La multa di circa 5,5 milioni di euro è stata inflitta a WhatsApp dalla Commissione per la protezione dei dati (DPC) per violazione del GDPR (regolamento generale sulla protezione dei dati) dell’Unione Europea. La sanzione è stata descritta come “amministrativa” ed è relativamente meno grave rispetto ad altre sanzioni imposte ai servizi di cui è in possesso Meta al momento. WhatsApp ha segnalato l’intenzione di impugnare una decisione ben precisa. Tra l’altro, pare che il DPC inizialmente non abbia proposto di emettere una sanzione per le violazioni della trasparenza del GDPR identificate.
Le decisioni in merito prese dal DPC dopo le prime attente valutazioni
Nonostante le considerazioni iniziali, il DPC ora sta facendo di tutto per imporre le sanzioni necessarie alla direzione del Comitato europeo per la protezione dei dati (EDPB), che ha esaminato passo per passo le accuse mosse all’azienda. La commissione ha anche ordinato al servizio di messaggistica istantanea di proprietà di Meta di rendere conformi le sue operazioni di elaborazione dei dati massimo entro i prossimi sei mesi. Il DPC ha multato WhatsApp di 225 milioni di euro per violazione della trasparenza in un precedente caso. Dunque, non è la prima volta e probabilmente nemmeno l’ultima.
Quest’ultima multa segue alcune vicende che non sono passate inosservate. In particolare, un utente di WhatsApp si è lamentato della modalità con cui l’app ha chiesto agli utenti di accettare i nuovi termini di servizio quando il GDPR è entrato in vigore nel maggio 2018. All’epoca, WhatsApp informava gli utenti che se volevano utilizzare l’app dovevano fare clic su “accetta e continua” per accettare i termini di servizio e, se si fossero rifiutati di farlo, non sarebbero stati in grado di accedervi. Nemmeno velatamente, l’app ha costretto gli utenti ad accettare volenti o nolenti. Li ha “costretti” ad acconsentire al trattamento dei propri dati personali per il miglioramento del servizio e la sicurezza. Si trattava di una violazione del GDPR che è rimasta in sordina.
WhatsApp nuovamente nell’occhio del mirino, ulteriore multa questa volta di quasi 6 milioni di euro
L’approvazione per il consenso forzato dei termini di servizio non è stata accolta dal DPC. L’ente ha ritenuto che WhatsApp violasse i suoi obblighi in materia di trasparenza. Tuttavia, poiché nel 2021 la commissione aveva imposto all’azienda una “sanzione molto consistente” di 225 milioni di euro per simili e altre violazioni della privacy, inizialmente non ha proposto di emettere un’altra sanzione. Non si può mettere in dubbio che l’accettazione dei termini di servizio aggiornati comportava la stipulazione di un contratto da parte dell’utente.
WhatsApp a quei tempi per convincere gli utenti, o in qualche modo per “lavarsene le mani” ha fatto leva sull’importanza dei nuovi termini di servizio, su quanto fossero fondamentali per usufruire di un servizio più efficiente, sicuro e nettamente migliorato. Ci sono stati pareri contrastati, molte lamentele e diversi dibattiti, ma a distanza di anni è ormai storia vecchia. Anche altri esperti di elaborazione e protezione dei dati in Europa non erano d’accordo con questo aspetto. Né con le decisioni prese anche inconsapevolmente dal DPC. La commissione ha deferito la questione all’EDPB per emettere una risoluzione finale.
La determinazione vincolante dell’EDPB ha confermato le conclusioni del DPC in relazione alla trasparenza e ha anche identificato un’ulteriore violazione. Tuttavia, non era d’accordo sulla questione della base giuridica del contratto, stabilendo che WhatsApp Ireland, ad esempio, non aveva il diritto di fare affidamento su di esso come base legale per il trattamento dei dati personali ai fini del miglioramento del servizio e della sicurezza. Il DPC ha revisionato la delibera più recente dell’EDPB, che impone una multa di 5,5 milioni per l’ulteriore violazione individuata.
L’EDPB ha inoltre ordinato al DPC di condurre una nuova indagine sulle “operazioni di elaborazione dati” di WhatsApp per determinare la conformità al GDPR. Tuttavia, la commissione ha contestato se l’EDPB abbia l’autorità per dirigere tale indagine e ha affermato che la mossa potrebbe comportare una “lamentala esagerata”. Il DPC è pronto a proporre persino un ricorso per annullamento dinanzi alla Corte di giustizia dell’Unione europea al fine di chiedere l’annullamento dell’ingiunzione dell’EDPB.
Continua il periodo difficile per Meta, le conseguenze delle accuse per una delle sue piattaforme
La multa è l’ultima di una serie di sanzioni imposte ai servizi di proprietà di Meta dal DPC negli ultimi tempi. All’inizio di questo mese, Meta è stata multata di 390 milioni di euro per violazione delle norme sulla privacy dei dati dell’UE relative a Facebook e Instagram. Anche in quei casi, il DPC e l’EDPB hanno adottato le stesse posizioni opposte sulla questione della base giuridica del contratto.
In risposta all’ultima sentenza del DPC, una portavoce di WhatsApp ha dichiarato: “WhatsApp guida il settore della messaggistica privata. Fornisce la crittografia end-to-end e livelli di privacy che proteggono tutti i suoi utenti da sempre. Crediamo fermamente che il modo in cui opera il servizio sia tecnicamente e legalmente conforme. Facciamo affidamento sulla necessità di questi contratti per il miglioramento del servizio e per motivi di sicurezza. Questo perché riteniamo che aiutare a proteggere le persone e offrire un prodotto innovativo siano una parte fondamentale per l’efficienza del servizio offerto. Non siamo d’accordo con la decisione presa e intendiamo presentare ricorso”.