La Comisión de Protección de Datos de Irlanda (CPD) ha anunciado hoy su decisión final tras una investigación sobre LinkedIn Ireland Unlimited Company (LinkedIn). Esta investigación fue iniciada por la CPD, en su calidad de principal autoridad de control de LinkedIn, a raíz de una denuncia presentada inicialmente ante la Autoridad de Protección de Datos de Francia.
La investigación examinó el tratamiento de datos personales por parte de LinkedIn con fines de análisis de comportamiento y publicidad dirigida a los usuarios que han creado perfiles de LinkedIn (miembros). La decisión, adoptada por los comisarios de protección de datos, el Dr. Des Hogan y Dale Sunderland, y notificada a LinkedIn el 22 de octubre de 2024, se refiere a la legalidad, la lealtad y la transparencia de este tratamiento. La decisión incluye una amonestación, una orden para que LinkedIn ajuste su tratamiento a la normativa y multas administrativas por un total de 310 millones de euros.
En julio de 2024, la DPC presentó un proyecto de decisión al mecanismo de cooperación del RGPD, tal como lo exige el artículo 60 del RGPD. No se plantearon objeciones al proyecto de decisión de la DPC. La DPC agradece la cooperación y la asistencia de sus autoridades de supervisión homólogas de la UE/EEE en este caso.
La decisión final de la DPC recoge las siguientes conclusiones de infracción del RGPD:
- Artículo 6 del RGPD y artículo 5(1)(a) del RGPD, en la medida en que exige que el tratamiento de datos personales sea lícito, ya que LinkedIn:
- No se basó válidamente en el artículo 6(1)(a) del RGPD (consentimiento) para procesar datos de terceros de sus miembros con el propósito de análisis de comportamiento y publicidad dirigida sobre la base de que el consentimiento obtenido por LinkedIn no fue otorgado libremente, suficientemente informado o específico, o inequívoco.
- No se basó válidamente en el artículo 6(1)(f) del RGPD (intereses legítimos) para el procesamiento de datos personales de primera parte de sus miembros para análisis de comportamiento y publicidad dirigida, o datos de terceros para análisis, ya que los intereses de LinkedIn fueron anulados por los intereses y los derechos y libertades fundamentales de los interesados.
- No se basó válidamente en el artículo 6(1)(b) del RGPD (necesidad contractual) para procesar datos propios de sus miembros con el fin de realizar análisis de comportamiento y publicidad dirigida.
- Artículos 13(1)(c) y 14(1)(c) del RGPD, con respecto a la información que LinkedIn proporcionó a los interesados sobre su confianza en el artículo 6(1)(a), el artículo 6(1)(b) y el artículo 6(1)(f) del RGPD como bases legales.
- Artículo 5(1)(a) del RGPD, el principio de lealtad.
El comisionado adjunto del DPC, Graham Doyle, comentó:
“ La legalidad del tratamiento es un aspecto fundamental de la legislación sobre protección de datos y el tratamiento de datos personales sin una base jurídica adecuada constituye una clara y grave violación del derecho fundamental del interesado a la protección de datos ”.
La DPC publicará la decisión completa y otra información relacionada a su debido tiempo.
Más información
Esta decisión se refiere a una investigación basada en una queja que se inició el 20 de agosto de 2018, a raíz de una queja presentada por la organización francesa sin fines de lucro La Quadrature Du Net. La queja se presentó inicialmente ante la Autoridad de Protección de Datos francesa y luego se entregó a la DPC en su función de autoridad de control principal para LinkedIn, que actúa como responsable del procesamiento de los datos personales en cuestión.
En esta investigación se examinó la legalidad, la lealtad y la transparencia del tratamiento de los datos personales de los usuarios de la plataforma LinkedIn con fines de análisis de comportamiento y publicidad dirigida. Los datos personales en cuestión incluían datos proporcionados directamente a LinkedIn por sus miembros (datos de primera parte) y datos obtenidos a través de sus socios externos relacionados con sus miembros (datos de terceros).
El RGPD exige que el tratamiento de datos personales se base en una de las bases jurídicas descritas en el artículo 6(1) del RGPD, como el consentimiento, la necesidad contractual o los intereses legítimos. Dependiendo de la base jurídica seleccionada por los responsables, se deben cumplir ciertas condiciones. Por ejemplo, cualquier consentimiento obtenido debe cumplir el estándar exigido por el RGPD de ser una manifestación libre, específica, informada e inequívoca de los deseos del interesado.
El RGPD también exige que el tratamiento se lleve a cabo de forma justa. La equidad es un principio general que exige que los datos personales no se procesen de forma perjudicial, discriminatoria, inesperada o engañosa para el interesado. La ausencia de equidad puede dar lugar a una pérdida de autonomía de los interesados sobre sus datos personales, ponerlos en una posición en la que no puedan ejercer otros derechos del RGPD y afectar a sus derechos fundamentales a la privacidad y a la protección de datos personales.
La transparencia es otro aspecto fundamental de la protección de datos y otorga a los interesados el control sobre el tratamiento de sus datos personales. El cumplimiento de las disposiciones de transparencia por parte de los responsables garantiza que los interesados estén plenamente informados del alcance y las consecuencias del tratamiento de sus datos personales con antelación y en condiciones de ejercer sus derechos.
La decisión final de la DPC ejerció los siguientes poderes correctivos:
- una reprimenda de conformidad con el artículo 58(2)(b) del RGPD;
- tres multas administrativas por un total de 310 millones de euros de conformidad con los artículos 58(2)(i) y 83 del RGPD; y
- una orden a LinkedIn para que ajuste su tratamiento al RGPD de conformidad con el artículo 58(2)(d).