La última polémica en torno a WhatsApp (Facebook)
9 septiembre, 2021 (08:13:27)La Comisión de Protección de Datos (CPD) de Irlanda ha multado a WhatsApp con 225 millones de euros, tras una investigación que se ha prolongado durante casi tres años, por no proporcionar la información necesaria sobre protección de datos a los usuarios. Es la mayor multa impuesta por CPD de Irlanda y la segunda mayor impuesta a una organización en virtud del RGPD en la UE.
La investigación fue impulsada por Max Schrems, activista en materia de privacidad que también logró invalidar las transferencias de datos entre la UE y Estados Unidos en el famoso caso contra Facebook resuelto el año pasado. Schrems presentó denuncias a finales de 2018 sobre las supuestas políticas de "consentimiento forzado" de WhatsApp, alegando que ésta (y otros gigantes de las redes sociales) esencialmente presionaban a los usuarios para que aceptaran sus términos y condiciones de privacidad bajo la amenaza de negarles el servicio en caso de que se negaran.
Aunque ha sido la mayor sanción impuesta por la CPD irlandesa hasta la fecha, y la segunda más cuantiosa en la historia de la UE en materia de RGPD, las dudas y las críticas que suscita este organismo sobre su voluntad de regular a los gansos dorados que han anidado en su país permanecen.
La CPD irlandesa ha recibido algunas críticas tanto por el tiempo que tarda en llevar a cabo las investigaciones como por la percepción de suavidad en la emisión de sanciones del RGPD a las grandes empresas tecnológicas con sede en su jurisdicción (siendo las cifras más bajas de la UE).
Las diferentes autoridades de protección de datos de la UE han adoptado diferentes enfoques de la regulación en los primeros años del RGPD, e Irlanda pasa mucho tiempo en el centro de atención dado que es responsable de las sucursales de la UE de muchos de los grandes nombres de Silicon Valley.
¿Por qué se ha multado a WhatsApp?
La Decisión se puede resumir en que:
- WhatsApp no trató los datos personales de los usuarios de forma legal, justa y transparente.
- WhatsApp no facilitó información sobre cómo se recogen los datos "de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo". Esto incluye hacer que la información sea fácil de entender para los niños si la información está dirigida a ellos.
- WhatsApp no informó a los usuarios de dónde se almacenaban los datos, ni de las personas con las que podían ponerse en contacto, ni de los fines por los que se recogían y quiénes los recibían.
- WhatsApp no informó a los usuarios de cuándo se obtuvieron y procesaron sus datos personales de terceros y de dónde procedían estos datos.
Antecedentes y críticas al CPD de Irlanda
Irlanda propuso inicialmente una multa de 50 millones de euros para WhatsApp que dio lugar a una discusión entre las demás autoridades de datos de la UE y finalmente solo se resolvió mediante una decisión de la Junta Europea de Protección de Datos (JEPD).
En concreto, las autoridades de protección de datos de ocho países europeos activaron un mecanismo de resolución de conflictos después de que Irlanda compartiera su decisión provisional en relación con la investigación de WhatsApp, que comenzó en diciembre de 2018.
En julio, una reunión del Consejo Europeo de Protección de Datos emitió una instrucción clara que requería que la CPD reevaluará y aumentara su multa propuesta sobre la base de una serie de factores contenidos. Tras esta reevaluación, la CPD ha impuesto la multa de 225 millones de euros a WhatsApp que ahora conocemos.
La CPD irlandesa optó por centrarse por completo en las obligaciones de transparencia de WhatsApp en virtud del RGPD, pasando por alto quejas más relevantes o esenciales como el hecho de si el gigante de la mensajería tiene una base legal válida para procesar toda la información que recopila.
¿Qué pasa ahora?
Irlanda también impuso una amonestación junto con una orden para que WhatsApp ponga en conformidad su procesamiento mediante la adopción de "una serie de medidas correctivas específicas", con un plazo de 90 días para realizar esta serie de cambios que mejoren la transparencia de sus comunicaciones tanto a los usuarios de la plataforma como a los no usuarios que puedan verse afectados.
WhatsApp ha respondido a la Decisión con un comunicado en el que alega una total desproporcionalidad, cuestionando varios aspectos concretos y prometiendo recurrir la Decisión. El proceso de apelación podría tardar años en resolverse y WhatsApp no tendrá que hacer frente a ningún pago hasta que el proceso concluya.
Conclusiones
La única sanción de mayor cuantía impuesta en materia de RGPD fue la de 425 millones de dólares impuesta a Amazon por la DPA luxemburguesa y aunque estas cantidades son una relativa miseria para las grandes empresas tecnológicas, muy lejos de los máximos del 2% o el 4% del total de la facturación anual que permite el RGPD, ponen de manifiesto la importancia del cumplimiento de las normas del RGPD en materia de transparencia en el contexto de los usuarios, los no usuarios y el intercambio de datos entre entidades del grupo.
Más que el aumento en la cuantía de las sanciones (irrisorias para estas empresas), supone un avance la medida de ejecución obligatoria que, al igual que en la reciente sanción a Amazon, viene acompañada de otro componente, quizás más importante, que es la orden para que los sistemas de datos cumplan con la normativa comunitaria. Una sanción de nueve cifras es el equivalente a una hormiga en el planeta para WhatsApp y su matriz, Facebook. Para las mejoras estructurales a largo plazo, la orden de cumplimiento podría resultar más significativa.
Guillermo Caro
Abogado de Nuevas Tecnologías
BINAURAMONLEX
gcaro@monlexabogados.es
Para comentar, así como para ver ciertos contenidos de Hosteltur, inicia sesión o crea tu cuenta
Inicia sesiónEsta opinión no tiene comentarios.