardan relación con las finalidades que determinaron la recogida de datos personales serealizan sin ofrecer a los usuarios opción alguna para mostrar su negativa a las mismas, porcuanto WHATSAPP INC. únicamente habilitó mecanismos para aceptar la cesión deinformación con la finalidad de “mejorar mi experiencia con los productos y publicidad enFacebook” y únicamente en el caso de usuarios existentes.

En consecuencia, el consentimiento que se presta con la aceptación de la Política dePrivacidad y Términos de Servicio no puede considerarse libre, y ello impide que elconsentimiento prestado pueda considerarse válido.

En el Dictamen 15/2011 del Grupo del Artículo 29, sobre la definición del consentimientose declara:

“El consentimiento únicamente puede ser válido si el interesado puede elegir una opción real yno hay ningún riesgo de engaño, intimidación, coerción o consecuencias negativassignificativas en caso de que no consienta. Si las consecuencias del consentimiento socavan lalibertad de elección de la persona, el consentimiento no es libre...

…el consentimiento “libre” supone una decisión voluntaria, de un individuo en posesión detodas sus facultades, tomada sin ningún tipo de coacción, ya sea social, financiera, psicológicau otra”.

En este caso, exigir la prestación del consentimiento para la cesión de datos personalesque contempla la Política de Privacidad, con las finalidades que se expresarán a continuación,como requisito para poder hacer uso de la aplicación de mensajería “Whatsapp”, considerandosu implantación social, puede entenderse, en los términos del Grupo del Artículo 29, como“algo que ejerce una influencia real en la libertad de elección del interesado”.


62/79

Para ayudar a entender esta conclusión, cabe citar el Reglamento (UE) 2016/679, delParlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos,aunque el mismo no es aplicable al presente caso por razones temporales. Este Reglamentoes claro al respecto al señalar en su Considerando 43 que el consentimiento no se ha prestadolibremente “cuando el cumplimiento de un contrato, incluida la prestación de un servicio, seadependiente del consentimiento, aún cuando éste no sea necesario para dicho cumplimiento”.

Con este referencia no se pretende fundamentar la infracción conforme al nuevoReglamento UE, como alegan las entidades interesadas, sino, simplemente, dejar constanciade la confirmación de aquel criterio en la nueva normativa, aplicable a partir del 25/05/2018. Asílo hace también el Tribunal Supremo en la Sentencia de 13/06/2016, reseñada en elFundamento de Derecho V cuando declara: “…el criterio mantenido por la Sala en esassentencias, como hemos señalado antes, se ha visto confirmado por el Reglamento (UE)2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personasfísicas en lo relativo al tratamiento de datos personales y a la libre circulación de estos datos,recientemente aprobado y publicado en el Diario Oficial de la Unión Europea de 4 de mayo de2016, que deroga la Directiva 95/46/CE, el cual, entre otras previsiones a las que ya noshemos referido y despejando posibles dudas…”.

X

El artículo 3.h) de la LOPD define el “consentimiento del interesado” como “todamanifestación de voluntad, libre, inequívoca, específica e informada, mediante la que elinteresado consienta el tratamiento de datos personales que le conciernen”, de lo cual sedesprende la necesaria concurrencia para que el consentimiento pueda ser consideradoconforme a derecho de los cuatro requisitos enumerados en dicho precepto.

Así, para que el consentimiento prestado pueda considerarse válido, el mismo ha de serinformado, de tal modo que la ausencia de información o una información insuficiente sobre losextremos recogidos en el artículo 5 de la LOPD determina la falta de consentimiento para eltratamiento de los datos.

En efecto, el deber de información al afectado aparece regulado en este artículo 5 de laLOPD, cuyos apartados 1 a 3, aplicables al supuesto de recogida de datos del propio afectado,establecen lo siguiente:

“1. Los interesados a los que se soliciten datos personales deberán ser previamenteinformados de modo expreso, preciso e inequívoco:a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad dela recogida de éstos y de los destinatarios de la información.b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les seanplanteadas.c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.e) De la identidad y dirección del responsable del tratamiento o, en su caso, de surepresentante.Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europeay utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvoque tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio delas acciones que pudieran emprenderse contra el propio responsable del tratamiento”.


63/79

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos,en forma claramente legible, las advertencias a que se refiere el apartado anterior.3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si elcontenido de ella se deduce claramente de la naturaleza de los datos personales que sesolicitan o de las circunstancias en que se recaban”.

Asimismo, en cuanto a las formalidades requeridas para la validez del consentimientoprestado, el apartado 3 del mencionado artículo 11 exige que se facilite información alinteresado que le permita conocer “la finalidad a que destinarán los datos cuya comunicaciónse autoriza o el tipo de actividad de aquél a quien se pretenden comunicar”.

La entidad WHATSAPP INC. fue adquirida por FACEBOOK INC. en el año 2014. Estacircunstancia motivó que la primera entidad citada llevase a cabo una actualización de suPolítica de Privacidad y de los Términos de Servicio de la aplicación de mensajería “Whatsapp”,publicada en fecha 25/08/2016, con la que se pretende informar a los usuarios de dichaaplicación sobre la posibilidad de compartir información relativa a los mismos con la entidadFACEBOOK INC.

De acuerdo con lo indicado en la Política de Privacidad, “WhatsApp recibe o recopilainformación de nuestros usuarios cuando operamos y proveemos nuestros Servicios, inclusodurante la instalación, el acceso o el uso de nuestros Servicios”.

Entre la información que recopila figura la relativa a la cuenta de usuario, que incluye sunúmero de teléfono móvil y los números de teléfono de la libreta de direcciones del teléfonomóvil del usuario, ya se trate o no de usuarios de los servicios de WhatsApp Inc., así como unnombre de perfil, foto de perfil y mensaje de estado, en caso de que el usuario los agregue. A lainformación de la cuenta se asocia las listas de contactos favoritos, grupos y listas de difusión.

Asimismo, se refiere la Política de Privacidad a la información que WhatsApp Inc.recopila automáticamente, sobre la actividad del usuario, archivos de registro, así comoinformes y registros de rendimiento, sitio web, fallos y diagnóstico; o información sobretransacciones, en su caso.

Entre la información recopilada automáticamente destacar la información sobre laconexión y dispositivos del usuario, las cookies y la información sobre mensajes de estado,estado de conexión y estado de última conexión.

