Il 19 gennaio la Commissione Irlandese per la protezione dei dati (in inglese, Data Protection Commission, o DPC) ha annunciato la conclusione dell’indagine avviata nel 2018 nei confronti di WhatsApp, piattaforma facente parte del gruppo Meta. A chiusura dell’indagine, per le violazioni del GDPR riscontrate l’Autorità ha richiesto il versamento della sanzione amministrativa pecuniaria di 5,5 milioni di euro, con invito a rendere conformi le operazioni di trattamento dei dati entro il termine di 6 mesi.
La sanzione trae origine da violazioni simili a quelle riscontrate nei confronti delle due piattaforme “sorelle”, ossia la violazione degli obblighi previsti in materia di trasparenza, soprattutto per quanto riguarda la corretta informativa da rendersi agli utenti circa le basi giuridiche di trattamento dei dati.
Ciò che è interessante nella decisione in esame è la modalità di determinazione dell’importo della sanzione: il DPC afferma, infatti, di aver irrogato una sanzione particolarmente bassa avendo già multato WhatsApp per altri 225 milioni di euro “per violazioni di questo e di altri obblighi di trasparenza nello stesso periodo di tempo”.
È utile evidenziare come il gruppo Meta sia stato recentemente oggetto di due ulteriori decisioni finali, nelle quali si richiedeva il pagamento di sanzioni ammontanti rispettivamente a 210 milion per Facebook e 180 milioni per Instagram.
La decisione di cui si discute, dunque, “chiude il cerchio” sulle piattaforme principali della società, dando certamente un segnale per tutte le piattaforme le cui operazioni di trattamento appaiono simili a quelle poste in essere da Meta.
Gestire male i cookie costa caro: cosa impariamo dalla sanzione privacy milionaria a TikTok
Indice degli argomenti
L’indagine condotta dal Garante irlandese
L’indagine che ha portato all’emanazione delle citate sanzioni, trae origine da una denuncia presentata da un interessato tedesco il 25 maggio 2018, data di entrata in vigore del GDPR. Prima di detta data, infatti, approssimandosi il termine concesso alle aziende per adeguare i propri trattamenti dati alla nuova normativa europea, WhatsApp Ireland aveva provveduto ad aggiornare i propri Termini di Servizio, informando tutti gli utenti (sia nuovi che preesistenti) che se desideravano continuare ad avere accesso al servizio di messaggistica istantanea avrebbero dovuto cliccare sul pulsante “accetta e continua” per confermare la loro accettazione dei nuovi aggiornati Termini di Servizio.
Ove gli utenti non avessero manifestato la propria accettazione dei nuovi Termini di Servizio, la piattaforma non sarebbe più stata accessibile.
Mediante l’accettazione dei Termini di Servizio, WhatsApp affermava di star concludendo con l’utente un contratto, che avrebbe conseguentemente potuto fungere da base giuridica, ai sensi dell’art. 6 par. 1 lett. B) GDPR, per i trattamenti dati realizzati nell’ambito della fornitura dei suoi servizi, in quanto necessari all’esecuzione di detto contratto. Tra le finalità perseguite mediante detta base giuridica contrattuale, si individuava anche la fornitura di miglioramenti del servizio e di implementazione della sicurezza.
Il denunciante sosteneva che, contrariamente a quanto dichiarato da WhatsApp Ireland, la società stava in realtà abusando della base giuridica contrattuale, dovendo basarsi invece dette finalità sul consenso espresso degli utenti. L’interessato sosteneva altresì che, subordinando l’accessibilità dei suoi servizi all’accettazione da parte degli utenti dei Termini di servizio aggiornati, WhatsApp Ireland li stava di fatto “costringendo” ad acconsentire al trattamento dei loro dati personali per il miglioramento e la sicurezza del servizio, violando così le prescrizioni imposte dal GDPR.
