La Comisión de Protección de Datos (DPC) ha multado a WhatsApp Irlanda con 225 millones de euros por infracciones de las normas de protección de datos.
Es la multa más grande jamás impuesta por el DPC y la segunda sanción más grande jamás impuesta a una organización según las leyes de datos de la UE.
El regulador también ha ordenado al servicio de mensajería que cumpla con su procesamiento mediante la adopción de una serie de medidas correctivas específicas.
WhatsApp ha dicho que no está de acuerdo con la decisión, ha afirmado que las sanciones son completamente desproporcionadas y ha declarado que apelará el fallo.
El DPC actúa como la autoridad supervisora principal de WhatsApp en toda Europa.
La investigación fue lanzada por la DPC hace tres años, después de que la UE pusiera en vigor nuevas normas sobre protección de datos.
La investigación examinó si WhatsApp había cumplido con sus obligaciones en virtud del Reglamento General de Protección de Datos (GDPR) con respecto a la provisión de información y la transparencia de esa información tanto para los usuarios como para los no usuarios de los servicios de WhatsApp.
Esto incluyó la transparencia de la información proporcionada a los usuarios sobre el procesamiento de sus datos entre WhatsApp y otras empresas de Facebook.
En diciembre del año pasado, habiendo concluido su investigación, el DPC envió su proyecto de decisión a otros reguladores de datos europeos para su consideración, como lo requiere el GDPR.
Sin embargo, ocho de las aproximadamente 40 de esas autoridades no estuvieron de acuerdo con el proyecto de conclusiones, incluida la multa propuesta por la DPC de hasta 50 millones de euros.
Debido a que la DPC no pudo llegar a un consenso con los otros reguladores sobre cómo proceder, el caso se remitió a la Junta Europea de Protección de Datos (EDPB) a principios de este verano y emitió su decisión vinculante a fines de julio que la DPC debe ahora hacer cumplir.
«Esta decisión contenía una instrucción clara que requería que la DPC reevaluara y aumentara su propuesta de multa sobre la base de una serie de factores contenidos en la decisión de la EDPB y, tras esta reevaluación, la DPC impuso una multa de 225 millones de euros a WhatsApp», dijo. DPC dijo en un comunicado.
«Además de la imposición de una multa administrativa, la DPC también impuso una reprimenda junto con una orden para que WhatsApp haga que su procesamiento cumpla con el cumplimiento mediante la adopción de una serie de medidas correctivas específicas».
Sin embargo, WhatsApp Irlanda, que anteriormente había reservado 77,5 millones de euros para una posible multa, ha dicho que no está de acuerdo con la decisión y se compromete a proporcionar un servicio seguro y privado.
«Hemos trabajado para asegurar que la información que proporcionamos sea transparente y completa y continuaremos haciéndolo», dijo un vocero de WhatsApp.
«No estamos de acuerdo con la decisión de hoy con respecto a la transparencia que brindamos a las personas en 2018 y las sanciones son totalmente desproporcionadas. Apelaremos esta decisión», agregó.
Se puede apelar ante el Tribunal Superior de Irlanda o directamente ante el Tribunal de Justicia de la Unión Europea, y probablemente se centrará en el tamaño de la multa.
Se entiende que WhatsApp cree que la multa no se trata de sus prácticas de intercambio de datos, sino del nivel de detalle proporcionado en su política de privacidad de 2018.
Fuentes cercanas a la compañía, que es propiedad de Facebook, dijeron que en lugar de hacer su política más corta y menos complicada, la decisión significaría que tendría que agregar aún más información a su ya larga y complicada política de privacidad.
También se entiende que la empresa siente que la multa no está en sintonía con las multas anteriores relacionadas con el RGPD.
Según la regulación, las empresas pueden enfrentar multas de hasta 20 millones de euros o el 4% de la facturación global anual total el año anterior, que es más alta.
La mayor multa del RGPD hasta la fecha, unos 746 millones de euros, fue impuesta durante el verano a Amazon por las autoridades de Luxemburgo.
En 2019, la autoridad francesa de protección de datos multó a Google con 50 millones de euros por falta de transparencia, información inadecuada y falta de consentimiento válido en la personalización de anuncios.
Las multas se remontan al fisco de los países en los que se recaudan.
La Comisión de Protección de Datos ha sido objeto de críticas sostenidas de otros reguladores de protección de datos en Europa por no tomar medidas lo suficientemente duras contra las grandes empresas de tecnología que operan fuera de Irlanda.
En diciembre pasado, multó a Twitter con 450.000 euros por una violación de datos, su primera sanción económica importante impuesta a una gran empresa multinacional de tecnología.
Según su informe anual más reciente, el DPC tiene una gran cantidad de investigaciones en curso sobre otras grandes firmas de tecnología, incluidas múltiples investigaciones en Facebook, Apple, Instagram, Google y Twitter.
WILL GOODBODY
https://amp-rte-ie.cdn.ampproject.org/c/s/amp.rte.ie/amp/1244293/
