Multa de 310 millones de euros a LinkedIn por violación de privacidad e incumplir la RGPD

LinkedIn tendrá que pagar una multa de 310 millones de euros, impuesta por la Comisión de protección de datos de Irlanda, la DPC. La entidad, que ha actuado ante las violaciones de la RGPD detectadas por parte de LinkedIn, ha confirmado que la sanción se debe a violaciones de privacidad relacionadas con su línea de negocio de rastreo de publicidad.

Se trata de una sanción administrativa impuesta después de que la DPC descubriese varias brechas e incumplimientos, incluyendo varias relacionadas con la legalidad, justicia y transparencia del proceso de datos realizado en dicha línea. Por su envergadura, la sanción se coloca hacia la mitad de la tabla de las 10 mayores sanciones a las grandes tecnológicas por incumplir la RGPD. No es la primera vez que LinkedIn es sancionada por ello, pero esta multa sí es la más elevada que se le ha impuesto hasta ahora.

Según la RGPD, la información de la persona debe utilizarse de manera legal, y las justificaciones que LinkedIn ha aportado para intentar que la DPC creyese que procesaba datos del rastreo publicitario de sus usuarios de la UE no han sido aceptadas como válidas. Además, tampoco informó debidamente a sus usuarios de cómo manejaban su información, según han comentado desde la organización.

Al parecer, LinkedIn había alegado que contaba con diversas formas de consentimiento, así como intereses legítimos para el uso de los datos, y lo que han denominado una «necesidad contractual» para procesar información de las personas cuando la obtenían tanto de manera directa como a través de terceros. Con esta información rastreaban y elaboraban un perfil de sus usuarios para mostrarles publicidad basada en su comportamiento. La DPC no ha aceptado ninguna de estas alegaciones.

Según el Subcomisario de la DPC Graham Doyle, «la legalidad del proceso es un aspecto fundamental de la ley de protección de datos, y el proceso de los datos personales sin una base legal adecuada es una violación clara y grave del derecho fundamental en cuanto a la protección de datos«.

Este caso contra LinkedIn tiene su origen en una queja presentada en 2018 en Francia por la ONG La Quadrature Du Net, dedicada a la defensa de los derechos digitales. Posteriormente, las autoridades encargadas de la protección de datos en Francia pasaron la queja a la DPC, por su papel como supervisor principal relacionado con el cumplimiento de la RGPD que tienen que llevar a cabo Microsoft y sus filiales.

En agosto de 2018, la DPC abrió una investigación formal a LinkedIn, para posteriormente enviar su. propuesta de sanción a otras autoridades de protección de datos de relevancia el pasado mes de julio. Ninguna puso ninguna objeción a la sanción propuesta, por lo que la decisión ya es firme. Además de la multa, LinkedIn tendrá tres meses para hacer que sus operaciones en Europa cumplan la RGPD.

En LinkedIn, como era de esperar, creen que no han cometido infracciones, lo que queda reflejado en el comunicado que han emitido. Así, señalan que «la Comisión de protección de datos irlandesa (IDPC) ha alcanzado una decisión final sobre las quejas de 2018 sobre algunas de nuestras acciones de publicidad digital en la UE. Aunque creemos que hemos cumplido con la RGPD, trabajamos para asegurar que nuestras prácticas publicitarias cumplan lo decidido antes de la fecha límite fijada por la IDPC«.