www.zonamovilidad.es
Irlanda multa a WhatsApp con 5,5 millones de euros por incumplir el RGPD
Ampliar

Irlanda multa a WhatsApp con 5,5 millones de euros por incumplir el RGPD

lunes 23 de enero de 2023, 11:00h

Escucha la noticia

La Comisión de Protección de Datos (DPC) de la Unión Europea (UE) ha presentado el alegato final de la investigación sobre el procesamiento de datos realizado por WhatsApp Ireland Limited ("WhatsApp Ireland") en relación con la prestación de su servicio de WhatsApp, en la que ha multado a WhatsApp Ireland con 5,5 millones euros (por incumplimientos del RGPD en relación con su servicio). WhatsApp Irlanda también ha recibido instrucciones para que cumpla con sus operaciones de procesamiento de datos en un período de seis meses.

Para contextualizar, esto se remonta a una queja presentada el 25 de mayo de 2018 por un ciudadano alemán sobre el servicio de WhatsApp. Antes de esa fecha, cuando entró en vigor el RGPD, Irlanda de WhatsApp actualizó sus términos de servicio y notificó a los usuarios que para poder seguir usando el servicio después del RGPD, debían hacer clic en "aceptar y continuar" para indicar su conformidad con los nuevos términos. Era la única forma que tenían para acceder a este servicio.

En base a esto, WhatsApp Ireland pensaba que, al aceptar los nuevos términos de servicio, se establecía un acuerdo entre ellos y el usuario. Además, consideraron que la manipulación de datos de los usuarios relacionada con la prestación del servicio era necesaria para llevar a cabo ese contrato, incluyendo mejoras del servicio y características de seguridad. Esto denominaba las acciones como legales, que además, así lo señalaba el Artículo 6 (1) (b) del RGPD (la base legal para el "contrato" para el tratamiento).

Irlanda avanza en el bloqueo del flujo de datos de Facebook e Instagram entre Europa y Estados Unidos

Leer más

No obstante, el denunciante alegó que, en contra de lo que afirmaba WhatsApp Irlanda, la compañía estaba buscando obtener el consentimiento de los usuarios para procesar sus datos. El motivo radicaba en que los usuarios debían aceptar los nuevos Términos de servicio para poder acceder a los servicios ofrecidos y según el denunciante esto violaba el RGPD.

Los usuarios de WhatsApp Irlanda no tenían suficiente información sobre qué procesos se llevaban a cabo con sus datos personales

Posteriormente, tras una investigación completa, el DPC presentó un plan a las autoridades reguladoras de la UE/EEE, conocidas como Autoridades de Supervisión Preocupadas ("CSA"), cumpliendo con el artículo 60 del RGPD. Lo más llamativo de esto es que el DPC descubrió que al no cumplir con sus obligaciones en relación con la transparencia, los usuarios de WhatsApp Irlanda no tenían suficiente información sobre qué procesos se llevaban a cabo con sus datos personales, para qué propósitos y bajo cuál de las seis bases legales descritas en el artículo 6 del RGPD. Por este motivo, el DPC consideró que esta falta de transparencia violaba los artículos 12 y 13 (1) (c) del RGPD. El DPC ya había impuesto una multa de 225 millones de euros por incumplimiento de estas y otras obligaciones de transparencia durante el mismo período, por lo que no propuso ninguna multa adicional ni medida correctiva.

Y esto no es todo, también identificó que en una situación en la que el DPC había determinado que WhatsApp Irlanda no se fundamentaba en el consentimiento de los usuarios para el tratamiento de sus datos personales, la acusación de "consentimiento forzado" no se pudo sostener. Ante esto, el DPC se planteó si WhatsApp Irlanda estaba obligada a contar con el consentimiento como base legal para prestar sus servicios, incluso con fines de seguridad y mejora del servicio. El DPC encontró que esta empresa no tenía que depender del consentimiento. Ningún CSA presentó una objeción a este análisis, por lo que esta parte de la denuncia fue rechazada.

En este contexto, el DPC se vio obligado a decidir si el RGPD impedía que WhatsApp Irlanda se “agarrase” a la justificación legal del acuerdo que declaraba, y llegó a la conclusión de que no había nada que lo impidiera.

No se debería permitir que WhatsApp Irlanda se basara en la legislación contractual

Siguiendo este conflicto, seis de los 47 CSA expresaron su desacuerdo y opinaron que no se debería permitir que WhatsApp Irlanda se basara en la legislación contractual. Su argumento era que no se puede garantizar que la mejora y seguridad del servicio sea necesaria para cumplir con los elementos principales de lo que era un acuerdo mucho más limitado.

Como respuesta, la DPC obtuvo una postura contradictoria y argumentó que el servicio de WhatsApp incluye ofrecer un servicio que mejore y garantice la seguridad. Como es evidente. Tras varios intentos para llegar a un acuerdo con los CSA, se vió que era imposible. De acuerdo con lo establecido en el artículo 60, apartado 4, del RGPD, el DPC remitió los temas discutidos al Consejo Europeo de Protección de Datos ("el EDPB").

El Grupo Europeo de Protección de Datos

En otro orden de ideas, el EDPB rechazó las objeciones presentadas por los CSA y confirmó la posición del DPC en cuanto al incumplimiento de WhatsApp Irlanda con sus obligaciones de transparencia, limitado a una infracción adicional del principio de equidad. Sin embargo, el EDPB tomó una postura distinta al DPC en relación con la fundamentación legal y concluyó que, como regla general, WhatsApp Irlanda no tenía derecho a basarse en el contrato para procesar datos personales con fines de mejora y seguridad del servicio.

Ahora bien, la decisión reciente que el DPC tomó el 12 de enero de 2023 refleja la determinación vinculante del EDPB. Es decir, esta decisión incluye los descubrimientos de que WhatsApp Irlanda no tiene derecho a usar el acuerdo contractual para prestar servicios relacionados con mejoras y seguridad (excepto la "seguridad de TI"), y que su procesamiento de estos datos hasta ahora, confiando en el contrato, es una violación del artículo 6 (1) del RGPD.

El DPC ha impuesto una multa de 5,5 millones de euros a WhatsApp Irlanda

Como novedad, el DPC ha impuesto una multa de 5,5 millones de euros a WhatsApp Irlanda y ha exigido que cumplan con el RGPD en un plazo de 6 meses. El EDPB exigió al DPC que hiciera una investigación para saber si WhatsApp IE procesa datos personales especiales (de acuerdo con el Artículo 9 GDPR), los usa para publicidad y marketing, los comparte con terceros o empresas afines para mejorar su servicio y si cumple con las obligaciones de la RGPD.

Finalmente, la decisión de la Autoridad de Protección de Datos (DPC) no alude a nuevas investigaciones sobre los procesamientos de datos realizados por WhatsApp. Asimismo, el EDPB no tiene la facultad para instruir y ordenar a una autoridad para que participe en una investigación abierta.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios