La multa de £ 4,8 millones de WhatsApp plantea preguntas para las organizaciones que utilizan publicidad conductual

El Comisionado de Protección de Datos de Irlanda (DPC) ha multado a WhatsApp, que proporciona un servicio de comunicación cifrada, con 5,5 millones de euros (4,8 millones de libras esterlinas) después de descubrir que la empresa está confiando ilegalmente en un contrato con sus usuarios para cumplir con el Reglamento General de Protección de Datos (GDRP) requisitos de protección de datos.

La decisión, anunciada el 19 de enero de 2022, tendrá implicaciones más amplias para las empresas que recopilan datos sobre sus usuarios y plantea la cuestión de si las empresas que dependen de la necesidad contractual necesitarán obtener el consentimiento explícito de sus usuarios para procesar sus datos en el futuro.

El DPC impuso la multa a regañadientes a Meta y WhatsApp, que tiene su sede en Irlanda y emplea a unas 3.000 personas en el país, después de que la Junta Europea de Protección de Datos forzara su mano al anular un proyecto de decisión más indulgente del DPC en diciembre de 2022.

WhatsApp dijo que no estaba de acuerdo con la decisión, que se centra en el uso de los datos de los clientes para “servicios de seguridad y mejora del servicio” y dijo que apelaría.

“Creemos firmemente que la forma en que opera el servicio es técnica y legalmente compatible”, dijo un portavoz.

“Dependemos de la necesidad contractual para mejorar el servicio y con fines de seguridad porque creemos que ayudar a mantener a las personas seguras y ofrecer un producto innovador es una responsabilidad fundamental en la operación de nuestro servicio”, agregó el vocero.

Denuncia por supuesto ‘consentimiento forzado’

El fallo de la DPC sigue a una denuncia presentada por noyb, un grupo de defensa de la privacidad dirigido por el abogado austriaco Max Schrems, en mayo de 2018 que acusó a Facebook, Instagram y WhatsApp de Meta de obligar a los clientes a dar su consentimiento para que sus datos sean recopilados y procesados ​​a cambio de usar su servicios.

El DPC irlandés multó a Instagram y Facebook con 390 millones de euros en la primera semana de enero por violar el RGPD en un caso casi idéntico que probablemente tenga implicaciones para otras empresas que dependen de la “necesidad contractual” para proporcionar anuncios personalizados.

WhatsApp Irlanda cambió sus términos de servicio el 25 de mayo de 2018, el día en que entró en vigor el RGPD, e informó a los usuarios que tendrían que aceptar los nuevos términos si querían seguir usando WhatsApp.

La empresa argumentó que los usuarios, al aceptar los términos, celebraron un contrato con WhatsApp y que el procesamiento de sus datos era necesario para ejecutar el contrato, lo que hace que el procesamiento sea legal según GDPR.

Nyob presentó una queja el mismo día alegando que WhatsApp Irlanda estaba obligando a los usuarios a dar su consentimiento para el procesamiento de sus datos personales en violación del RGPD.

WhatsApp no ​​se basó en el consentimiento

El DPC encontró en un proyecto de decisión que WhatsApp Irlanda no se había basado en el consentimiento del usuario para proporcionar una base legal para procesar sus datos personales. Descubrió que la empresa no había sido transparente sobre la base legal en la que se basaba en violación de GDPR.

Sin embargo, el regulador irlandés decidió no imponer multas, ya que ya había multado a WhatsApp con 225 millones de euros por esta y otras infracciones similares durante el mismo período.

Durante una consulta, otros seis reguladores de la UE, conocidos como Autoridades de Supervisión Preocupadas (CSA), objetaron la decisión del DPC con el argumento de que no se debe permitir que WhatsApp se base en la necesidad contractual para brindar “mejora y seguridad del servicio”.

La Junta Europea de Protección de Datos anuló el DPC en una decisión el 5 de diciembre de 2022 después de que los reguladores no lograran llegar a un acuerdo con el DPC irlandés.

Encontró que, como cuestión de principio, WhatsApp Ireland no tenía derecho a basarse en la necesidad contractual como base legal para procesar datos personales para mejorar el servicio y la seguridad, en contravención del artículo 6 (1) de GDPR.

WhatsApp ahora tiene seis meses para cumplir.

DPC se centró en ‘problemas menores’

Schrems dijo en un comunicado que el DPC había limitado su investigación de 4,5 años a problemas menores en torno a la base legal para usar datos con fines de seguridad y mejora del servicio.

El DPC había ignorado problemas más serios relacionados con el intercambio de datos de WhatsApp con las otras compañías de Meta, Facebook e Instagram, para proporcionar publicidad dirigida.

“WhatsApp todavía sabe con quién chateas más y a qué hora. Esto le permite a Meta obtener una comprensión muy cercana del tejido social que lo rodea”, dijo Schrems.

“Meta usa esta información para, por ejemplo, orientar anuncios en los que los amigos ya estaban interesados. Parece que el DPC ahora simplemente se ha negado a decidir sobre este asunto, a pesar de 4,5 años de investigaciones”, agregó.

Schrems afirma que el DPC y Meta colaboraron para permitir que Meta “elude” los requisitos de GDPR mediante el uso de un contrato en lugar del consentimiento como base legal.

Los documentos obtenidos por noyb en virtud de la Ley de libertad de información (FoI) muestran que el DPC también intentó introducir el uso de disposiciones de “libertad para contratar” en las pautas propuestas por EDPB que habrían beneficiado a WhatsApp.

Estas propuestas, realizadas por la DPC tras recibir la denuncia de Noyb contra Meta y sus filiales, fueron rechazadas por otras autoridades de protección de datos.

DPC para impugnar EDPB en los tribunales

El DPC dijo que emitirá un desafío legal contra una orden del regulador de datos europeo para realizar una nueva investigación sobre WhatsApp.

La EDPB ha ordenado al regulador irlandés que investigue si WhatsApp procesa categorías especiales de información personal, que pueden incluir el origen étnico de las personas, opiniones políticas, creencias religiosas o filosóficas o detalles sobre su orientación sexual.

La dirección le pide al DPC que determine si WhatsApp usa información de categoría especial para publicidad conductual, marketing, proporcionar métricas a terceros o empresas afiliadas para mejorar el servicio, y si eso cumple con GDPR.

El DPC dijo que no estaba abierto al EDPB para instruir al DPC para participar en una “investigación especulativa y abierta”. La dirección puede implicar una “extralimitación” por parte de la EDPB, dijo.

El regulador irlandés dijo que presentaría una acción de anulación contra la dirección del EDPB ante el Tribunal Europeo de Justicia de la Unión Europea.

Más contenido para leer:  Mia Sorgi, directora de experiencia y producto digital, PepsiCo Europa

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales