Scaturita dal meccanismo di cooperazione e coerenza la maxi sanzione a WhatsApp da 225 milioni di euro
L’Autorità Garante dell’Irlanda (Data Protection Commission -DPC-) ha annunciato ai primi di Settembre la conclusione di un'indagine sull’applicazione del Regolamento UE 679/2016 (GDPR) nei confronti di WhatsApp Ireland Ltd. L'indagine del DPC è iniziata il 10 dicembre 2018 ha esaminato come WhatsApp utilizzi i dati degli utenti alla luce degli obblighi di trasparenza imposti dalla disciplina privacy.
(Nella foto: Andrea Jelinek, presidente dell'European Data Protection Board)
A seguito di un'indagine lunga e complessa, nel dicembre 2020 il DPC ha presentato una proposta di decisione a tutte le autorità di vigilanza interessate (Concerned Supervisory Authorities -CSA-) ai sensi dell'articolo 60 GDPR in tema di cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate.
Come noto ai sensi del paragrafo 3 l'autorità di controllo capofila comunica senza indugio le informazioni utili sulla questione alle altre autorità di controllo interessate. Trasmette senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni.
Inoltre, il successivo paragrafo 4 precisa che se una delle altre autorità di controllo interessate solleva un'obiezione pertinente e motivata al progetto di decisione entro un termine di quattro settimane dopo essere stata consultata conformemente al paragrafo 3 del presente articolo, l'autorità di controllo capofila, ove non dia seguito all'obiezione pertinente e motivata o ritenga l'obiezione non pertinente o non motivata, sottopone la questione al meccanismo di coerenza di cui all'articolo 63.
Il Garante irlandese (DPC) avendo ricevuto otto obiezioni da parte di altrettante autorità di vigilanza e non essendo riuscita a raggiungere un consenso sull’oggetto delle obiezioni, in data 3 giugno 2021 ha avviato il processo di risoluzione delle controversie previsto dall’articolo 65 GDPR in base al quale al fine di assicurare l'applicazione corretta e coerente del regolamento, il comitato europeo per la protezione dei dati (European Data Protection Board - EDPB) è tenuto ad adottare una decisione vincolante nel caso di cui all'articolo 60, paragrafo 4 GDPR e cioè quando un'autorità di controllo interessata ha sollevato un'obiezione pertinente e motivata a un progetto di decisione dell'autorità capofila o l'autorità capofila ha rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell'obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento.
Il 28 luglio 2021, il Comitato europeo per la protezione dei dati (EDPB) ha adottato una decisione vincolante e tale decisione è stata notificata al DPC irlandese. Questa decisione conteneva un'istruzione chiara che richiedeva al Data Protection Commission di rivalutare e aumentare la sua proposta di sanzione sulla base di una serie di fattori contenuti nella decisione dell'EDPB e, a seguito di tale riesame, il DPC ha imposto a WhatsApp una sanzione di 225 milioni di euro.
Oltre all'imposizione di una sanzione amministrativa, il DPC ha anche imposto un ammonimento e un'ingiunzione a WhatsApp di rendere conforme il proprio trattamento ai principi e alla normativa privacy adottando una serie di dettagliate azioni correttive.