La plataforma de mensajería propiedad de Facebook WhatsApp ha sido multada con 225 millones de euros (193,4 millones de libras esterlinas / 266,6 millones de dólares) por parte del Comisionado de Protección de Datos (DPC) de Irlanda por infracciones del Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE).
Una de las sanciones más grandes emitidas bajo el GDPR, y la más grande hasta la fecha en Irlanda, la multa se produce al final de una investigación que se remonta a diciembre de 2018, por acusaciones de que WhatsApp no había cumplido con sus obligaciones de transparencia con respecto a la provisión de información, y la transparencia de la misma, a los usuarios y no usuarios de su servicio.
Esto incluyó información proporcionada a los interesados sobre cómo se procesaron los datos entre WhatsApp y otras propiedades de Facebook.
Como autoridad supervisora principal de WhatsApp dentro de la UE, la DPC había presentado un proyecto de decisión sobre su investigación hace casi 12 meses.
Pero tras las objeciones de otras autoridades supervisoras (CSA) interesadas en Europa, se desencadenó un proceso de resolución de disputas.
Este proceso se ha resuelto tras la adopción de una decisión vinculante por parte de la Junta Europea de Protección de Datos (EDPB), con fecha de 28 de julio de 2021.
Esta decisión vinculante, que se puede leer en su totalidad aquí, instruyó a la DPC a aumentar sustancialmente la multa, lo que ya se ha hecho.
La DPC también impuso una reprimenda y ordenó a WhatsApp que cumpliera con sus actividades de procesamiento de datos mediante una serie de acciones correctivas.
En declaraciones a los medios, WhatsApp, que había reservado más de 70 millones de euros en previsión de una multa, dijo que no estaba de acuerdo con las sanciones de la DPC, que calificó de “totalmente desproporcionadas”. La firma dijo que había hecho todo lo posible para garantizar que ofreciera a los usuarios información transparente y completa, y que apelaría la decisión.
John Magee, quien dirige la práctica de privacidad, protección de datos y seguridad en la oficina irlandesa del bufete de abogados DLA Piper, dijo: “La decisión no fue solo de DPC y mostró la consistencia compleja y los procesos de resolución de disputas de la UE en funcionamiento.
“Un aspecto llamativo de ese proceso fue el aumento en el tamaño de la multa de un rango de € 30 millones a € 50 millones propuesto por primera vez por el DPC. La multa destaca la importancia del cumplimiento de las reglas de la GDPR sobre transparencia en el contexto de usuarios, no usuarios y el intercambio de datos entre entidades del grupo “.
Ioannis Fragkoulopoulos, director de seguridad del cliente de Obrela Security Industries, agregó: “Los términos y condiciones de privacidad de WhatsApp han sido objeto de escrutinio con frecuencia en el pasado y la empresa ha tenido que defender sus términos y condiciones muchas veces, y los usuarios abandonan la plataforma debido a ambigüedades y cambios en la política.
“Esta multa muestra cuán serio es el gobierno irlandés en torno a la transparencia. Cuando los consumidores se registran en las plataformas, deben comprender exactamente cómo se utilizarán sus datos y si se compartirán con terceros. Esta multa reforzará la importancia de esto y actuará como una advertencia a otras empresas para que sean más transparentes ”.
Sin embargo, si bien acogió con satisfacción la decisión del regulador, el presidente de noyb.eu y abogado activista Max Schrems, que tiene varios casos ante la DPC en Irlanda, dijo que la multa debe ponerse en perspectiva.
“El DPC recibe alrededor de 10,000 quejas por año desde 2018 y esta es la primera multa importante”, dijo Schrems. “El DPC también propuso una multa inicial de 50 millones de euros y el resto de las autoridades europeas de protección de datos la obligaron a avanzar hacia los 225 millones de euros, que sigue siendo sólo el 0,08% de la facturación del Grupo Facebook. El GDPR prevé multas de hasta el 4% de la facturación. Esto muestra cómo el DPC sigue siendo extremadamente disfuncional “.
En un comunicado, Schrems dijo que supervisaría de cerca los procedimientos, ya que era muy probable que este caso estuviera vinculado a los tribunales irlandeses durante algún tiempo.
“WhatsApp seguramente apelará la decisión”, dijo. “En el sistema judicial irlandés, esto significa que pasarán años antes de que se pague una multa. En nuestros casos, a menudo teníamos la sensación de que el DPC está más preocupado por los titulares que por hacer el trabajo preliminar duro.
“Será muy interesante ver si la DPC realmente defenderá esta decisión por completo, ya que básicamente se vio obligada a tomar esta decisión por sus homólogos europeos”.