La multinacional Avast ha sido multada con 13,7 millones de euros por el tratamiento ilegal de datos de sus clientes denunciado por FACUA-Consumidores en Acción en 2020. La sanción ha sido impuesta por la autoridad de protección de datos de República Checa, al ser en este país donde la empresa tiene su sede principal en la Unión Europea.
Tras trascender a los medios de comunicación que Avast había recopilado y vendido datos privados de navegación tan detallados que permitían identificar a sus clientes, FACUA denunció los hechos ante la Agencia Española de Protección de Datos (AEPD). El organismo trasladó el caso a la autoridad de protección de datos checa. Ahora, ha comunicado a la asociación la resolución sancionadora. En ella consta la existencia de al menos un denunciante más además de FACUA, aunque no identifica de quién se trata.
La asociación había presentado su denuncia ante la AEPD tras constatar que Avast podría estar vendiendo los datos de navegación de los usuarios, que permiten su identificación, sin su conocimiento ni autorización expresa. Aunque, según ha se han hecho eco varios médicos de comunicación, no están asociados a nombre, email o IP, su cruce con otra información recopilada como las URL visitadas pueden analizarse para exponer la identidad de la persona.
En este sentido, FACUA señalaba que esta actuación por parte de Avast podría suponer la vulneración del Reglamento General de Protección de Datos (RGPD) al no haber constado «de manera específica e inequívoca» el consentimiento de los usuarios a que sus datos fueran recopilados y cedidos.
Dos medios estadounidenses destaparon el tema
Los medios tecnológicos estadounidenses PCMag y Motherboard fueron quienes dieron la voz de alarma. Avast había estado vendiendo los datos de navegación privados de sus usuarios a través de una compañía subsidiaria llamada Jumpshot.
Sus clientes eran grandes compañías de todo el mundo: Google, Microsoft, Yelp, Home Depot, Sephora, Loreal, McKinsey o Condé Nast, entre muchos otros. Estos datos eran empaquetados por Jumpshot en distintos productos en los que prometía «proporcionar a las compañías una visión más completa de todo el recorrido online del usuario«.
Entre los datos vendidos podían encontrarse búsquedas de ubicaciones y coordenadas GPS en Google Maps, vídeos visitados en YouTube, perfiles en LinkedIn, búsquedas web de Google, etc. Datos suficientes para permitir que pudieran identificarse a los propietarios de los mismos, aun anonimizados. Esto es, permitían reconstruir toda una sesión de navegación y desde ahí deducir ideología política, orientación sexual, lecturas favoritas, proyectos en los que estuviera trabajando, y mucha otra información de cada usuario.
Traslado a República Checa
En su respuesta, la AEPD señaló que procedía a trasladar la reclamación a las autoridades de control competentes de República Checa, al ser en este país donde «el establecimiento principal del responsable en la Unión Europea se ubica«, y teniendo en cuenta que el RGPD es de aplicación directa en todos los países miembro de la Unión Europea.
Ahora, la resolución de la Administración checa ha dictaminado que Avast habría vulnerado varios preceptos de la normativa de protección de datos de dicho país, además de haber infringido los artículos del 5 al 7, el 9 y del 12 al 22 del RGPD, relativos al procesamiento de datos personales y a los derechos de los titulares de dichos datos.
La autoridad de protección de datos checa recoge que Avast es culpable de «no haber informado suficientemente a los interesados (usuarios del programa antivirus Avast y su extensión de navegador) en el momento en el que se obtuvieron los datos de estos, sobre los fines del tratamiento al que estaban destinados y sobre la base jurídica del tratamiento en cuestión«.
Dicho tratamiento no autorizado se produjo al menos, según la administración checa, «durante el período comprendido entre una fecha no detectada de abril de 2019 y un día no detectado de julio de 2019, es decir, durante al menos dos meses naturales completos«, incumpliendo así «la obligación de facilitar al interesado, en el momento en que se obtengan los datos personales, la información especificada«.
Por todo ello, con arreglo a los artículos 58 y 60 del RGPD, la autoridad de República Checa ha multado a la compañía con 13.657.626 millones de euros.
