La Agencia Española de Protección de Datos (AEPD) ha sancionado con 300.000 euros a Whatsapp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y ha impuesto otra sanción del mismo importe a Facebook por tratar esos datos para sus propios fines sin consentimiento, según la resolución del organismo respecto al procedimiento sancionador iniciado contra estas dos empresas.

Así, la Agencia ha impuesto 300.000 euros de sanción a cada entidad teniendo en cuenta factores como el volumen de tratamientos efectuados, el volumen de negocio de las infractoras o la vinculación de la actividad de estas con los tratamientos de datos de carácter personal, entre otros.

En el año 2014, Whatsapp fue adquirida por Facebook y, en agosto de 2016, la primera actualizó los términos de su servicio y la política de privacidad, introduciendo cambios como el hecho de compartir información de los usuarios de Whatsapp con Facebook.

La aceptación de esas nuevas condiciones se impuso como obligatoria para poder hacer uso de la aplicación de mensajería. Esa comunicación de datos personales a Facebook, que no tiene relación con las finalidades determinadas en la recogida de datos original, se realizó "sin ofrecer a los usuarios una información adecuada y sin la opción de mostrar su negativa a las mismas".

En el caso de usuarios que ya tenían instalada la aplicación Whatsapp, la compañía sólo habilitó mecanismos para rechazar que la información cedida pudiera ser utilizada con la finalidad de "mejorar" la "experiencia con los productos y publicidad en Facebook", pero no con otros fines recogidos en la política de privacidad. Además, estos usuarios tenían que aceptar los nuevos términos antes de un plazo concreto para seguir utilizando el servicio.

Asimismo, a los usuarios nuevos no se les ofrecía la opción de negarse a que sus datos fueran cedidos a Facebook para los fines publicitarios o de "mejora de experiencia" antes mencionados, sin permitir instalar la aplicación en caso de no aceptar esas condiciones. La comunicación de datos personales exige el consentimiento del afectado, según el artículo 11 de la LOPD. El actual marco normativo exige que ese consentimiento, además, debe ser "libre, específico e informado".