AEPD wykazało wiele przypadków, w których Facebook gromadził dane na temat swoich użytkowników na terenie Hiszpanii bez ich wiedzy i zgody.

Dane, które były gromadzone, to informacje m.in. dotyczące poglądów, orientacji seksualnej i wierzeń religijnych, a także gusta i nawyki dotyczące konsumpcji mediów. Gromadzone były one bez informowania użytkowników zarówno o sposobie ich wykorzystywania, jak i o samym fakcie ich zbierania.

Sprawa obejmuje również proces gromadzenia przez Facebooka danych, który odbywał się bez uzyskania w pełni świadomej zgody na zbieranie danych. AEPD wykazało, że informacje, których serwis społecznościowy udzielał swoim użytkownikom na temat zbierania danych, nie były wystarczające do udzielenia takiej zgody.

Facebook śledził użytkowników za pomocą przycisku "Lubię to", który znajduje się na niemal każdej stronie internetowej. Serwis społecznościowy co prawda informował, że pozyskane w ten sposób dane będą wykorzystywane "dla celów reklamowych", jednakże hiszpański odpowiednik GIODO uznał, że jest to niewystarczająca informacja, a także - niejedyne zastosowanie pozyskanych przez Facebooka danych. AEPD stwierdziło również, że ten rodzaj gromadzenia danych jest niezgodny z obowiązującym w Unii Europejskiej prawem o ochronie danych.

AEPD odnotowało również, że polityka prywatności serwisu Marka Zuckerberga zawiera język, który "nie jest możliwy do zrozumienia przez przeciętnego użytkownika". Wśród wniosków końcowych, które przedstawił organ nadzorujący ochronę danych w Hiszpanii, znajduje się również stwierdzenie, że Facebook nie usuwa całkowicie danych użytkowników, którzy usunęli konto w serwisie, i korzysta z danych kont, które nie są aktywne od ponad 17 miesięcy. Według AEPD to kolejne poważne naruszenie europejskich praw o ochronie danych i prywatności.