WhatsApp Inc. recopila información específica del dispositivo del usuario cuando instala,accede o usa los servicios, tal como el modelo de hardware, la información del sistemaoperativo, información sobre el navegador, la dirección IP e información de la red móvil, incluidoel número de teléfono y los identificadores del dispositivo, así como la ubicación del mismo.

Al referirse a las cookies, señala que las utiliza para conocer el idioma del usuario y suspreferencias.

Por otra parte, la Política de Privacidad advierte que WhatsApp Inc. puede recopilarinformación relativa al usuario proporcionada por terceros, ya sean otros usuarios queproporcionan la lista de contactos de su teléfono, proveedores externos o terceros que prestanservicios a los que el usuario accede a través de WhatsApp.


64/79

En cuanto a la comunicación de datos por parte de WhatsApp Inc. a Facebook Inc. y lasfinalidades para las que se lleva a cabo se informa, con carácter general, que “la Política dePrivacidad explica cómo trabajamos en conjunto para brindarte una mejor experiencia; porejemplo, hacer sugerencias de productos, y mostrarte ofertas y publicidad relevantes enFacebook”.

Y añade que “nada de lo que compartes en WhatsApp-incluyendo tus mensajes, fotos,e información de perfil será compartido en Facebook, o en alguna de las aplicaciones quepertenecen a la familia de Facebook, para que otros los vean”. No indica que no se ceda esainformación a Facebook Inc., sino que la misma no se hará visible a los usuarios de lasaplicaciones que pertenecen a la “familia Facebook”.

Se impone a los usuarios del servicio de mensajería “WhatsApp”, y del resto de“aplicaciones, servicios, funciones, software y sitio web” de WhatsApp Inc., la aceptación de las“prácticas de datos”, que incluye el “uso compartido de la información” recopilada, así como latransferencia de la información “a cualquiera de nuestras afiliadas, entidades sucesoras opropietarios nuevos” y la asignación libre a las mismas de todos los derechos y obligacionesestablecidos en los Términos de Servicio y en la Política de Privacidad.

En un apartado específico de la Política de Privacidad, dedicado a las “Empresasafiliadas”, WhatsApp Inc. advierte a los usuarios de sus servicios que, “como parte de la familiade empresas de Facebook”, comparte información con esta familia de empresas, señalando enconcreto que estas empresas podrán utilizar la información de usuarios de WhatsAppcompartida “para ayudar a operar, proveer, mejorar, entender, personalizar y comercializar…sus ofertas”, lo que incluye “entender cómo se usan” los servicios de estas empresas. Y seindica expresamente que “Facebook y las demás empresas de la familia de Facebook tambiénpueden usar nuestra información para mejorar tus experiencias con sus servicios, así comosugerencias (por ejemplo, de amigos o conexiones, o de contenido interesante), mostraranuncios y ofertas relevantes”.

Es obvio, considerando la información facilitada, que Facebook Inc. utiliza la informaciónde usuarios de “WhatsApp” con finalidades específicas de sus propios servicios y, en definitiva,en beneficio de su propia actividad.

Expresiones como “trabajamos en conjunto”, “compartimos esta información”, “usocompartido de tu información”, “todos nuestros derechos y obligaciones… se asignanlibremente a cualquiera de nuestras afiliadas”, “pueden usar nuestra información”, “podemoscompartir tu información” o “Compartir la información de mi cuenta de WhatsApp conFacebook”, permiten concluir que WhatsApp Inc. cede a Facebook Inc. toda la información querecopila de los usuarios del servicio de mensajería “WhatsApp” y que tales cesiones de datosse están produciendo.

Únicamente existe una indicación expresa en el apartado “Empresas afiliadas” sobre eldetalle de la información que se comparte, referida a los mensajes de WhatsApp de losusuarios, según la cual estos menajes “se mantienen privados y no se compartirán para queotros lo vean en Facebook”. Por tanto, incluso estos mensajes de WhatsApp se comparten conFacebook Inc., si bien se informa al respecto que “Facebook no usará tus mensajes deWhatsApp para ningún otro propósito distinto del de ayudarnos a operar y proveer nuestrosservicios”. Este detalle expreso relativo a los mensajes de WhatsApp confirma la conclusiónindicada en el párrafo anterior.


65/79

Asimismo, en la información aportada por WHATSAPP INC. y FACEBOOK INC. enrespuesta a los requerimientos de información que les fueron realizados por los Servicios deInspección de esta Agencia, ambas entidades admiten que comparten información de losusuarios de la aplicación “Whatsapp”. En concreto, WHATSAPP INC. confirmó que“actualmente” comparte con FACEBOOK INC. información de todos los usuarios de laaplicación “Whatsapp”, sean o no usuarios de Facebook, advirtiendo al respecto que esainformación se transmite con periodicidad tanto diaria como en tiempo real.

En concreto, ambas entidades detallaron que comparten el identificador de la cuenta deusuario de WhatsApp, información sobre el dispositivo (incluyendo un identificador comúnincluido en las aplicaciones de Facebook y WhatsApp, el prefijo y código de la red móvil delpaís, información de la plataforma, versión de la aplicación, e identificadores que permiten unseguimiento de la aceptación de la Actualización y las opciones de control); el “estado de últimaconexión” del usuario (esto es, información sobre la última vez en que el usuario utilizó elservicio); y la fecha en que el usuario se dio de alta en su cuenta de WhatsApp

Considerando los detalles indicados anteriormente, cabe añadir que la informaciónsobre los posibles destinatarios de los datos, sobre las finalidades para las que se le ceden o lautilización que harán de los mismos los cesionarios se ofrece de forma poco clara, conexpresiones imprecisas e inconcretas que no permiten deducir, sin duda o equivocación, lafinalidad para la cual van a ser cedidos los datos, lo que impide que el interesado puedaconocer, como señala el Tribunal Constitucional, “a qué uso lo está destinando y, por otro lado,el poder oponerse a esa posesión y usos”. Esta falta de precisión sobre los fines, por otraparte, convierte en ineficaz la información facilitada sobre los tratamientos de datos que sepretenden e impide al usuario conocer el uso al que se destinan sus datos personales.

Por su indefinición, no permite al usuario conocer en la forma precisa que resultaexigible el fundamento que justifica la cesión de sus datos personales, con carácter general, y,menos aún, la utilización que se hará de los mismos; no se especifica qué servicios concretosrequieren la utilización de sus datos y qué finalidades específicas justifican esta utilización porun servicio del que puede que no sea usuario; o para un servicio que se creará en el futuro.

