La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto a LinkedIn una multa de 310 millones de euros tras dictaminar que utilizó indebidamente datos personales para análisis de comportamiento y publicidad dirigida.
Los datos personales incluían tanto datos propios de los propios miembros como datos obtenidos a través de terceros socios de LinkedIn.
El fallo sigue a una queja presentada ante la autoridad francesa de protección de datos en 2018 por la organización sin fines de lucro La Quadrature Du Net, y luego se refirió a la DPC como la principal autoridad supervisora de LinkedIn.
El procesamiento de este tipo de datos requiere justificaciones legales, como el consentimiento, la necesidad contractual o los intereses legítimos, pero deben aplicarse ciertas condiciones, como el consentimiento informado, la equidad y la transparencia.
Según la DPC, LinkedIn no cumplió estas condiciones. En términos de consentimiento, el regulador dijo que este no fue otorgado libremente, ni suficientemente informado, ni específico o inequívoco.
Mientras tanto, LinkedIn no podía basarse en el argumento de los intereses legítimos, según el DPC, ya que los derechos y libertades fundamentales de los usuarios deberían prevalecer sobre los del propio LinkedIn; y tampoco se aplicaba la necesidad contractual.
"La legalidad del procesamiento es un aspecto fundamental de la ley de protección de datos y el procesamiento de datos personales sin una base legal adecuada es una violación clara y grave del derecho fundamental del interesado a la protección de datos", dijo el comisionado adjunto del DPC, Graham Doyle.
La decisión también supone una amonestación para LinkedIn y se le ordena adaptar sus prácticas al RGPD. LinkedIn ha aceptado los hallazgos. "Hoy, la Comisión Irlandesa de Protección de Datos (IDPC) llegó a una decisión final sobre las reclamaciones de 2018 sobre algunos de nuestros esfuerzos de publicidad digital en la UE", dijo en un comunicado. "Si bien creemos que hemos cumplido con el Reglamento General de Protección de Datos (GDPR), estamos trabajando para garantizar que nuestras prácticas publicitarias cumplan con esta decisión antes de la fecha límite del IDPC".
Si bien eclipsada por la multa de 1.550 millones de euros impuesta contra Meta el año pasado, la multa a LinkedIn es una de las más grandes jamás impuesta contra una empresa de tecnología por la DPC por violaciones del RGPD.
Javvad Malik, principal defensor de la concientización sobre la ciberseguridad en KnowBe4, dijo que es bueno ver a los reguladores haciendo cumplir y defendiendo activamente los derechos de los usuarios. Malik agregó que el incidente resalta la importancia de construir marcos sólidos de gobernanza de datos. "Sí sirve como recordatorio de que confiar en 'intereses legítimos' como base legal es una estrategia arriesgada y puede conducir a sanciones significativas y daños a la reputación", afirmó.
En última instancia, este fallo muestra lo vital que es para las organizaciones reevaluar sus modelos de negocio y la ética en torno a la publicidad dirigida. Más bien, necesitan cambiar hacia modelos más centrados en el usuario, donde los usuarios estén claramente informados y tengan la capacidad de tomar las mejores decisiones para ellos.
Fuente: ITPro