Malas noticias para LinkedIn en Europa, donde la red social propiedad de Microsoft ha sido reprendida y multada con €310 millones por violaciones de privacidad relacionadas con su negocio de seguimiento de anuncios.
Las sanciones administrativas, que equivalen a alrededor de $356 millones al tipo de cambio actual, han sido emitidas por la Comisión de Protección de Datos de Irlanda (DPC) bajo el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. El regulador encontró una serie de infracciones, incluidas violaciones a la legalidad, equidad y transparencia en el procesamiento de datos en esta área.
El GDPR requiere que el uso de la información de las personas tenga una base legal adecuada. En este caso, las justificaciones en las que se basaba LinkedIn para llevar a cabo su negocio de seguimiento de anuncios fueron encontradas inválidas. Además, no informó de manera adecuada a los usuarios sobre el uso de su información, según la decisión de la DPC.
LinkedIn había afirmado tener bases legales basadas en el «consentimiento», los «intereses legítimos» y la «necesidad contractual» para procesar la información de las personas, ya sea obtenida directamente o de terceros, con el fin de rastrear y perfilar a sus usuarios para publicidad comportamental. Sin embargo, la DPC encontró que ninguna de estas bases era válida. LinkedIn también no cumplió con los principios de transparencia y equidad del GDPR.
Comentando en un comunicado, el subcomisionado de la DPC, Graham Doyle, dijo: «La legalidad del procesamiento es un aspecto fundamental de la ley de protección de datos y el procesamiento de datos personales sin una base legal adecuada es una clara y grave violación del derecho fundamental de los sujetos de datos a la protección de datos».
El tamaño de la sanción sitúa a la red social profesional en una posición intermedia en las diez mayores multas del GDPR a las grandes tecnológicas. Y aunque no es la primera vez que LinkedIn recibe sanciones por violaciones regionales de protección de datos, es sin duda la sanción más importante hasta la fecha. (Aunque la empresa hizo hincapié en que el monto de la multa era menor que la cantidad que Microsoft había reservado en una alerta anterior de 10-K informando a los inversores que esperaba una sanción).
El caso contra LinkedIn se originó con una denuncia en Francia en 2018 por la organización sin ánimo de lucro de derechos digitales La Quadrature Du Net. La autoridad de protección de datos del país luego pasó la denuncia a la DPC, debido a su papel como organismo principal de supervisión de la cumplimiento del GDPR de Microsoft.
La DPC inició una investigación basada en la denuncia en agosto de 2018 antes de finalmente presentar su decisión preliminar a otras autoridades de protección de datos interesadas casi seis años después (en julio de 2024). Después de no recibir objeciones, la decisión fue finalizada y la aplicación ha sido hecha pública.
Además de ser multada, LinkedIn tiene tres meses para adecuar sus operaciones europeas al GDPR.
Un portavoz de LinkedIn, Jonny Wing, remitió a TechCrunch a un comunicado publicado en la sala de prensa de la empresa respecto a la sanción en el que escribió: «Hoy la Comisión de Protección de Datos de Irlanda (IDPC) llegó a una decisión final sobre reclamaciones de 2018 sobre algunos de nuestros esfuerzos de publicidad digital en la UE. Aunque creemos que hemos cumplido con el Reglamento General de Protección de Datos (GDPR), estamos trabajando para asegurarnos de que nuestras prácticas publicitarias cumplan con esta decisión antes de la fecha límite de la IDPC».