La scure dell’autorità garante della privacy irlandese si è abbattuta su WhatsApp: all’app è stata comminata una multa da 225 milioni di euro al termine dell’inchiesta sulla trasparenza delle informazioni relative alla condivisione dei dati verso altre aziende di Facebook. Una sanzione giudicata da Whatsapp “sproporzionata”, come riporta la Reuters, e che potrebbe portare a un ricorso contro il provvedimento da parte dell’azienda.
“La sanzione multimilionaria annunciata da parte dell’Autorithy Irlandese, rimodulata anche sulla base delle indicazioni ricevute dalle altre Autorità coinvolte, si colloca nel solco dell’attività repressiva che vede sempre più coinvolti gli “Over the Top” del mondo tech”, è il commento a caldo di Anna Cataleta, Senior Partner P4I – Partners4Innovation.
La multa arriva al termine di una lunga e articolata indagine iniziata nel 2018, che ha visto sorgere controversie con altre autorità europee fino all’intervento dell’EDPB al riguardo a luglio di quest’anno, in seguito alla quale è stata emessa la decisione. La sanzione “ha un’altissima rilevanza storica – commenta l’avvocato Marina Carbone -. Non si tratta soltanto della più alta sanzione amministrativa che l’Autorità abbia erogato nei confronti del colosso digitale (che, come ricordiamo, fa direttamente capo a Facebook), ma è anche la dimostrazione di come i meccanismi di cooperazione previsti dal GDPR possano rappresentare la chiave per l’efficace contrasto a fenomeni di abuso dei dati personali da parte delle Big Tech”.
“Nuovamente, a poca distanza da Amazon, un’altra Big Tech americana è oggetto di pesanti sanzioni per irregolarità nel trattamento dei dati personali. Ciò testimonia, qualora ve ne fosse stato bisogno, come l’attività di controllo da parte delle Autorithies comunitarie non soffra di timori reverenziali derivanti dal dimensionamento degli operatori del settore”, sottolinea ancora Anna Cataleta.
“Sarà quindi interessante”, continua Anna Cataleta, “analizzare dettagliatamente questo atteso provvedimento, al fine di approfondire i profili di non conformità parzialmente anticipati nel comunicato ufficiale del Garante Irlandese. Nello stesso si fa richiamo ad una scarsa trasparenza nei confronti dei soggetti interessati: utenti di WhatsApp e non solo. L’enorme mole di dati personali trattati dalla società del Gruppo Facebook pone infatti in capo alla società stessa degli stringenti obblighi di comunicazione e trasparenza. Troppo spesso, difatti, sull’altare dell’efficienza e della fluidità dei processi, viene sacrificato il diritto a conoscere ed a trattare lecitamente i dati personali degli interessati coinvolti”.
LEGGI il comunicato ufficiale del Garante irlandese
Perché l’autorità irlandese ha multato WhatsApp
Secondo l’autorità irlandese, WhatsApp non avrebbe agito in compliance al GDPR, mancando di trasparenza riguardo alle informazioni sulla condivisione dei dati con altre società di Facebook.
Sempre la Reuters riporta le parole di un portavoce di WhatsApp che spiega come la questione riguardi politiche in vigore nel 2018 e che WhatsApp si impegnerebbe a fornire un servizio sicuro, avendo lavorato per dare informazioni chiare e complete. La stessa autorità ha ricordato nel suo comunicato come l’attività di indagine sia iniziata il 10 dicembre 2018 per valutare se WhatsApp avesse assolto gli obblighi di trasparenza previsti dal GDPR “per quanto riguarda la fornitura di informazioni e la trasparenza di tali informazioni sia agli utenti che ai non utenti del servizio di WhatsApp. Ciò include le informazioni fornite agli interessati sul trattamento delle informazioni tra WhatsApp e altre società di Facebook”.
Le controversie e l’intervento dell’EDPB
Alla fine, l’autorità irlandese “ha presentato un progetto di decisione a tutte le autorità di vigilanza interessate (CSA) ai sensi dell’articolo 60 del GDPR nel dicembre 2020. Il DPC ha successivamente ricevuto obiezioni da otto CSA. Il DPC non è stato in grado di raggiungere un consenso con le CSA sull’oggetto delle obiezioni e ha avviato il processo di risoluzione delle controversie (articolo 65 GDPR) il 3 giugno 2021”. Il 28 luglio 2021, prosegue l’autorità irlandese, “l’EDPB ha adottato una decisione vincolante”, contenente la richiesta “di rivalutare e aumentare la multa proposta sulla base di una serie di fattori contenuti nella decisione dell’EDPB e a seguito di questa rivalutazione il DPC ha imposto a WhatsApp una multa di 225 milioni di euro”.
