• La asociación planteó los hechos a la
AEPD en 2020, que trasladó el caso a la autoridad de
protección de datos checa.
• La multinacional Avast ha sido multada con 13,7
millones de euros por el tratamiento ilegal de datos de
sus clientes denunciado por FACUA-Consumidores en Acción
en 2020. La sanción ha sido impuesta por la autoridad de
protección de datos de República Checa, al ser en este
país donde la empresa tiene su sede principal en la
Unión Europea.
Tras trascender a los medios de comunicación que Avast
había recopilado y vendido datos privados de navegación
tan detallados que permitían identificar a sus clientes,
FACUA denunció los hechos ante la Agencia Española de
Protección de Datos (AEPD). El organismo trasladó el
caso a la autoridad de protección de datos checa. Ahora,
ha comunicado a la asociación la resolución
sancionadora. En ella consta la existencia de al menos
un denunciante más además de FACUA, aunque no identifica
de quién se trata.
La asociación había presentado su denuncia ante la AEPD
tras constatar que Avast podría estar vendiendo los
datos de navegación de los usuarios, que permiten su
identificación, sin su conocimiento ni autorización
expresa. Aunque, según ha se han hecho eco varios
médicos de comunicación, no están asociados a nombre,
email o IP, su cruce con otra información recopilada
como las URL visitadas pueden analizarse para exponer la
identidad de la persona.
En este sentido, FACUA señalaba que esta actuación por
parte de Avast podría suponer la vulneración del
Reglamento General de Protección de Datos (RGPD) al no
haber constado "de manera específica e inequívoca" el
consentimiento de los usuarios a que sus datos fueran
recopilados y cedidos.
DOS MEDIOS ESTADOUNIDENSES DESTAPARON EL TEMA
Los medios tecnológicos estadounidenses PCMag y
Motherboard fueron quienes dieron la voz de alarma.
Avast había estado vendiendo los datos de navegación
privados de sus usuarios a través de una compañía
subsidiaria llamada Jumpshot.
Sus clientes eran grandes compañías de todo el mundo:
Google, Microsoft, Yelp, Home Depot, Sephora, Loreal,
McKinsey o Condé Nast, entre muchos otros. Estos datos
eran empaquetados por Jumpshot en distintos productos en
los que prometía "proporcionar a las compañías una
visión más completa de todo el recorrido online del
usuario".
Entre los datos vendidos podían encontrarse búsquedas de
ubicaciones y coordenadas GPS en Google Maps, vídeos
visitados en YouTube, perfiles en LinkedIn, búsquedas
web de Google, etc. Datos suficientes para permitir que
pudieran identificarse a los propietarios de los mismos,
aun anonimizados. Esto es, permitían reconstruir toda
una sesión de navegación y desde ahí deducir ideología
política, orientación sexual, lecturas favoritas,
proyectos en los que estuviera trabajando, y mucha otra
información de cada usuario.
TRASLADO A REPÚBLICA CHECA
En su respuesta, la AEPD señaló que procedía a trasladar
la reclamación a las autoridades de control competentes
de República Checa, al ser en este país donde "el
establecimiento principal del responsable en la Unión
Europea se ubica", y teniendo en cuenta que el RGPD es
de aplicación directa en todos los países miembro de la
Unión Europea.
Ahora, la resolución de la Administración checa ha
dictaminado que Avast habría vulnerado varios preceptos
de la normativa de protección de datos de dicho país,
además de haber infringido los artículos del 5 al 7, el
9 y del 12 al 22 del RGPD, relativos al procesamiento de
datos personales y a los derechos de los titulares de
dichos datos.
La autoridad de protección de datos checa recoge que
Avast es culpable de "no haber informado suficientemente
a los interesados (usuarios del programa antivirus Avast
y su extensión de navegador) en el momento en el que se
obtuvieron los datos de estos, sobre los fines del
tratamiento al que estaban destinados y sobre la base
jurídica del tratamiento en cuestión".
Dicho tratamiento no autorizado se produjo al menos,
según la administración checa, "durante el período
comprendido entre una fecha no detectada de abril de
2019 y un día no detectado de julio de 2019, es decir,
durante al menos dos meses naturales completos",
incumpliendo así "la obligación de facilitar al
interesado, en el momento en que se obtengan los datos
personales, la información especificada".
* Por todo ello, con arreglo a los artículos 58 y 60 del
RGPD, la autoridad de República Checa ha multado a la
compañía con 13.657.626 millones de euros. |
• © valenciadiario.com
© valenciadiario.es © valenciadiario.eu - 2015-2023 (Todos los derechos
reservados).
• Queda terminantemente prohibida la reproducción total
o parcial de los contenidos ofrecidos a través de esta
Web, salvo autorización expresa de valenciadiario.com, o
de valenciadiario.es.
• Queda prohibida toda reproducción a los efectos del artículo
32,1, párrafo segundo, Ley 23/2006 de la Propiedad
Intelectual.
• Queda prohibida la distribución, puesta a disposición,
comunicación pública y utilización, total o parcial, de los
contenidos de esta Web, en cualquier forma o modalidad, sin previa,
expresa y escrita autorización, incluyendo, en particular, su mera
reproducción y/o puesta a disposición como resúmenes, reseñas o
revistas de prensa con fines comerciales o directa o indirectamente
lucrativos, a la que se manifiesta oposición expresa. |