No establece restricción alguna sobre los datos que se cederán en relación con lasfinalidades expresadas, salvo la ya indicada sobre los mensajes de Whatsapp, por lo que elusuario, según las expectativas que resultan razonables y el entendimiento común, yconsiderando los términos empleados, ha de entender que sus datos se utilizarán para todosestos fines, que son muy generales, a pesar de la diversa naturaleza de los datos recogidos.

En cuanto al detalle de los datos personales que son compartidos, ambas entidadesadmitieron que la Política de Privacidad no limita la información exacta que WhatsApp puedecompartir con Facebook. A este respecto, ha de tenerse en cuenta que la delimitación de lainformación que se recaba y que será cedida en relación con una finalidad específica contribuyea la delimitación y comprensión de los fines y, además, es necesarias para valorar laproporcionalidad de la comunicación de dicha información y para poder evaluar lacompatibilidad de cualquier tratamiento de datos posterior sobre una base cierta.

Tampoco Whatsapp Inc. informa de modo expreso, preciso e inequívoco, sobre elcarácter obligatorio o facultativo de la respuesta del usuario a las preguntas que le seanplanteadas, o de las consecuencias de la obtención de los datos o de la negativa a


66/79

suministrarlos.

En el Dictamen 15/2011 del Grupo del Artículo 29, sobre la definición del consentimientose declara:

“Para ser válido, el consentimiento debe ser específico. En otras palabras, el consentimientoindiscriminado sin especificar la finalidad exacta del tratamiento no es admisible. Para ser específico, el consentimiento debe ser comprensible: referirse de manera clara yprecisa al alcance y las consecuencias del tratamiento de datos. No puede referirse a unconjunto indefinido de actividades de tratamiento. Esto significa, en otras palabras, que elconsentimiento se aplica en un contexto limitado.El consentimiento debe darse en relación con los diversos aspectos del tratamiento,claramente identificados. Esto implica saber cuáles son los datos y los motivos del tratamiento.Este conocimiento debería basarse en las expectativas razonables de las partes. Por tanto, el«consentimiento específico» está intrínsecamente relacionado con el hecho de que elconsentimiento debe estar informado. Existe un requisito de precisión del consentimiento conrespecto a los diferentes elementos del tratamiento de datos: no puede pretenderse queabarque «todos los fines legítimos» perseguidos por el responsable del tratamiento. Elconsentimiento debe referirse al tratamiento que es razonable y necesario en relación con lafinalidad”.

Y sobre el consentimiento informado:

“… significa en la práctica que «El consentimiento debe ser con conocimiento de causa: unconsentimiento «informado» por parte del interesado supone un consentimiento basado en laapreciación y comprensión de los hechos y consecuencias de una acción. El individuo afectadodebe contar con información exacta y completa, dada de forma clara y comprensible, sobretodas las cuestiones pertinentes, en especial las especificadas en los artículos 10 y 11 de laDirectiva, tal como la naturaleza de los datos tratados, los fines del tratamiento de que van aser objeto los datos, los destinatarios de los mismos y los derechos del interesado. Esto incluyetambién el conocimiento de las consecuencias de no consentir el tratamiento de los datos encuestión”.

En consecuencia, el consentimiento que se presta con la aceptación de la Política dePrivacidad y Términos de Servicio no puede considerarse específico e informado, y ello impideque el consentimiento prestado pueda considerarse válido.

Por tanto, considerando lo expuesto en el presente Fundamento de Derecho y losanteriores, la cesión de datos a FACEBOOK INC. se realiza por WHATSAPP INC. en contra delo establecido en el artículo 11 de la LOPD. Esta infracción está tipificada como grave en elartículo 44.3.k) de la LOPD, que califica como tal “La comunicación o cesión de los datos decarácter personal sin contar con legitimación para ello en los términos previstos en esta Ley ysus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva deinfracción muy grave”, pudiendo ser sancionada con multa de 40.001 a 300.000 €, de acuerdocon el artículo 45.2 de la citada LOPD.

XI

El artículo 6.1 de la LOPD establece lo siguiente:


67/79

“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco delafectado, salvo que la ley disponga otra cosa”.

El tratamiento de datos sin consentimiento de los afectados constituye un límite alderecho fundamental a la protección de datos. Este derecho, en palabras del TribunalConstitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7 primer párrafo) “…consiste en un poder de disposición y de control sobre los datos personales que faculta a lapersona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o unparticular, o cuáles puede este tercero recabar, y que también permite al individuo saber quiénposee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estospoderes de disposición y control sobre los datos personales, que constituyen parte delcontenido del derecho fundamental a la protección de datos se concretan jurídicamente en lafacultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterioralmacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estadoo un particular (...).”

Son pues elementos característicos del derecho fundamental a la protección de datospersonales, los derechos del afectado a consentir sobre la recogida y uso de sus datospersonales y a saber de los mismos.

Además, según ha quedado expuesto, para que el consentimiento prestado puedaconsiderarse válido ha de ser informado.

En este caso, las deficiencias expuestas en relación con la información facilitada a losusuarios de “Whatsapp” sobre la cesión de sus datos personales y el efecto que estasdeficiencias produce sobre el la validez del consentimiento prestado al aceptar la Política dePrivacidad y Términos de Servicio, deben entenderse reproducidas respecto de la validez delconsentimiento prestado para que los datos cedidos puedan ser sometidos a tratamiento porparte de FACEBOOK INC., como destinataria de la información cedida por WHATSAPP INC.,resultando, según se ha indicado, que el consentimiento prestado no puede considerarse libre,específico e informado.

Sirven, igualmente, los argumentos expuestos en el Fundamento de Derecho siguientepara desestimar el planteamiento realizado por WHATSAPP INC. y FACEBOOK INC. en lasrespuestas facilitadas a los Servicios de Inspección, que pretenden justificar la utilización de losdatos de usuarios de “Whatsapp” por parte de FACEBOOK INC. en su condición de encargadodel tratamiento de los datos, para la prestación de servicios a WHATSAPP INC. Así, el acceso yutilización de los datos personales de usuarios de la aplicación por parte de FACEBOOK INC.en su propio interés y con finalidades específicas suyas (las detalladas en el Fundamento deDerecho anterior) constituye un tratamiento de datos que exige el consentimiento previo delinteresado, el cual no se ha recabado en este caso de conformidad con las normas aplicables.

