Set22021

Sanzione di Portata Storica

L’Irlanda, sede europea di Facebook, ha imposto una multa di 225 milioni di euro a WhatsApp per non aver “assolto ai suoi obblighi di trasparenza” secondo il GDPR. Risultato di una indagine avviata nel dicembre 2018, la sanzione inizialmente decisa dall’Irlanda è stata rivista al rialzo su richiesta degli enti regolatori europei.

Il portavoce di WA così commenta: “Non siamo d’accordo con la decisione odierna sulla trasparenza che abbiamo fornito alle persone nel 2018 e le sanzioni sono del tutto sproporzionate. Faremo appello contro questa decisione. La nostra piattaforma si impegna a fornire un servizio sicuro e privato. Abbiamo lavorato per garantire che le informazioni fornite siano trasparenti e complete e continueremo a farlo”.

Storico della Vicenda

La Commissione per la protezione dei dati (Data Protection Commission – DPC) ha annunciato oggi la conclusione di un’indagine sul rispetto del Regolamento EU 679/2016 condotta su WhatsApp Ireland Ltd. L’indagine della commissione è iniziata il 10 dicembre 2018 e ha esaminato se WhatsApp abbia adempiuto ai suoi obblighi di trasparenza in compliance al GDPR per quanto riguarda la comunicazione agli utenti sull’utilizzo dei dati. Ciò include sia le informative fornite agli interessati (utenti e non utenti di WA) sia la condivisione delle informazioni tra WhatsApp e le altre società di Facebook.

A seguito di un’indagine lunga e approfondita, nel dicembre 2020 la commissione ha presentato un progetto di decisione a tutte le autorità di vigilanza interessate (Concerned Supervisory Authorities – CSA) ai sensi dell’articolo 60 del GDPR prevedendo già una sanzione per WhatsApp. La commissione ha successivamente ricevuto obiezioni da otto autorità membri del CSA che precisavano ulteriori fattori decisionali e ritenevano inadeguata la somma proposta. La commissione, quindi, non è stata in grado di raggiungere l’approvazione di tutti i membri del CSA sull’oggetto delle obiezioni e ha attivato così il processo di risoluzione delle controversie (articolo 65 del GDPR) il 3 giugno 2021.

Il successivo 28 luglio 2021 il comitato europeo per la protezione dei dati (European Data Protection Board – EDPB) ha adottato una decisione vincolante che è stata notificata alla commissione. Tale decisione conteneva una chiara istruzione che imponeva alla DPC di rivalutare e aumentare la sua proposta di ammenda sulla base di una serie di fattori contenuti nella decisione dell’EDPB e, a seguito di tale rivalutazione, la commissione ha dovuto rivedere la sua decisione al rialzo infliggendo un’ammenda di 225 milioni di euro a WhatsApp che è stata notificata dal garante irlandese, autorità capofila (Lead Authority).

Oltre all’imposizione della sanzione amministrativa, la commissione ha anche imposto un ammonimento e un’ingiunzione per WhatsApp per rendere conforme il suo trattamento adottando una serie di azioni correttive specificate.

L’EDPB ha pubblicato la decisione ai sensi dell’articolo 65 e la decisione finale sul suo sito web.

Massimo Bruno