WhatsApp ha presentato un ricorso contro l’EDPB – European Data Protection Board dinnanzi alla Corte di Giustizia UE. Il sistema di messaggistica più famoso al mondo è passato all’attacco ed ha puntato dritto alla testa del nemico. Oggetto della contesa, la Decision 1 del 2021 con cui il Collegio dei Garanti ha di fatto ribaltato la decisione, in versione “draft”, dell’Autorità Irlandese contro WhatsApp, spingendo ad una radicale riforma della stessa che ha poi portato alla nota sanzione record da 225.000.000 di euro contro il gigante del gruppo Meta (già Facebook).
Indice degli argomenti
Whatsapp contro EDPB, i sette motivi del ricorso
WhatsApp questa volta non vuole limitarsi alle solite scuse ed ha deciso di presentare opposizione dinnanzi alla Corte di Giustizia UE evidenziando 7 criticità di tale Decision 1:
1- EDPB avrebbe ecceduto le proprie competenze rispetto all’art 65 GDPR
2- EDPB avrebbe interpretato in maniera troppo estesa il concetto di trasparenza che emerge dall’art 13 GDPR.
3- EDPB avrebbe interpretato in maniera troppo estesa il concetto di “dato personale” così come definito dall’art 4 del GDPR.
4- Sarebbe stata violata la presunzione di innocenza invertendo sensibilmente l’onere della prova a discapito della società statunitense
5- EDPB avrebbe violato il diritto di WhatsApp ad avere anche un blando contradittorio.
6- EDPB avrebbe fornito una interpretazione errata dei principi che consentono di determinare correttamente le sanzioni GDPR
7- EDPB avrebbe interpretato in modo eccessivamente creativo il diritto infrangendo il principio di certezza del diritto alla base dell’ordinamento europeo.
WhatsApp, perché l’informativa privacy 2021 preoccupa Garanti privacy, utenti ed esperti
Le motivazioni
Per cercare di fornire una proiezione spannometrica di quello che potrebbe essere il risultato di questo giudizio, occorre andare ad analizzare alcuni dei punti su cui si fonda il ricorso di WhatsApp. Si legge nella Gazzetta Ufficiale UE che EDPB avrebbe interpretato in modo troppo estensivo il concetto di trasparenza derivante in parte dall’art. 13 GDPR. Questa è la motivazione principale da cui in qualche modo derivano le altre, concentrate più su temi di forma che di merito. Ora, come noto, ai sensi dell’articolo 65, paragrafo 1, lettera a), del GDPR, nel contesto di una procedura di risoluzione delle controversie, l’EDPB è tenuta a prendere una decisione vincolante nel caso in cui un’autorità di controllo interessata abbia sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila e l’autorità capofila di controllo non abbia dato seguito all’obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata.
Whatsapp contro EDPB, l’antefatto
In questo caso, l’Autorità Irlandese aveva presentato un progetto di decisione contro WhatsApp sollevando le critiche delle diverse Authority europee, tedesca ed italiana in primis. Critiche che non erano state ascoltate dal Garante Irlandese rendendo necessario l’intervento di EDPB. In particolare, uno dei punti principali di contrasto riguardava l’informativa e le basi giuridiche dichiarate dal colosso della messaggistica istantanea. WhatsApp all’epoca affermava di aver fornito ai propri utenti descrizioni chiare e trasparenti dei legittimi interessi utilizzati come base giuridica per il trattamento dei dati e di essere quindi in regola con il GDPR. Questa linea venne sposata anche dal Garante Irlandese il quale ritenne che non vi fosse nulla da eccepire al riguardo. Il Garante Tedesco invece, come anche EDPB aveva evidenziato come in realtà le cose non stessero esattamente così.
Il caso dell’informativa di Whatsapp
L’informativa rilasciata da WhatsApp infatti individuava tutta una serie di trattamenti, anche particolarmente invasivi, riconducendoli in gran parte sotto la base giuridica del legittimo interesse. In particolare come evidenziato dal Garante Tedesco, gli interessi legittimi relativi al trattamento “misurazione, analisi e altri servizi aziendali” non venivano descritti in modo adeguato.