La infracción de lo establecido en el artículo 6 de la LOPD se encuentra tipificada comograve en el artículo 44.3.b) de dicha norma, que considera como tal “Tratar datos de carácterpersonal sin recabar el consentimiento de las personas afectadas, cuando el mismo seanecesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”, pudiendo sersancionada, con multa de 40.001 euros a 300.000 euros, de acuerdo con el artículo 45.2 de lacitada Ley Orgánica.

XII


68/79

Conforme al artículo 3.d) de la LOPD, el responsable del fichero o del tratamiento es “lapersona física o jurídica... que decida sobre la finalidad, contenido y uso del tratamiento”. En elartículo 5.1.q) del Reglamento de desarrollo de la LOPD, aprobado por Real Decreto1720/2007, de 21 de diciembre (RLOPD), se define “Responsable del fichero o del tratamiento:Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo oconjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque nolo realizase materialmente”.

El artículo 3.g) de la LOPD, define la figura del encargado del tratamiento como “…lapersona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo oconjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento…”.Y el artículo 5.1.i) del RDLOPD lo define como “La persona física o jurídica, pública o privada, uórgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuentadel responsable del tratamiento o del responsable del fichero, como consecuencia de laexistencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de suactuación para la prestación de un servicio”.

En cuanto a las relaciones entre el responsable del fichero o tratamiento y el encargadodel tratamiento, habrá que estar a lo dispuesto en el artículo 12 dela LOPD:

“1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dichoacceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contratoque deberá constar por escrito o en alguna otra forma que permita acreditar su celebración ycontenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratarálos datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará outilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para suconservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán serdestruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte odocumentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, loscomunique o los utilice incumpliendo las estipulaciones del contrato, será considerado tambiénresponsable del tratamiento, respondiendo de las infracciones en que hubiera incurridopersonalmente”.

Con esta regulación se pretende dar respuesta a situaciones en que el responsable deltratamiento precise encomendar a un tercero la prestación de un servicio que requiera elacceso a datos de carácter personal, de modo que dicho acceso no constituya una cesión dedatos, sino que se realice en nombre y por cuenta del responsable como si fuera él mismoquien lo lleva a cabo. Se exige que el acceso a los datos por el tercero se efectúe con laexclusiva finalidad de prestar un servicio al responsable del fichero.


69/79

WHATSAPP INC. y FACEBOOK INC. han manifestado que la primera cede los datos ala segunda en calidad de encargado del tratamiento, a efectos de recibir servicios y con el finde brindar soporte general a la compañía y a sus operaciones. Añaden que eso incluyecompartir información con fines de análisis de inteligencia empresarial respecto de los serviciosque ofrecen ambas compañías (así como otras aplicaciones pertenecientes a la familia deFacebook), tales como labores de deduplicación, que permiten un recuento preciso de losusuarios de WhatsApp (incluyendo usuarios activos) y conocer el número de usuarios únicosde la familia de aplicaciones, así como un seguimiento de patrones de uso de WhatsApp, enrelación con patrones de uso de otras aplicaciones que forman parte de la familia de Facebook.

Se habla, por ejemplo, de que FACEBOOK INC. realiza labores de deduplicación paraconocer usuarios únicos de los servicios que prestan la familia Facebook, así como lascaracterísticas de uso y la frecuencia. WHATSAPP INC. y FACEBOOK INC. manifiestan que esnecesario correlacionar las cuentas de “Facebook” y “Whatsapp” para realizar un análisis deinteligencia empresarial respecto de los servicios que ofrecen dichas entidades y otrasaplicaciones de la familia Facebook, ya que permite la deduplicación de usuarios únicos de lafamilia de aplicaciones.

Sin embargo, según ha quedado expuesto, en el presente caso se informa a losusuarios de la aplicación de mensajería “Whatsapp” que las entidades interesadas trabajan “enconjunto” o que hacen un “uso compartido de la información” con la finalidad de “ayudar aoperar, proveer, mejorar, entender, personalizar y comercializar… sus ofertas” o para brindar alos usuarios “una mejor experiencia; por ejemplo, hacer sugerencias de productos, y mostrarteofertas y publicidad relevantes en Facebook”.

Además, tanto Facebook Ireland como WHATSAPP INC., en sus respuestas a losrequerimientos que les fueron realizados por los Servicios de Inspección de esta Agencia,manifestaron que compartir los datos de todos los usuarios de la aplicación “Whatsapp” esnecesario para “identificar” y calcular el número de usuarios únicos de la familia de serviciosque ofrece Facebook y que dicha información permite entender si el usuario de “Whatsapp” esrealmente usuario único de dicha aplicación o si dispone también de una cuenta en Facebook,así como informar a los medios externos, incluyendo a sus inversores, del número de usuarioscon los que cuenta y la frecuencia con la que los mismos utilizan la familia de servicios queofrece Facebook.

Y declararon, asimismo, que es necesario correlacionar de forma fiable las cuentas deFacebook y Whatsapp con la finalidad de permitir a Facebook mejorar la experiencia depublicidad y productos que ofrece a sus usuarios, lo que esta última entidad describe comomejorar el producto principal de Facebook (como por ejemplo, a efectos de mejorar la exactitudde las sugerencias que ofrece la característica de ‘Gente que podrías conocer”) o de losproductos publicitarios de Facebook (como por ejemplo, a efectos de relacionar con mayorprecisión sus propios usuarios con anuncios que los anunciantes dirigen a sus clientes). Paraello, según informó Facebook Ireland, se utiliza fundamentalmente la identificación de la cuentade usuario de “Whatsapp”.

Considerando estas finalidades, no puede decirse que el acceso a los datos de usuariosde “Whatsapp” por FACEBOOK INC. se efectúa con la exclusiva finalidad de prestar un servicioal responsable del fichero. El acceso y tratamiento por parte de FACEBOOK INC. a los datospersonales de usuarios de “Whatsapp” no se realiza únicamente para prestar servicios aWHATSAPP INC., sino también en el propio beneficio de FACEBOOK INC. y con finalidades de


70/79

su interés exclusivo, empresarial o de otro tipo.

La correlación de datos a la que se refieren estas entidades conlleva contrastar lasbases de datos de ambas empresas para delimitar aquellos usuarios que son comunes aambas, de forma que es posible conocer a las personas que no figuran en la base de datos decada una de las empresas y que, por tanto, se convierten en potenciales clientes de lasmismas. Una entidad obtiene datos de usuarios de otra entidad, que no eran suyos propios,pasando a estar a su disposición. Y ello con el propósito de mejorar el producto principal deFacebook y los productos publicitarios de la misma.

