Meta’s WhatsApp pagará €5.5 millones de multa por violaciones del GDPR

La Comisión de Protección de Datos de Irlanda (“DPC”) multó el jueves a WhatsApp Irlanda, propiedad de Meta, con €5.5 millones (US$6 millones) por violar el Reglamento General de Protección de Datos (GDPR) de la UE relacionado con su servicio en el país.

Además de la multa, la DPC de Irlanda ha dado al gigante de las redes sociales un período de seis meses para alinear sus operaciones de procesamiento de datos con las reglas del GDPR o enfrentar acciones adicionales.

La reciente multa impuesta por la DPC es un duro golpe para Meta, ya que recientemente fue multada con 390 millones de euros por el mismo organismo cuando se encontró que sus otras subsidiarias, Instagram y Facebook, estaban infringiendo las reglas del GDPR.

En cuanto a WhatsApp, la decisión tomada por la DPC es la conclusión de una investigación sobre una queja presentada el 25 de mayo de 2018 por un sujeto de datos alemán sobre el servicio de WhatsApp.

El demandante impugnó las nuevas reglas de WhatsApp que requerían que los usuarios aceptaran los nuevos términos de ‘contrato’ para acceder a sus servicios cuando el GDPR entró en vigor en 2018.

Según los Términos de Servicio actualizados de la plataforma, los usuarios que desearan continuar teniendo acceso a su servicio de WhatsApp tras la introducción del GDPR debían elegir los Términos de Servicio actualizados. En caso de que rechazaran los términos, sus servicios no estarían accesibles.

En otras palabras, WhatsApp estaba efectivamente obligando a los usuarios a aceptar el procesamiento de datos si querían seguir utilizando los servicios, lo que el demandante argumentó que era una violación del GDPR. El demandante creía que los usuarios deberían tener la opción sobre los datos que se procesan.

Tras una investigación exhaustiva por parte de la DPC, el organismo regulador encontró a WhatsApp culpable de “violar sus obligaciones en relación con la transparencia”, ya que no proporcionó suficiente claridad sobre cómo se procesaban los datos y con qué fines.

La DPC encontró que WhatsApp Irlanda no se basó, de hecho, en el consentimiento de los usuarios como base legal para su procesamiento de sus datos personales.

WhatsApp Irlanda “no tiene derecho a basarse en la base legal del contrato como base legal para su procesamiento de datos personales con fines de mejora del servicio y seguridad”, añadió y dijo que la base legal para el procesamiento de datos del servicio infringe la ley de la UE.

La decisión final de la multa adoptada por la DPC el 12 de enero de 2023 sigue a las tres decisiones vinculantes del regulador de protección de datos de la UE, la Junta Europea de Protección de Datos (EDPB), a principios de diciembre.

Además de la multa, la EDPB también ha pretendido dirigir a la DPC para llevar a cabo una nueva investigación sobre lo siguiente:

“Las operaciones de procesamiento de WhatsApp IE en su servicio para determinar si procesa categorías especiales de datos personales (Artículo 9 GDPR), procesa datos con fines de publicidad conductual, con fines de marketing, así como para la provisión de métricas a terceros y el intercambio de datos con empresas afiliadas con fines de mejora del servicio, y para determinar si cumple con las obligaciones relevantes bajo el GDPR.”

En respuesta a la decisión de la DPC tomada el jueves, Meta dijo que apelará la decisión y buscará revocarla.

“Creemos firmemente que la forma en que opera el servicio es tanto técnica como legalmente conforme. Nos basamos en la necesidad contractual para la mejora del servicio y la seguridad porque creemos que ayudar a mantener a las personas seguras y ofrecer un producto innovador es una responsabilidad fundamental en la operación de nuestro servicio”, dijo un portavoz de WhatsApp.

“Discrepamos con la decisión y tenemos la intención de apelar.”