Meta’s WhatsApp deve pagare una multa di 5,5 milioni di euro per violazioni del GDPR

La Commissione per la Protezione dei Dati dell’Irlanda (“DPC”) giovedì ha multato WhatsApp Ireland, di proprietà di Meta, per 5,5 milioni di euro (6 milioni di dollari) per violazione del Regolamento Generale sulla Protezione dei Dati (GDPR) relativo al suo servizio nel paese.

Oltre alla multa, la DPC dell’Irlanda ha dato al colosso dei social media un periodo di sei mesi per allineare le sue operazioni di trattamento dei dati alle norme del GDPR o affrontare ulteriori azioni.

La recente multa da parte della DPC rappresenta un duro colpo per Meta, poiché è stata recentemente multata di 390 milioni di euro dallo stesso ente quando le sue altre filiali, Instagram e Facebook, sono state trovate a violare le norme del GDPR.

Per quanto riguarda WhatsApp, la decisione presa dalla DPC è la conclusione di un’inchiesta riguardante un reclamo presentato il 25 maggio 2018 da un soggetto dati tedesco riguardo al servizio WhatsApp.

Il denunciante ha contestato le nuove regole di WhatsApp che richiedevano agli utenti di accettare i nuovi termini del ‘contratto’ per accedere ai loro servizi quando il GDPR è entrato in vigore nel 2018.

Secondo i Termini di Servizio aggiornati della piattaforma, gli utenti che desideravano continuare ad avere accesso al loro servizio WhatsApp dopo l’introduzione del GDPR dovevano scegliere i Termini di Servizio aggiornati. Nel caso in cui rifiutassero i termini, i loro servizi non sarebbero stati accessibili.

In altre parole, WhatsApp stava effettivamente costringendo gli utenti ad accettare il trattamento dei dati se volevano continuare a utilizzare i servizi, cosa che il denunciante sosteneva fosse in violazione del GDPR. Il denunciante credeva che gli utenti dovessero avere la possibilità di scegliere riguardo ai dati che vengono trattati.

A seguito di un’indagine approfondita da parte della DPC, l’ente di vigilanza ha trovato WhatsApp colpevole di essere “in violazione dei propri obblighi in relazione alla trasparenza”, poiché non ha fornito chiarezza sufficiente su come avviene il trattamento dei dati e per quali scopi.

La DPC ha riscontrato che WhatsApp Ireland non si è, di fatto, basata sul consenso degli utenti come base legale per il trattamento dei loro dati personali.

WhatsApp Ireland “non ha diritto di fare affidamento sulla base legale contrattuale come base legale per il trattamento dei dati personali ai fini del miglioramento del servizio e della sicurezza,” ha aggiunto, affermando che la base legale per il trattamento dei dati del servizio è in violazione della legge dell’UE.

La decisione finale della multa adottata dalla DPC il 12 gennaio 2023 segue le tre decisioni vincolanti dell’ente di protezione dei dati dell’UE, il Comitato Europeo per la Protezione dei Dati (EDPB), all’inizio di dicembre.

Oltre alla multa, l’EDPB ha anche inteso indirizzare la DPC a condurre una nuova indagine riguardo ai seguenti aspetti:

“Le operazioni di trattamento di WhatsApp IE nel suo servizio al fine di determinare se tratta categorie speciali di dati personali (Articolo 9 GDPR), tratta dati ai fini della pubblicità comportamentale, per scopi di marketing, così come per la fornitura di metriche a terzi e lo scambio di dati con aziende affiliate ai fini del miglioramento del servizio, e al fine di determinare se rispetta gli obblighi pertinenti ai sensi del GDPR.”

In risposta alla decisione della DPC presa giovedì, Meta ha dichiarato che presenterà ricorso contro la decisione e cercherà di annullarla.

“Crediamo fermamente che il modo in cui il servizio opera sia sia tecnicamente che legalmente conforme. Ci basiamo sulla necessità contrattuale per il miglioramento del servizio e per motivi di sicurezza perché riteniamo che aiutare a mantenere le persone al sicuro e offrire un prodotto innovativo sia una responsabilità fondamentale nell’operare il nostro servizio,” ha dichiarato un portavoce di WhatsApp.

“Non siamo d’accordo con la decisione e intendiamo fare appello.”