El artículo 47 del Reglamento de desarrollo de la LOPD se refiere a la “Depuración dedatos personales” en los términos siguientes:

“Cuando dos o más responsables por sí mismos o mediante encargo a terceros pretendieranconstatar sin consentimiento de los afectados, con fines de promoción o comercialización desus productos o servicios y mediante un tratamiento cruzado de sus ficheros quiénes ostentanla condición de clientes de una u otra o de varios de ellos, el tratamiento así realizadoconstituirá una cesión o comunicación de datos”.

Siendo así, en relación con la correlación de datos con las finalidades expresadas,FACEBOOK INC. no puede ser considerada encargada del tratamiento y la entrega deinformación a la misma por parte de WHATSAPP INC. para dicha correlación de datosconstituye una verdadera comunicación o cesión de datos, puesto que por esa vía FACEBOOKINC. establece un nuevo vínculo con los usuarios de “Whatsapp”. FACEBOOK INC. no sólopresta el servicio al responsable del fichero, WHATSAPP INC., sino que destina los datos a supropia finalidad publicitaria y de mejora de sus productos.

A este respecto, el artículo 20 del mismo Reglamento de desarrollo de la LOPDestablece que “se considerará que existe comunicación de datos cuando el acceso tenga porobjeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”.

Por ello, la operación no encaja en la figura del encargado del tratamiento y requiere elprevio consentimiento libre, específico e informado del afectado, con el alcance expresado enlos Fundamentos de Derechos anteriores.

Se alega que no es aplicable el artículo 47 del Reglamento de desarrollo de la LOPD,según la propia doctrina de la AEPD recogida en el informe jurídico 0364/2015. Sin embargo, elpresente caso no se ajusta al supuesto analizado en dicho Informe, en el que se analiza ladepuración que una entidad realiza en dos bases de datos para identificar los registroscomunes y excluirlos de una acción publicitaria. En el presente caso, FACEBOOK INC. utiliza lainformación de usuarios de “Whatsapp” para realizar una deduplicación con el alcanceexpresado, en su propio beneficio y en el del grupo de empresas, lo que constituye una cesiónde datos.

El Grupo de Trabajo del Artículo 29, en el Dictamen sobre cuestiones de protección dedatos en relación con buscadores de fecha 04/04/2008, indica lo siguiente sobre la correlaciónde datos entre servicios:

“El Grupo de Trabajo considera que la correlación de datos personales entre los servicios yplataformas para usuarios registrados sólo puede realizarse de forma legítima basándose en el


71/79

consentimiento después de haber informado adecuadamente a los usuarios.Registrarse ante el proveedor del buscador para beneficiarse de un servicio de búsqueda máspersonalizado debe ser un acto voluntario… También puede efectuarse una correlación para los usuarios no registrados, basándose en ladirección IP o en una cookie única que pueden reconocer todos los distintos servicios ofrecidospor un proveedor de un buscador. Normalmente esto se hace de forma automática, sin que elusuario sea consciente de dicha correlación. La vigilancia encubierta del comportamiento delas personas, por supuesto, de comportamientos privados como visitar páginas web, no cumplelos principios de tratamiento leal y legítimo de la Directiva de protección de datos. Losproveedores de servicios de búsqueda deben ser muy claros sobre el grado de correlación dedatos entre los diversos servicios y actuar exclusivamente cuando exista consentimiento.Por último, algunos proveedores de servicios de búsqueda admiten explícitamente en supolítica de privacidad que enriquecen los datos proporcionados por los usuarios con datos deterceros, otras empresas… Este tipo de correlación puede ser ilegal si no se informa a losinteresados en el momento de recabar sus datos personales y si no se les proporciona unaforma fácil de acceder a sus perfiles personales, así como el derecho a rectificar o suprimiralgunos elementos incorrectos o superfluos. Si el tratamiento en cuestión no es necesario paraprestar el servicio (de búsqueda), se requerirá el consentimiento informado y libre del usuariopara que el tratamiento sea legítimo”.

XIII

El consentimiento no es el único fundamento de legalidad. El tratamiento y cesión dedatos podría resultar conforme con los preceptos de la LOPD si concurriera alguno de lossupuestos contemplados en el artículo 6.2 de la Ley mencionada, que eximen de la obligaciónde recabar el consentimiento del afectado, como excepciones a la regla general contenida en el6.1, estableciendo que “2. No será preciso el consentimiento cuando los datos de carácterpersonal se recojan para el ejercicio de las funciones propias de las Administraciones Públicasen el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontratode una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento ocumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vitaldel interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datosfiguren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción delinterés legítimo perseguido por el responsable del fichero o por el del tercero a quien secomuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales delinteresado”.

En este caso, interesa analizar las excepciones relativas a la existencia de un contrato oprecontrato de una relación negocial, para cuyo mantenimiento o cumplimiento resultenecesario el tratamiento de los datos personales, o de un interés legítimo perseguido por elresponsable.

La excepción a la regla general del consentimiento relativa al interés legítimo del

responsable ha de completarse, conforme a lo prescrito por la Sentencia del Tribunal deJusticia de la Unión Europea de 24 de noviembre de 2011, con la contenida en el artículo 7.f)de la Directiva 95/46/CE, dotado según esa sentencia de efecto directo, y que prescribe que“Los Estados miembros dispondrán que el tratamiento de datos personales sólo puedaefectuarse si (…) es necesario para la satisfacción del interés legítimo perseguido por elresponsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos,siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado


72/79

que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.

Indica la Sentencia de 24 de noviembre de 2011 citada, en su apartado 38, que elartículo 7.f) de la Directiva “establece dos requisitos acumulativos para que un tratamiento dedatos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personalessea necesario para la satisfacción del interés legítimo perseguido por el responsable deltratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, queno prevalezcan los derechos y libertades fundamentales del interesado” y, en relación con lacitada ponderación, el apartado 40 recuerda que la misma “dependerá, en principio, de lascircunstancias concretas del caso particular de que se trate y en cuyo marco la persona oinstitución que efectúe la ponderación deberá tener en cuenta la importancia de los derechosque los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europeaconfieren al interesado”.

