La Comisión de Protección de Datos de Irlanda (Ireland’s Data Protection Commission) (IDPC) impuso recientemente una sanción de 225 millones de euros a WhatsApp Ireland Ltd (“WhatsApp”) por falta de transparencia en sus prácticas de tratamiento de datos de usuarios, que no cumplirían las exigencias de los artículos 12-14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).
Las investigaciones iniciales
El IDPC había iniciado formalmente sus investigaciones sobre WhatsApp el 10 de diciembre de 2018, tras recibir quejas respecto a las actividades de tratamiento de datos de WhatsApp, así cómo una solicitud de asistencia mutua de la Autoridad Federal de Protección de Datos de Alemania (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) a efectos del cumplimiento del RGPD por parte de WhatsApp. Con todo, formalmente el expediente se abrió «a iniciativa propia» por parte del IDPC. La investigación del supervisor irlandés se centró en averiguar si WhatsApp había cumplido con sus obligaciones de transparencia conforme al RGPD, particularmente en lo que respecta al tratamiento de datos personales de los usuarios de la aplicación de mensajería (e incluso de titulares no usuarios ya que WhatsApp permite cargar números de no usuarios, si el usuario actualiza sus contactos); y a su intercambio con otras entidades del Grupo Facebook (recuérdese que Facebook adquirió WhatsApp en 2014). Como consecuencia de esta investigación del IDPC, este organismo hizo público un borrador de decisión sancionadora que notificó a las Autoridades Supervisoras Competentes (CSAs) de la UE conforme a lo que exige el artículo del 60RGPD.
En su propuesta de sanción, el IDPC había identificado infracciones de los artículos 12-14 del RGPD por parte WhatsApp, con respecto a los usuarios y a no usuarios, determinando que WhatsApp no les había proporcionado información suficientemente clara, transparente o adecuada sobre sus actividades de tratamiento. Fundamentalmente, el IDPC consideró que WhatsApp no había identificado con suficiente detalle la base jurídica para cada actividad de tratamiento, como lo requiere el Artículo 13 (1) (c) del RGPD. Y, con respecto a las transferencias de datos personales a jurisdicciones fuera del EEE, determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el Artículo 13 (1) (f) del RGPD. En este último aspecto, según la propuesta de resolución sancionadora WhatsApp debería haber identificado con concreción si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos, y determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el artículo 13 (1) (f) del RGPD: WhatsApp debería haber identificado si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos y no limitarse a una afirmación vaga.
Previamente a la notificación a otras CSAs, en diciembre de 2020, el IDPC había propuesto una multa de (30-50 millones €). Pero, fue objetada por ocho de las CSAs que recibieron la notificación, el asunto alcanzó al Supervisor Europeo de Protección de Datos, y la sanción finalmente impuesta por el IDPC es de 225 millones €.
La intervención del Supervisor Europeo de Protección de Datos (SEPD)
Debido a la naturaleza transfronteriza de las actividades de tratamiento y trasferencia de datos de WhatsApp, el proyecto de decisión de la IDPC fue revisado por otras autoridades de supervisión relevantes, conforme al mecanismo de cooperación y coherencia del Capítulo VII del RGPD. Y , las objeciones formuladas se remitieron al Supervisor Europeo de Protección de Datos («SEPD»), de acuerdo con el procedimiento de resolución de disputas establecido en el artículo 65 (1) (a) del RGPD. Este último organismo ha adoptado una posición más estricta que el IDPC
El SEPD se opuso a la propuesta del IDPC. Frente a la opinión inicial de éste, que consideraba que WhatsApp había cumplido el ordenamiento sobre tratamiento de datos ( Artículo 13 (1) (d) del RGPD), el SEPD recordó, por el contrario, que el operador de mensajería instantánea debería haber identificado el interés específico para cada actividad de tratamiento relevante, para así garantizar que los interesados puedan ejercer los derechos que les asisten en virtud del RGPD. El SEPD también señaló que el efecto acumulativo de los incumplimientos por parte de WhatsApp tenía como consecuencia la violación del principio de transparencia contemplado en el Artículo 5 (1) (a) del RGPD, debido «a la “gravedad , la reiteración y el impacto de las infracciones». Y, en virtud de ello consideró que se había producido un incumplimiento adicional a lo establecido por la IDPC.
Por otra parte y con respecto a la cuantía de la multa inicialmente propuesta por la IDPC, la SEPD determinó que debería haberse tenido en cuenta la facturación consolidada de Facebook Inc., matriz de WhatsApp. Además, si bien el IDPC había propuesto un compromiso único y conjunto a Facebook y WhatsApp en su proyecto de decisión, el SEPD recordó que según la jurisprudencia del TJUE ( Akzo Nobel and Others v Commission, (C-97/08 P, jsentencia de 10 septiembre 2009), cuando una empresa matriz y su filial conforman una unidad, a efectos de categorizar la infracción (aunque haya sido directamente cometida por la filial), debe tenerse en cuenta el volumen de negocios total de las empresas que componen la unidad, pues es éste el que determina la capacidad financiera de lo que , a estos efectos, se considera una empresa unitaria. El SEPD también consideró que el volumen de negocios consolidado era relevante para el cálculo de la multa en sí, no solo para garantizar que la multa no excediera los límites establecidos en el artículo 83 (4) – (6) del RGPD (lo que si respetaba lo propuesto por el IDPC), sino para que las sanciones sean efectivas, proporcionadas y tengan efecto disuasorio.
Además, el SEPD aclaró que cuando se hayan cometido múltiples infracciones en el contexto de una misma o varias actividades de tratamiento vinculadas, todas esas infracciones deben tenerse en cuenta en el cálculo de la multa correspondiente a los efectos del artículo 83, apartado 3, del RGPD. Con el límite de que la sanción total no debe exceder la cantidad especificada para la infracción más grave.
Finalmente, el SEPD sostuvo que WhatsApp debe cumplir con sus actividades de tratamiento en un plazo de tres meses, a diferencia del período de tiempo original de seis meses propuesto por el IDPC, dada la importancia primordial del cumplimiento del principio de transparencia consagrado en el RGPD. WhatsApp también debe actualizar sus avisos de privacidad para usuarios y no usuarios para incluir la información requerida en virtud de los artículos 13 y 14 del RGPD, incluso para aclarar cómo estos pueden presentar una queja ante una autoridad supervisora con respecto a las actividades de tratamiento de WhatsApp.
La Decisión vinculante del SEPD y la Resolución sancionadora del IDPC
El 28 de julio de 2021, el SEPD adoptó una Decisión vinculante que fue notificada al IDPC. La Decisión del SEPD contenía instrucciones exigiendo al IDPC que procediese a una nueva valoración y que incrementase la sanción. Consecuencia de todo lo anterior, la multa efectivamente impuesta por el IDPC a WhatsApp Ireland Ltd y anunciada el 2 de septiembre de 2021 asciende a 225 millones € .
Junto con la sanción, el supervisor irlandés ha advertido a WhattsApp sobre la importancia de reformar sus mecanismos de tratamiento de texto.
Aunque en su resolución, la IDPC concede a WhatsApp un plazo de 6 meses para adaptarse al RGPD, WhatsApp ha manifestado su intención de recurrir judicialmente