Multa da 5,5 milioni di euro a WhatsApp per violazioni del GDPR
Dopo le sanzioni per 390 milioni di euro inflitte a Meta nei primissimi giorni dell’anno per le violazioni del GDPR commesse da Facebook e Instagram, ora l’autorità irlandese per la protezione dei dati torna a bacchettare le società di Mark Zuckerberg con una multa di 5,5 milioni di euro a WhatsApp.
Il caso riguardava un reclamo presentato da un cittadino tedesco il 25 maggio 2018, quando all’epoca dell’entrata in vigore del GDPR WhatsApp aveva aggiornato i propri termini di servizio, informando gli utenti che qualora avessero voluto continuare ad avere accesso al servizio dell’app di messaggistica a seguito dell'introduzione della nuova normativa sulla privacy avrebbero dovuto cliccare obbligatoriamente su "Accetta e continua" senza alcuna possibilità di rifiutarsi di farlo.
Adottando tale modalità WhatsApp Ireland sosteneva che, accettando i termini di servizio aggiornati, gli utenti stessero stipulando un contratto con la stessa WhatsApp, la quale non avrebbe quindi avuto bisogno di chiedere il loro consenso come previsto all’art.6, comma 1, lett. a) del GDPR, ma poteva invece tirare dritto ricorrendo alla base giuridica del contratto di fornitura del servizio in base all’art.6, comma 1, lett. b) del Regolamento UE sulla protezione dei dati, costringendo di fatto gli utenti ad accettare le nuove condizioni che richiamavano presunte “finalità di miglioramento del servizio e di sicurezza”.
A seguito delle proprie indagini, la Data Protection Commission irlandese ha contestato a WhatsApp Ireland la violazione dei suoi obblighi in materia di trasparenza per non aver spiegato chiaramente agli utenti che in base al GDPR avevano il diritto di essere informati chiaramente sui trattamenti dei loro dati personali effettuati tramite l’app, motivo per cui peraltro WhatsApp era già stata pesantemente sanzionata per 225 milioni di euro.
Inoltre, con l’intervento di una decisione vincolante da parte dell’European Data Protection Board, è stato ritenuto che WhatsApp Ireland non aveva il diritto di fare affidamento sulla base giuridica del contratto per finalità di “sicurezza informatica” come aveva scritto nei termini di servizio sottoposti agli utenti.
La società dell'app di messaggistica è stata inoltre invitata a conformarsi al Regolamento UE sulla protezione dei dati personali entro un periodo di sei mesi.
Da parte sua, WhatsApp ha dichiarato di non essere d'accordo con la decisione e che intende presentare ricorso, affermando di credere “fermamente che il modo in cui opera il servizio sia tecnicamente e legalmente conforme" alle leggi sulla privacy, e di fare affidamento sulla necessità contrattuale per il miglioramento del servizio e per motivi di sicurezza, perché ritiene che questo “aiuti a mantenere le persone al sicuro e offrire un prodotto innovativo e sia una responsabilità fondamentale nella gestione del proprio servizio".