Por este motivo, la sentencia señala en su apartado 46 que los Estados miembros, a lahora de adaptar su ordenamiento jurídico a la Directiva 95/46, deberán procurar basarse enuna interpretación de ésta que les permita garantizar un justo equilibrio entre los distintosderechos y libertades fundamentales protegidos por el ordenamiento jurídico de la Unión, por loque, conforme a su apartado 47, “nada se opone a que, en ejercicio del margen de apreciaciónque les confiere el artículo 5 de la Directiva 95/46, los Estados miembros establezcan losprincipios que deben regir dicha ponderación”.

De este modo, para aplicar la causa legitimadora establecida en el citado artículo 7 f)será preciso aplicar la regla de ponderación prevista en el mismo; es decir, valorar si de lascircunstancias en las que se produce el tratamiento o cesión de datos puede determinarse queel interés legítimo de los responsables, en que éstos fundan la cesión y el tratamiento de losdatos ha de entenderse prevalente sobre los derechos del interesado, debiendo tenerse encuenta el artículo 1 de la LOPD, según el cual “la presente Ley Orgánica tiene por objetogarantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertadespúblicas y los derechos fundamentales de las personas físicas, y especialmente de su honor eintimidad personal y familiar”. Para ello habrán de tenerse en cuenta todas las circunstanciasque rodean la recogida, tratamiento y cesión de los datos y el modo en que se ven cumplidos oreforzados los principios, derechos y obligaciones exigidos por la normativa de protección dedatos de carácter personal

El artículo 7.f) de la Directiva 95/46/CE no puede ser interpretado en el sentido de quela mera invocación del interés legítimo del responsable pueda justificar por sí solo eltratamiento o cesión de los datos, sino que es necesario que el mencionado interés legítimosea preponderante sobre los derechos e intereses de los afectados. Así lo ha puesto demanifiesto el Tribunal de Justicia de la Unión Europea en la tan repetida Sentencia de 24 denoviembre de 2011, tal y como se ha indicado en un lugar anterior de la presente resolución.

Así, el mero interés legítimo derivado de la simple voluntad de ejercer una actividadempresarial o las simples mejoras en la prestación de un servicio (“para ayudar a operar,proveer, mejorar, entender, personalizar y comercializar… sus ofertas”; “mejorar tusexperiencias con sus servicios, así como sugerencias (por ejemplo, de amigos o conexiones, ode contenido interesante), mostrar anuncios y ofertas relevantes”), en beneficio de la propiaactividad, no es suficiente para legitimar una cesión de datos si una vez efectuado el juicio deponderación impuesto por el artículo 7.f) de la Directiva han de prevalecer otros derechosfundamentales e intereses dignos de protección y, en particular, los derechos a la intimidad y a


73/79

la protección de datos de carácter personal, consagrado por los artículos 7 y 8 de la Carta deDerechos Fundamentales de la Unión Europea y 18 de la Constitución. Ello impone que elinterés legítimo invocado deba ostentar la relevancia necesaria para que quepa apreciar suprevalencia una vez llevada a cabo la mencionada ponderación.

Por otra parte, deberá tenerse en cuenta que el interés legítimo ha de valorarseatendiendo, especialmente, a la proporcionalidad del tratamiento en relación con la finalidadpretendida, y que el mismo se encuentra estrechamente vinculado al establecimiento demecanismos que permitan al usuario anteponer su propio interés y el respeto de sus derechos.

En este caso, como se ha puesto de manifiesto, de las actuaciones practicadas sedesprende que no resulta posible la determinación clara de las finalidades que justifican eltratamiento de los datos, ni qué datos son recogidos y cedidos para cada una de ellas. Delmismo modo, se ha constatado que la información facilitada al interesado no resulta ajustada alo exigido por la normativa nacional y de la Unión Europea en materia de protección de datosde carácter personal.

De este modo, considerando lo anterior y que ni siquiera es posible conocer claramentelas finalidades del tratamiento difícilmente las mismas pueden asociarse a intereses legítimosque puedan prevalecer sobre los derechos de los interesados, a los que no se informaclaramente acerca de los extremos exigidos por las normas de protección de datos.

Por otra parte, tampoco cabe apreciar la excepción relativa a la existencia de uncontrato o relación negocial, por cuanto la relación que vincula a la entidad WHATSAPP INC.con los usuarios de la aplicación de mensajería no requiere, como necesaria para sumantenimiento o cumplimiento, la comunicación de datos constitutiva de la infraccióndeclarada. Esta relación no cumple el requisito de necesidad al que se refiere el artículo 6.2 dela LOPD cuando señala que “No será preciso el consentimiento cuando los datos de carácterpersonal… se refieran a las partes de un contrato o precontrato de una relación negocial,laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.

La legitimación para el tratamiento se limita a lo necesario para la adecuada prestaciónde dicho servicio, de modo que no puede considerarse que los usuarios, por el simple hecho deusar una aplicación, permitan la cesión a terceros de sus datos personales y el tratamientoposterior por parte de estos.

XIV

En las alegaciones presentadas por WHATSAPP INC. a la propuesta de resolución selimita a reiterar las mismas razones puestas de manifiesto con anterioridad. Básicamente,señala que las cesiones se realizan en virtud del contrato de encargo de tratamiento, noexistiendo prueba sobre cesiones de datos indiscriminadas, y que esta Agencia se basa en unainterpretación errónea de la Política de Privacidad y de las respuestas facilitadas durante lafase previa de investigación.

No comparte esta Agencia esa conclusión sobre la interpretación errónea de lainformación que las propias entidades interesadas aportaron en respuesta a los requerimientosque le fueron efectuados por los Servicios de Inspección, con el alcance que nuestroordenamiento jurídico otorga a tales actuaciones.


74/79

Esa información ha sido detallada ampliamente en los Antecedentes y Fundamentos deDerecho que preceden. No obstante, se estima oportuno reseñar nuevamente, como ejemplo,algunas de las manifestaciones realizadas por WHATSAPP INC. a los Servicios de Inspecciónde esta Agencia:

<<Sus Preguntas:

Datos que comparte WhatsApp con Facebook

Dando respuesta a la primera pregunta de la Carta de la AEPD, debe inicialmente advertirseque WhatsApp únicamente recopila ciertas categorías limitadas de datos personales de sususuarios, y que a su vez únicamente comparte con Facebook cierta información igualmentelimitada.

(…)

WhatsApp actualmente comparte las siguientes categorías limitadas de información conFacebook:

• El identificador de la cuenta de usuario de WhatsApp ( WhatsApp Account ID);• Cierta información sobre el dispositivo (incluyendo un identificador común incluido en lasaplicaciones de Facebook y WhatsApp, el prefijo y código de la red móvil del país,información de la plataforma, versión de la aplicación, e identificadores que permiten unseguimiento de la aceptación de la Actualización y las opciones de control);• El “estado de última conexión” del usuario (esto es, información sobre la última vez en queel usuario utilizó el servicio); y• La fecha en que el usuario se dio de alta en su cuenta de WhatsApp>>.

Y en el párrafo siguiente puntualiza que a esa fecha no comparte los contactos de los usuarios de la aplicación de mensajería:

“Si bien la Polftica de Privacidad de WhatsApp no limita la información exacta que WhatsApppuede compartir con Facebook, WhatsApp no comparte a esta fecha los contactos deWhatsApp de sus usuarios con Facebook, sin que tampoco exista a esta fecha previsiónalguna a efectos de compartir dicha información”.

Dentro del mismo apartado “Sus preguntas” incluye la siguiente respuesta:

“Detalles en relación con las cesiones

En respuesta a las preguntas cuarta y quinta que se plantean en la Carta de la AEPD, lasdistintas categorías limitadas de datos que WhatsApp comparte son recopiladas de los propiosusuarios de WhatsApp con ocasión del uso por su parte de nuestros servicios, incluyendo através de su uso de nuestra aplicación de mensajería WhatsApp Messenger. Esto se explicacon mayor detalle en el apartado de “Información recopilada” previsto en la Política dePrivacidad de WhatsApp. Dicha información se transmite de forma segura a través de canalestecnológicos cifrados a través de Internet a los servidores de Facebook”.

En relación con los usuarios que no consintieron que sus datos sean cedidos,WHATSAPP INC. manifestó lo siguiente:


75/79

“Además, tal y como se ha indicado anteriormente, WhatsApp proporcionó un control sobre eluso de los datos sin precedentes con el fin de permitir a los usuarios existentes que eligiesen siFacebook puede utilizar la información de su cuenta de WhatsApp para mejorar los productos yla experiencia publicitaria de Facebook. Los usuarios existentes que han aceptado laActualización pero que utilizaron ese control para no permitir a Facebook utilizar la informaciónde sus cuentas de WhatsApp para mejorar los productos y la experiencia publicitaria deFacebook pudieron continuar utilizando el servicio de WhatsApp como antes, de acuerdo con losactualizados Términos y la Política de Privacidad. En estos casos, Facebook no utilizará estainformación de las cuentas de usuarios de WhatsApp para mejorar sus productos y suexperiencia publicitaria. No obstante, dicha información de las cuentas de usuarios deWhatsApp podría seguir siendo compartida con Facebook con otras finalidades incluidas en laPolítica de Privacidad como, por ejemplo, para entender cómo son utilizados los servicios deWhatsApp o los servicios de otras sociedades del grupo Facebook…”.

Es tanto como decir que la información relativa a usuarios que si prestaron suconsentimiento será utilizada por Facebook Inc. para mejorar sus productos y su experienciapublicitaria.

XV

El artículo 45.2 y 4 LOPD establece lo siguiente:

“2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros”.“4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:a) El carácter continuado de la infracción.b) El volumen de los tratamientos efectuados.c) La vinculación de la actividad del infractor con la realización de tratamientos de datos decarácter personal.d) El volumen de negocio o actividad del infractor.e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.f) El grado de intencionalidad.g) La reincidencia por comisión de infracciones de la misma naturaleza.h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidadimputada tenía implantados procedimientos adecuados de actuación en la recogida ytratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de unaanomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligenciaexigible al infractor.j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad yde culpabilidad presentes en la concreta actuación infractora”.

Tras las evidencias obtenidas, se considera que procede graduar las sanciones aimponer de acuerdo con los siguientes criterios que establece el artículo 45.4) de la LOPD, queoperan en el presente caso concreto como circunstancias agravantes tanto en relación con laentidad WHATSAPP INC. como con FACEBOOK INC., a saber:

1. Por el carácter continuado de la infracción (apartado a), dado que no consta en el expedienteque se haya informado correctamente a los usuarios sobre las comunicaciones de datosrealizadas por WHATSAPP INC. y su utilización posterior por parte de FACEBOOK INC.


76/79

2. Por el volumen de los tratamientos efectuados (apartado b), pues se estima que WHATSAPPINC. tiene 37 millones de usuarios en España y FACEBOOK INC. 21 millones también enEspaña.

3. Por la vinculación de la actividad de las infractoras con la realización de tratamientos decarácter personal (apartado 4.c), pues la actividad empresarial de las entidades interesadasexige un continuo tratamiento de datos de carácter personal, tanto de los usuarios de susservicios como de terceros, que se traduce en un deber de extremar la diligencia a fin degarantizar una tutela efectiva del derecho fundamental que nos ocupa.

La sentencia de la Audiencia Nacional de 17 de octubre de 2007 (Rec. 63/2006) exige aestas entidades que observen un adecuado nivel de diligencia, e indica a este respecto: “….elTribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende undeber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Yen la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad ono del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de larecurrente es de constante y abundante manejo de datos de carácter personal ha de insistirseen el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto”.

4. Por el volumen de negocio o actividad del infractor (apartado 4.d); indicar al respecto que,como dato a tener en cuenta en la graduación de la sanción a imponer, WHATSAPP INC. yFACEBOOK INC. tienen un gran volumen de facturación, como resulta público y notorio.

5. Por los beneficios obtenidos como consecuencia de la comisión de la infracción: los ingresosde Facebook se basan en la publicidad, y el propósito de la cesión es tener una medida másprecisa del público de Facebook y perfilado para publicidad. Whatsapp Inc., por su parte,manifiesta que comparte información para el análisis de las oportunidades de monetización deWhatsapp con la ayuda de los sistemas de Facebook.

6. En relación con el grado de intencionalidad (apartado 4.f), conviene recordar que el elementode la exigibilidad de una conducta diferente es considerado por el Tribunal Supremo como unelemento delimitador de la culpabilidad de las conductas sancionables (sentencias de fechas23 de octubre de 2006 y 22 de noviembre de 2004), ya que desde el punto de vista material, laculpabilidad consiste en la capacidad que tiene el sujeto obligado para obrar de modo distinto y,por tanto, de acuerdo con el ordenamiento jurídico. Así, lo relevante es la diligencia desplegadaen la acción por el sujeto, lo que excluye la imposición de una sanción, únicamente en base almero resultado, es decir al principio de responsabilidad objetiva.