L’informativa, difatti, oltre ad un generico riferimento alla necessità di “fornire report accurati e affidabili alle imprese e ad altri partner”, non spiegava molto altro. Di che report parliamo? Chi sono gli altri partner? Non a caso l’EDPB nella sua decision aveva evidenziato che laddove l’interesse legittimo venga utilizzato come base giuridica per il trattamento, è necessario indicarlo in modo chiaro e circostanziato. Come ricordato nelle Linee guida sulla trasparenza, il concetto di trasparenza ai sensi del GDPR deve essere parametrato a quello che potrebbe comprendere l’utente medio, spingendo quindi a domandarsi: se l’utente medio possa capire di che trattamenti si sta parlando. Ora, leggendo l’informativa in questione, pubblicata per stralci nella Decision 1, viene spontaneo chiedersi: che argomentazioni porterà Whatsapp dinnanzi alla CGUE per richiedere la modifica di tale decisione?
Il rischio di un effetto boomerang
È legittimo pensare che parte della difesa si baserà sul fatto che i dati in questione non siano in qualche modo riconducibili alla categoria dei dati personali. Tra i motivi di opposizione, come visto, c’è difatti anche l’asserita interpretazione erronea del concetto di dato personale. Probabilmente WhatsApp cercherà di far passare come dati anonimizzati o non personali i dati oggetto di trattamento, tentando in questo modo di far uscire dal raggio di applicazione del GDPR i trattamenti in questione, non potendo EDPB intervenire per il caso di trattamento di dati non personali. Potrebbe essere una strategia, ma potrebbe essere anche una lama a doppio taglio.
Ricordiamo difatti che, come visto, il dovere di trasparenza è un obbligo che interessa direttamente il titolare del trattamento. Se oggi WhatsApp cercasse di dimostrare il fatto che nemmeno EDPB ha ben compreso il tipo di dati trattati dal sistema di messaggistica, di fatto si tirerebbe la famosa zappa sui piedi, evidenziando oltremodo un grave problema di trasparenza. Insomma, se nemmeno i Garanti Privacy di tutta Europa riescono a comprendere di che dati si sta parlando, è evidente che le alternative sono due: o i Garanti hanno perso il senno improvvisamente, oppure, come penso, l’informativa non è scritta in modo chiaro. Per questo ritengo che questo motivo di opposizione potrebbe essere un boomerang per WhatsApp dovendo la società americana portare avanti questa pretesa con molta cautela.
Per il resto, di fatto, tutti i motivi di opposizione sono in realtà un corollario di quello che è il citato punto relativo alla mancanza di trasparenza, di cui abbiamo più sopra parlato. In particolare, WhatsApp lamenta l’ingiusta inversione dell’onere della prova ma, come abbiamo visto, la Decision 1 non è che ha invertito l’onere della prova ma ha semplicemente analizzato una situazione di fatto, statuendo la non trasparenza dell’informativa. Allo stesso modo, EDPB non è che ha negato il contradittorio a WhatsApp, ha semplicemente ritenuto non degne di accoglimento o di considerazione le difese della società del gruppo Meta.
Conclusione
In conclusione, a parere di chi scrive, è chiaro che possa accadere di tutto nel corso del giudizio, ma è altrettanto evidente che la decisione di EDPB è fondata, motivo per cui, dovendo fornire una previsione, direi che, salvo imprevisti, la Corte dovrebbe confermare il giudizio dei Garanti. Ciò che potrebbe variare è l’ammontare della sanzione in quanto, effettivamente, i parametri sono sotto un certo aspetto eccessivamente soggettivi. Anche per questo sarà molto interessante seguire questo giudizio in quanto, in caso di vittoria di WhatsApp, avremmo la prima grande rivincita dei social network contro una Autorità mentre, in caso di vittoria di EDPB, avremmo la conferma della sanzione privacy più alta mai comminata in UE. Staremo a vedere.
