La Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés) ha emitido una decisión final contra LinkedIn Ireland Unlimited Company, imponiendo una multa de 310 millones de euros por infracciones de la Regulación General de Protección de Datos (GDPR). Esta resolución marca un hito en la supervisión de prácticas de publicidad dirigida y análisis de comportamiento, cuestionando la legitimidad de los métodos empleados por LinkedIn para el tratamiento de datos personales de sus usuarios en la Unión Europea.
La investigación, que inició en 2018 tras una denuncia de la organización francesa La Quadrature Du Net, revisó la legalidad, transparencia y equidad del uso de datos personales en LinkedIn para la publicidad dirigida y el análisis de comportamiento de los usuarios que poseen perfiles en la plataforma.
¿Cuáles fueron los hallazgos de la DPC?
La decisión de la DPC, notificada a LinkedIn el 22 de octubre de 2024, señala varias violaciones del GDPR, entre ellas:
- Violación de la legalidad en el procesamiento de datos: Según el artículo 6 del GDPR, el tratamiento de datos debe estar basado en un fundamento jurídico válido. LinkedIn no logró obtener un consentimiento informado, específico y no ambiguo para procesar datos de terceros para publicidad dirigida. Además, el interés legítimo de la compañía no pudo prevalecer sobre los derechos y libertades fundamentales de los usuarios, quienes, según la DPC, se ven afectados por prácticas de recolección de datos excesivas.
- Falta de transparencia y equidad: La DPC destacó que LinkedIn no informó adecuadamente a los usuarios sobre las bases legales que justificaban el procesamiento de sus datos, contraviniendo los artículos 13 y 14 del GDPR. Asimismo, la falta de transparencia fue vista como un elemento que compromete la autonomía de los usuarios sobre su información personal.
Multa y medidas correctivas
La resolución de la DPC impone a LinkedIn tres sanciones administrativas que totalizan 310 millones de euros y una advertencia formal. Además, exige a la compañía alinear sus prácticas de procesamiento de datos con el GDPR, lo cual implica realizar cambios en su política de privacidad y en los métodos de obtención de consentimiento de sus usuarios europeos.
El Subcomisionado de la DPC, Graham Doyle, comentó sobre la decisión: “La legalidad en el procesamiento de datos personales es un aspecto fundamental en la ley de protección de datos, y el tratamiento de estos sin una base legal adecuada constituye una clara violación del derecho fundamental de los sujetos de datos”.
Respuesta de LinkedIn
A través de un comunicado publicado el 24 de octubre de 2024, LinkedIn defendió sus prácticas, argumentando que ya cumplían con el GDPR. No obstante, la compañía ha expresado su disposición a implementar los cambios requeridos para ajustarse a la decisión de la DPC.
“Si bien creemos que nuestras prácticas cumplen con el GDPR, trabajaremos para asegurar que nuestros esfuerzos publicitarios cumplan con el plazo impuesto por la DPC”, afirmó LinkedIn en su declaración pública.
Un precedente importante para la privacidad en la UE
Esta resolución es una advertencia para las plataformas que utilizan datos de usuarios para análisis de comportamiento y publicidad dirigida. Al basar sus decisiones en principios de transparencia, equidad y autonomía, la DPC demuestra su compromiso en proteger los derechos de privacidad de los ciudadanos europeos.