En este caso si bien no es posible sostener que WHATSAPP INC. y FACEBOOK INC.hayan actuado intencionadamente o con dolo, no cabe ninguna duda de que han incurrido enuna grave falta de diligencia. El elevado volumen de tratamientos que realiza se traduce en undeber de extremar la diligencia y de actuar con un mayor rigor a fin de garantizar una tutelaefectiva del derecho fundamental que nos ocupa.

Por todo ello, procede imponer a la entidad WHATSAPP INC. una sanción por importede 300.000 euros, por la infracción del artículo 11 de la LOPD; y a la entidad FACEBOOK INC.una sanción por el mismo importe de 300.000 euros por la infracción del artículo 6 de la mismanorma.


77/79

WHATSAPP INC. ha presentado escrito de alegaciones a la propuesta de resolución enel que se opone a los criterios de graduación reseñados, que coinciden con lo valorados por elinstructor del procedimiento. Sin embargo, basa esta oposición en la inexistencia de infraccióny en los mismos argumentos empleados para justificar esa posición, que no se estimanadecuados para desvirtuar el análisis realizado por esta Agencia para la determinación de lasanción.

Así, frente a los criterios tenidos en cuenta, no se estima suficiente con negar lainfracción y el intercambio de información o acudir de nuevo a la existencia de un contrato deencargo de tratamiento, ni la mera afirmación sobre el ínfimo volumen de información queconllevaría la comunicación de datos, la cual se realiza sin tener en cuenta en modo alguno elnúmero de afectados. Lo mismo ocurre respecto de la negligencia apreciada, sobre la queWHATSAPP INC. únicamente expresa que “no cabe atribuir negligencia o mala praxis” a suconducta.

Tampoco la colaboración con la AEPD y la entrega de la información solicitada por ésta,que están configuradas como una obligación legal, puede salvar los efectos del ascircunstancias agravantes reseñadas.

Por otra parte, en cuanto al volumen de negocio, se alega que no cabe considerar losingresos de Facebook Inc. para la fijación de la sanción que proceda imponer a WHATSAPPINC., que sólo procede considerar a estos efectos las cifras de la actividad en España, lascuales corresponden a Facebook Irlanda y no a Facebook Inc. Sin embargo, se entiende quetodas ellas pertenecen a un mismo grupo empresarial y que las acciones a las que se refiere elprocedimiento se emprenden con el propósito claro de favorecer las actividades desarrolladas porlas entidades que integran dicho grupo.

Los mismos argumentos, en su totalidad, sirven para rechazar la solicitud formulada porWHATSAPP INC. para que se considere lo establecido en el artículo 45.5 de la LOPD, la cualse justifica por dicha entidad simplemente señalando que dicho precepto es aplicable por lasmismas razones expuestas.

Finalmente, debe recordarse que según las respuestas facilitadas, la información setransmite de forma diaria o en tiempo real.

XVI

El artículo 37.2 LOPD establece la obligación de publicar las resoluciones que seadopten por esta Agencia:

“2. Las resoluciones de la Agencia Española de Protección de Datos se harán públicas, unavez hayan sido notificadas a los interesados. La publicación se realizará preferentemente através de medios informáticos o telemáticos.Reglamentariamente podrán establecerse los términos en que se lleve a cabo la publicidad delas citadas resoluciones.Lo establecido en los párrafos anteriores no será aplicable a las resoluciones referentes a lainscripción de un fichero o tratamiento en el Registro General de Protección de Datos ni aaquéllas por las que se resuelva la inscripción en el mismo de los Códigos tipo, regulados porel artículo 32 de esta Ley Orgánica”.


78/79

La Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección deDatos, sobre publicación de sus resoluciones, señala que dicha publicación se lleva a cabopara “un mejor conocimiento de sus criterios y una mayor seguridad jurídica en la aplicación dela Ley… Con ello, se potencia el conocimiento de los criterios en la aplicación de la normativasobre protección de datos, se facilita su cumplimiento y se favorece, asimismo, la aplicación delos principios de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubrede 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento dedatos personales y a la libre circulación de estos datos”.

Vistos los preceptos citados y demás de general aplicación,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad WHATSAPP INC., por una infracción del artículo 11 de laLOPD, tipificada como grave en el artículo 44.3.k) de la LOPD, una multa de 300.000 euros(trescientos mil euros), de conformidad con lo establecido en el artículo 45.2 y 4 de la citadaLOPD.

SEGUNDO: IMPONER a la entidad FACEBOOK INC., por una infracción del artículo 6 de laLOPD, tipificada como grave en el artículo 44.3.b) de la LOPD, una multa de 300.000 euros(trescientos mil euros), de conformidad con lo establecido en el artículo 45.2 y 4 de la citadaLOPD.

TERCERO: NOTIFICAR la presente resolución a la entidad WHATSAPP INC., en su domiciliosocial.

CUARTO: NOTIFICAR la presente resolución a la entidad FACEBOOK INC., en su domiciliosocial, y también a través de FACEBOOK SPAIN, S.L. como establecimiento del responsableen España para que dé traslado de la misma a FACEBOOK INC.

QUINTO: Advertir a los sancionados que las sanciones impuestas deberán hacerlas efectivasuna vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de lasAdministraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 delReglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, enrelación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuentarestringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española deProtección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a surecaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entrelos días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario seráhasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo messiguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en laredacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales,administrativas y del orden social, la presente Resolución se hará pública, una vez haya sidonotificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicaciónde sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del reglamento dedesarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 diciembre.


79/79

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y deconformidad con lo establecido en los artículos 112 y 123 de la Ley 39/2015, de 1 de octubre,del Procedimiento Administrativo Común de las Administraciones Públicas, los interesadospodrán interponer, potestativamente, recurso de reposición ante la Directora de la AgenciaEspañola de Protección de Datos en el plazo de un mes a contar desde el día siguiente a lanotificación de esta resolución o directamente recurso contencioso administrativo ante la Salade lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en elartículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 dejulio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses acontar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1del referido texto legal.

Mar España MartíDirectora de la Agencia Española de Protección de Datos


procedimiento nº ps/00219/2017 resoluciÓn: r/00259/2018 · denuncia contra la entidad facebook en...

Documents