Continua a piovere sul bagnato per il gruppo Meta: dopo la sanzione di 390 milioni inflitta dall’UE per violazione del GDPR attraverso gli annunci personalizzati, la Data Protection Commission (DPC) irlandese ha inflitto una nuova multa da 5,5 milioni di euro a WhatsApp, la famosa piattaforma di messaggistica che fa capo proprio a Meta.

La sanzione è stata comminata dopo la conclusione di un’inchiesta su WhatsApp Ireland Limited in relazione alla fornitura del suo servizio WhatsApp con il quale avrebbe violato il GDPR; la commissione ha inoltre richiesto all’azienda di adeguare la piattaforma, concedendo sei mesi di tempo per rendere conformi le proprie operazioni legate al trattamento dei dati.

Per la DPC irlandese, WhatsApp ha violato il GDPR

La Commissione per la Protezione dei Dati (DPC) irlandese ha concluso l’indagine legata ad un reclamo presentato da un utente tedesco in data 25 maggio 2018 in merito al servizio WhatsApp.

Prima di quella data, in cui entrava ufficialmente in vigore il GDPR (ovvero il Regolamento generale sulla protezione dei dati), WhatsApp Ireland avesse provveduto ad aggiornare i propri Termini di servizio e ad informare gli utenti che per continuare ad accedere al servizio WhatsApp avrebbero dovuto accettarli.

Dal punto di vista della società del gruppo Meta, accettando i nuovi Termini di servizio aggiornati l’utente ha stipulato un contratto con la società, ritenendo che il trattamento dei dati degli utenti fosse necessario per l’esecuzione di tale contratto a scopo di miglioramento del servizio e della sicurezza (rispettando l’Art. 6, comma 1, lett. B del GDPR).

L’utente tedesco, al contrario, sosteneva che WhatsApp Ireland stesse cercando di basarsi sul consenso per fornire una base legale per potere trattare i dati degli utenti, asserendo che la società stesse “costringendo” gli utenti ad acconsentire al trattamento dei dati personali per il miglioramento e per la sicurezza del servizio accettando i Termini di servizio aggiornati, violando così il GDPR.

L’indagine è conclusa: ecco i rilevamenti della DPC

La DPC ha svolto un’indagine piuttosto approfondita, la cui conclusione è giunta dopo oltre quattro anni dal reclamo sporto dall’utente tedesco, presentando un progetto di decisione alle Autorità di vigilanza interessate (“CSA”) nell’UE/SEE. Ecco cosa ha rilevato la commissione irlandese:

  1. In violazione dei suoi obblighi in materia di trasparenza, le informazioni in relazione alla base giuridica invocata da WhatsApp Ireland non sono state chiaramente delineate per gli utenti, con il risultato che gli utenti non hanno avuto sufficiente chiarezza su quali operazioni di trattamento fossero in corso sui loro dati personali , a quale/i scopo/i e con riferimento a quale delle sei basi giuridiche individuate nell’articolo 6 del GDPR. Il DPC ha ritenuto che la mancanza di trasparenza su tali questioni fondamentali violasse gli articoli 12 e 13, paragrafo 1, lettera c) del GDPR. Il DPC, avendo già inflitto a WhatsApp Ireland una sanzione molto consistente di 225 milioni di euro per violazione di questo e altri obblighi di trasparenza nello stesso periodo di tempo, non ha proposto l’imposizione di ulteriori sanzioni o misure correttive, avendolo già fatto in una precedente inchiesta.
  1. Nelle circostanze in cui il DPC ha ritenuto che WhatsApp Ireland, di fatto, non si basasse sul consenso degli utenti come base legale per il trattamento dei loro dati personali, l’aspetto del “consenso forzato” dei reclami non poteva essere sostenuto. Da lì, il DPC ha continuato a valutare se WhatsApp Ireland fosse obbligata a fare affidamento sul consenso come base giuridica in relazione alla fornitura del servizio, anche per motivi di sicurezza e miglioramento del servizio. In questo caso, il DPC ha rilevato che WhatsApp Ireland non era tenuta a fare affidamento sul consenso. Nessun CSA ha sollevato obiezioni a questa analisi e, di conseguenza, questo elemento della denuncia è stato respinto. 

La discussione con i CSA non ha, tuttavia, portato ad un punto di svolta e la DPC ha quindi deferito le questioni controverse al Comitato Europeo per la protezione dei dati (EDPB) che ha emesso una determina lo scorso 5 dicembre, respingendo le varie obiezioni sollevate dai CSA e accogliendo la posizione del DPC in relazione alla violazione dei propri obblighi di trasparenza da parte di WhatsApp Ireland.

Tuttavia, l’EPDB si è pronunciato diversamente rispetto alla DPC per quanto concerne la questione della base giuridica, ritenendo che la società del gruppo Meta non fosse autorizzata a fare affidamento sulla base giuridica del contratto che forniva una base legale per potere trattare i dati personali al fine di migliorare sicurezza e qualità del servizio offerto.

WhatsApp dovrà pagare una multa e adeguare i propri Termini di servizio entro sei mesi

In data 12 gennaio 2023, quindi, la DPC ha preso una decisione finale che riflette la determinazione vincolante dell’EDPB:

WhatsApp Ireland non ha il diritto di fare affidamento sulla base giuridica del contratto per la fornitura del miglioramento e della sicurezza del servizio (escluso ciò che l’EDPB definisce “sicurezza informatica”) per il servizio WhatsApp, e che il suo trattamento di questi dati fino ad oggi, in presunto affidamento sulla base giuridica del contratto, costituiscono una violazione dell’articolo 6, paragrafo 1, del GDPR.”

Dal punto di vista delle sanzioni, la DPC ha imposto a WhatsApp Ireland una sanzione amministrativa di 5,5 milioni di euro e ha ordinato alla società di adeguare le proprie operazioni di elaborazione dei dati al GDPR entro un perido di 6 mesi.

Nonostante questo, l’EDPB ha ordinato alla DPC di condurre una nuova indagine su WhatsApp più ad ampio spettro, sempre legata al GDPR (in questo caso all’articolo 9, categorie speciali di dati personali) ma in questo caso sul trattamento dei dati per finalità di marketing e lo scambio di dati con società affiliate. Potrebbero, presto, esserci altre novità al riguardo.

Potrebbero interessarti anche: Finalmente WhatsApp prepara un’attesa novità per la condivisione delle foto e Ecco come creare e condividere il proprio avatar Memoji su WhatsApp per Android