Il Garante privacy irlandese emette una sanzione contro WhatsApp di € 225 milioni

Il Garante privacy irlandese ha comminato una sanzione da 225 milioni di euro a Whatsapp per la violazione degli obblighi di trasparenza nei confronti degli interessati ai sensi del Regolamento (UE) 2016/679 (GDPR). Tanto tuonò che piovve”, è con questa massima attribuita a Socrate che il travagliato scontro tra la Data Protection Commission Irlandese (“DPC”), l’European Data Protection Board (“EDPB”) e Whatsapp Ireland Ltd, culminato nella sanzione nei confronti di WhatsApp per un valore complessivo di 225 milioni di euro, potrebbe trovare degna chiosa.

In tal senso, la sanzione del garante privacy irlandese muove i propri passi da una lunga istruttoria sullo stato di conformità di Whatsapp agli obblighi di trasparenza del GDPR avviata nel dicembre del 2018 e dalla decisione vincolante formulata dall’EDPB lo scorso 28 luglio 2021, che richiedeva all’autorità irlandese una serie di modifiche sostanziali al tenore delle contestazioni imposte al colosso tech statunitense nella prima bozza di decisione adottata dal DPC. Più specificamente, l’EDPB ha sottolineato che, oltre alle conclusioni originarie del DPC relative alla violazione degli obblighi informativi e di trasparenza a norma degli articoli 12, 13 e 14 del GDPR, è stato necessario includere nella decisione un ulteriore capo di contestazione inerente all’obbligo di trasparenza di cui all’articolo 13(1)(d) del GDPR.

In primo luogo, il DPC contesta l’esaustività e la chiarezza delle informative fornite da Whatsapp ai propri utenti. In tal senso, l’autorità richiede che per ogni categoria di dati personali trattata sussista un chiaro collegamento alle relative finalità e basi giuridiche del trattamento. Quest’ultime devono essere descritte con adeguata granularità e chiarezza. Inoltre, gli interessati devono ottenere informazioni precise e non ambigue circa le finalità di trattamento perseguite dal titolare, che deve dettagliatamente descrivere le operazioni di trattamento perseguite. Ad esempio, generici riferimenti a imprecisate “finalità di sicurezza” risultano non conformi al canone di trasparenza imposto dal GDPR. Se ne inferisce, di conseguenza, che lunghi elenchi inconclusivi e non sufficientemente dettagliati possano ragionevolmente considerarsi inidonei a fornire un grado sufficiente di adesione agli obblighi di trasparenza dettati dal GDPR.

Inoltre, il Garante privacy irlandese ha evidenziato come l’ottenimento di un’informazione chiara, concisa ed esaustiva circa le modalità con cui i dati personali degli utenti Whatsapp venissero trattati e condivisi con le altre società del gruppo Facebook fosse di fatto osteggiato da link e documenti ripetitivi e incompleti. La stessa autorità afferma di non essere riuscita a comprendere con sufficiente chiarezza le modalità con cui i dati potessero essere condivisi con i terzi, non riuscendo ad identificare con chiarezza i soggetti coinvolti nel trattamento. Per quanto riguarda i trasferimenti verso paesi terzi, gli obblighi di trasparenza del GDPR richiederebbero al titolare e/o responsabile del trattamento di dichiarare o (i) che il trasferimento è soggetto a una decisione di adeguatezza; o (ii) che il trasferimento non è soggetto a una decisione di adeguatezza e permettere all’interessato di accedere a maggiori informazioni. In tal senso, deve ritenersi non sufficiente fornire ai propri utenti un link a una pagina web generica della Commissione europea.

Ulteriore riflessione è riferibile al trattamento di dati di soggetti non utenti: il DPC sottolinea la necessità di fornire anche a tale categorie di interessati un’informazione esaustiva circa modalità, finalità e basi giuridiche del trattamento.

Con riferimento ai periodi di conservazione dei dati, sotto l’egida dell’orientamento dell’EDPB e del DPC, il titolare dovrebbe fornire esempi pratici di come ciascuno dei criteri di conservazione adottati abbia un impatto sul periodo di conservazione in modo da dimostrare conformità al principio di storage limitation.

L’importo della sanzione privacy comminata dal Garante privacy irlandese contro WhatsApp tiene conto della contestazione ulteriore relativa alla violazione del principio generale di trasparenza sancito dall’articolo 5, paragrafo 1, lettera a), del GDPR, in linea con quanto richiesto dall’EPDB.

Nella determinazione dell’importo della sanzione, l’EDPB ha ritenuto che il fatturato complessivo della società madre di WhatsApp, Facebook Inc, dovesse essere incluso ai fini della computazione della sanzione pecuniaria di cui all’articolo 83 del GDPR. Inoltre, l’EDPB ha fornito, per la prima volta, un chiarimento sull’interpretazione dell’articolo 83(3) del GDPR, evidenziando che di fronte a molteplici violazioni relative alla medesima attività di trattamento o per attività collegate, tutte le violazioni dovrebbero essere prese in considerazione nel calcolo dell’importo della multa.

Infine, la decisione finale del DPC ingiunge a Whatsapp Ireland di garantire la piena conformità delle proprie attività di trattamento entro un periodo di tre mesi, che è stato ridotto dal termine di sei mesi rispetto a quanto inizialmente previsto dalla bozza del DPC. Tale decisione segue, ancora, la richiesta dall’EDPB, che aveva sottolineato l’importanza vitale di garantire il rispetto degli obblighi di trasparenza nel più breve tempo possibile.

Su un simile argomento, può essere interessante l’articolo “Cosa la sanzione di 225 milioni di euro contro WhatsApp ci insegna sulla compliance privacy?“.