La
Comisión de Protección de Datos de Irlanda (DPC) ha impuesto a LinkedIn
una multa de 310 millones de euros
tras dictaminar que utilizó indebidamente datos personales para análisis de
comportamiento y publicidad dirigida.
Los datos personales incluían tanto datos propios de los propios miembros como
datos obtenidos a través de terceros socios de LinkedIn.
El fallo sigue a una queja presentada ante la autoridad francesa de protección
de datos en 2018 por la organización sin fines de lucro La Quadrature Du Net,
y luego se refirió a la DPC como la principal autoridad supervisora de
LinkedIn.
El procesamiento de este tipo de datos requiere justificaciones legales,
como el consentimiento, la necesidad contractual o los intereses legítimos,
pero deben aplicarse ciertas condiciones, como el consentimiento informado,
la equidad y la transparencia.
Según la DPC, LinkedIn no cumplió estas condiciones. En términos de
consentimiento, el regulador dijo que este no fue otorgado libremente, ni
suficientemente informado, ni específico o inequívoco.
Mientras tanto, LinkedIn no podía basarse en el argumento de los intereses
legítimos, según el DPC, ya que los derechos y libertades fundamentales de los
usuarios deberían prevalecer sobre los del propio LinkedIn; y tampoco se
aplicaba la necesidad contractual.
«La legalidad del procesamiento es un aspecto fundamental de la ley de
protección de datos y el procesamiento de datos personales sin una base
legal adecuada es una violación clara y grave del derecho fundamental del
interesado a la protección de datos», dijo el comisionado adjunto del DPC, Graham Doyle.
La decisión también supone una amonestación para LinkedIn y se le ordena
adaptar sus prácticas al RGPD. LinkedIn ha aceptado los hallazgos.
«Hoy, la Comisión Irlandesa de Protección de Datos (IDPC) llegó a una
decisión final sobre las reclamaciones de 2018 sobre algunos de nuestros
esfuerzos de publicidad digital en la UE», dijo en un comunicado. «Si bien creemos que hemos cumplido con el Reglamento General de Protección
de Datos (GDPR), estamos trabajando para garantizar que nuestras prácticas
publicitarias cumplan con esta decisión antes de la fecha límite del
IDPC».
Si bien eclipsada por la
multa de 1.550 millones de euros impuesta contra Meta
el año pasado, la multa a LinkedIn es una de las más grandes jamás impuesta
contra una empresa de tecnología por la DPC por violaciones del RGPD.
Javvad Malik, principal defensor de la concientización sobre la ciberseguridad
en KnowBe4, dijo que es bueno ver a los reguladores haciendo cumplir y
defendiendo activamente los derechos de los usuarios. Malik agregó que el
incidente resalta la importancia de construir marcos sólidos de gobernanza de
datos.
«Sí sirve como recordatorio de que confiar en ‘intereses legítimos’ como
base legal es una estrategia arriesgada y puede conducir a sanciones
significativas y daños a la reputación», afirmó.
En última instancia, este fallo muestra lo vital que es para las
organizaciones reevaluar sus modelos de negocio y la ética en torno a la
publicidad dirigida. Más bien, necesitan cambiar hacia modelos más centrados
en el usuario, donde los usuarios estén claramente informados y tengan la
capacidad de tomar las mejores decisiones para ellos.
Fuente:
ITPro