A finales del pasado mes de Octubre, la Comisión de Protección de Datos de Irlanda ha publicado su decisión final en relación a una investigación sobre LinkedIn Ireland, iniciada en su condición de Autoridad Principal de Control a raíz de una denuncia presentada en 2018 por Quadrature Du Net ante la Autoridad de Protección de Datos de Francia, en relación al tratamiento de datos personales con fines de análisis del comportamiento de sus usuarios y publicidad dirigida, dado que no ha cumplido con los principios generales relativos a la licitud, lealtad y transparencia de los datos ni ha facilitado una información completa que permita a los interesados otorgar un consentimiento válido para estas actividades de tratamiento, fijando una multa administrativa de 310 Millones de Euros y la obligación a LinkedIn de adecuar sus procesos al cumplimiento de la normativa de protección de datos.
En esta investigación se examinó por la Autoridad Irlandesa la legalidad, la lealtad y la transparencia del tratamiento de los datos personales de los usuarios de la plataforma LinkedIn con fines de análisis de comportamiento y publicidad dirigida. Los datos personales en cuestión incluían datos proporcionados directamente a LinkedIn por sus miembros (datos de primera parte) y datos obtenidos a través de sus socios externos relacionados con sus miembros (datos de terceros).
En la decisión, se pone de manifiesto el incumplimiento por parte de LinkedIn de los principios de licitud, lealtad y transparencia relativos al tratamiento de los datos (art.5.1 a RGPD), estableciendo que la legalidad del tratamiento es un aspecto fundamental de la legislación sobre protección de datos y el tratamiento de datos personales sin una base jurídica adecuada constituye una clara y grave violación del derecho fundamental del interesado a la protección de datos.
Dentro de la decisión, la Autoridad Irlandesa señala que:
- El consentimiento, como base legitimadora para estos tratamientos, no fue recabado correctamente y de acuerdo a lo establecido por la normativa de protección de datos, puesto que no se facilitó a los miembros de LinkedIn una información completa que les permitiera otorgar libremente su consentimiento, puesto que los datos personales no pueden ser tratados de manera que resulten engañosos, discriminatorios o perjudiciales para los usuarios.
- La transparencia es esencial para que los usuarios comprendan para qué finalidad y cómo se tratan sus datos y puedan ejercer sus derechos, otorgando un consentimiento informado y expreso.
- La aplicación de otras bases legitimadoras a estas actividades de tratamiento, como es el Interés Legítimo alegado por LinkedIn no es posible dado que en este caso prevalecen los derechos y libertades fundamentales de los interesados.
LinkedIn, por su parte, ha manifestado que creía estar cumpliendo correctamente la normativa de protección de datos, y se compromete a revisar y mejorar todos sus procesos de tratamiento de datos, incluido el facilitar una información completa y adecuada a sus miembros.