La sanzione, precisa Carbone, “discende direttamente dall’applicazione degli articoli 60 e seguenti del GDPR, i quali prevedono che l’autorità di controllo capofila – nel caso di specie, l’autorità irlandese, avendo le società del gruppo Facebook sede in Irlanda – debba cooperare con le altre autorità interessate per svolgere indagini congiunte e ottenere il loro parere in merito alle azioni da intraprendere nei confronti dei titolari del trattamento sotto esame”.
Infatti, considerando i dissensi “in merito alle azioni da intraprendere nei confronti di WhatsApp per le opache modalità di comunicazione delle modalità di trattamento dei dati degli utenti (e non) dalla stessa adottate, l’EDPB, in applicazione del meccanismo di composizione delle controversie ex art. 65 GDPR, ha prontamente intimato all’Autorità Irlandese di svolgere un’indagine di natura legale per determinare se, come affermato dalle Autorità Garanti interessate, WhatsApp stesse provvedendo, sin dal 2018, a comunicare alla controllante Facebook dati dei propri utenti, senza che di tale evento fosse stata data adeguata e trasparente comunicazione ai cittadini europei. Tra le verifiche che si ordinava all’Autorità Irlandese di svolgere rientrava anche quella di determinare se la comunicazione dei dati a Facebook, ove effettivamente posta in essere, fosse o meno fondata su una base giuridica adeguata ai sensi degli artt. 5 e 6 GDPR”.
Garante privacy irlandese vs Whatsapp: ecco la decisione dell’EDPB
Oltre all’imposizione di un’ammenda amministrativa, “il DPC ha anche imposto una nota di biasimo insieme all’ordine per WhatsApp di rendere il suo trattamento conforme adottando una serie di azioni correttive specifiche”. Probabilmente, si tratta “della prima di future azioni congiunte nei confronti delle Big Tech, che provano come i meccanismi di cooperazione siano il principale strumento tramite cui permettere alle Autorità di far fronte alla necessità di limitare in modo maggiormente efficace e coerente, a livello unionale, le violazioni del GDPR da parte dei colossi del web, a tutela di tutti i cittadini europei”, ha sottolineato l’avvocato Carbone.
Schrems: “Passeranno anni prima dell’effettivo pagamento”
Sulla vicenda è intervenuto con un comunicato ufficiale diffuso tramite la sua organizzazione noyb: “Accogliamo con favore la prima decisione del regolatore irlandese. Tuttavia, il DPC riceve circa diecimila reclami all’anno dal 2018 e questa è la prima grande multa. Il DPC ha anche proposto una multa iniziale di 50 milioni di euro ed è stato costretto dalle altre autorità europee per la protezione dei dati a decidere per 225 milioni di euro, che è ancora solo lo 0,08% del fatturato del gruppo Facebook. Il GDPR prevede multe fino al 4% del fatturato. Questo dimostra come il DPC sia ancora estremamente disfunzionale”.
L’associazione noyb ha annunciato che seguirà i prossimi passi della vicenda e lo stesso Schrems ha dichiarato: “WhatsApp farà sicuramente ricorso contro la decisione. Nel sistema giudiziario irlandese questo significa che passeranno anni prima che qualsiasi multa venga effettivamente pagata. Nei nostri casi abbiamo spesso avuto la sensazione che il DPC è più interessato ai titoli dei giornali che a fare effettivamente il lavoro duro. Sarà molto interessante vedere se il DPC difenderà pienamente questa decisione, dato che è stato fondamentalmente costretto a prendere questa decisione dalle sue controparti europee. Posso immaginare che il DPC semplicemente non metterà molte risorse sul caso o “patteggerà” con WhatsApp in Irlanda. Monitoreremo questo caso da vicino per assicurarci che il DPC stia effettivamente seguendo questa decisione”.
Per Carbone, “quanto avvenuto prova anche che i meccanismi di cooperazione fra i Garanti possono rappresentare la chiave per rimediare alla lentezza dei procedimenti di verifica del rispetto degli obblighi di cui al GDPR, potendo l’Autorità capofila attingere non soltanto alle informazioni dalla stessa possedute, ma anche all’expertise delle altre Autorità e del Comitato Europeo per la protezione dei dati (EDPB). È ormai noto, peraltro, come l’Autorità irlandese stessa sia stata al centro di pesanti critiche da parte delle altre Autorità Garanti europee, le quali lamentavano – quella tedesca in particolar modo – non solo di impiegare troppo tempo per emanare decisioni relative alle Big Tech, ma anche di irrogare sanzioni che non erano in alcun modo congrue alla violazione e, conseguentemente, in grado di rappresentare un “minus” per le grandi società tecnologiche”.