La prima bozza di decisione
Nell’originale bozza di decisione inviata dal Garante irlandese alle altre autorità interessate si rilevava che:
- in violazione dei suoi obblighi in materia di trasparenza, le informazioni relative alla base giuridica invocata da WhatsApp Ireland non erano state chiaramente delineate agli utenti, con la conseguenza che questi ultimi “non avevano sufficiente chiarezza su quali operazioni di trattamento fossero effettuate sui loro dati personali, per quali scopi e con riferimento a quale delle sei basi giuridiche identificate nell’articolo 6 del GDPR”. La mancanza di trasparenza su tali questioni fondamentali costituiva una violazione degli articoli 12 e 13, paragrafo 1, lettera c), del GDPR. Relativamente a detta violazione, essendo stata oggetto di una diversa decisione che aveva comportato l’irrogazione di un’ammenda pari a 225 milioni di euro, le autorità concordavano nel non proporre l’imposizione di ulteriori ammende o misure correttive, avendolo già fatto in una precedente indagine;
- non poteva essere riscontrata una situazione di “consenso forzato”, non essendo tenuta WhatsApp ad utilizzare il consenso come base giuridica per la fornitura del servizio, per il suo miglioramento e per gli scopi di sicurezza.
Il DPC ha poi esaminato se, in linea di principio, il GDPR precludesse a WhatsApp Ireland di fare affidamento sulla base giuridica contrattuale, concludendo che il suo utilizzo non era precluso per le finalità prese in esame.
Le contestazioni e il parere dell’EDPB
Sei delle 47 autorità interessate, presa visione della prima bozza di decisione, decidevano di sollevare una serie di obiezioni, ritenendo che WhatsApp non possa essere autorizzata a fare affidamento sulla base giuridica del contratto, in virtù del fatto che la fornitura di miglioramento e sicurezza del servizio non può essere considerata necessaria per eseguire gli elementi fondamentali di quella che è stata definita una forma molto più limitata di contratto.
Il Garante Irlandese non si mostrava d’accordo alle obiezioni sollevate dalle autorità interessate, affermando che “il servizio WhatsApp include, e in effetti sembra essere premesso su, la fornitura di un servizio che include il miglioramento e la sicurezza del servizio”. Secondo il DPC, “questa realtà è centrale per l’accordo raggiunto tra gli utenti e il fornitore di servizi prescelto e fa parte del contratto concluso nel momento in cui gli utenti accettano i Termini di servizio”.
Non potendo raggiungere un consenso, veniva dunque adito l’EDPB, ai sensi di quanto previsto dall’art. 60 par. 4 GDPR.
L’EDPB confermava la posizione del DPC in relazione alla violazione da parte di WhatsApp dei suoi obblighi di trasparenza, subordinatamente all’inserimento di un’ulteriore violazione (del principio di “equità” di cui all’articolo 5, paragrafo 1, lettera a, GDPR). In relazione alla base giuridica, l’EDPB rilevava che, in linea di principio, WhatsApp Ireland non aveva il diritto di invocare la base giuridica del contratto come base legale per il trattamento dei dati personali ai fini del miglioramento e della sicurezza del servizio.
L’EDPB, nel suo parere vincolante, ordinava anche al Garante Irlandese di condurre una nuova indagine che abbia ad oggetto tutte le “operazioni di trattamento di WhatsApp IE nel suo servizio al fine di determinare se tratta categorie speciali di dati personali (articolo 9 GDPR), elabora i dati ai fini della pubblicità comportamentale, per scopi di marketing, nonché per la fornitura di metriche a terzi e lo scambio di dati con società affiliate per le finalità dei miglioramenti del servizio e al fine di determinare se è conforme agli obblighi pertinenti ai sensi del GDPR”.
La decisione finale
La decisione finale adottata dal DPC riflette il contenuto del parere vincolante emanato dall’EDPB, affermando, come richiesto dall’autorità europea, che WhatsApp Ireland non ha il diritto di fare affidamento sulla base giuridica contrattuale per le finalità di miglioramento del servizio e della sua sicurezza (escludendo da tale definizione, ad ogni modo, le attività funzionali a garantire la sicurezza informatica della piattaforma medesima).
Il trattamento dei dati svolto sino ad oggi secondo la descritta base giuridica contrattuale, dunque, è da ritenersi in violazione dell’art. 6 par. 1 GDPR. Si è irrogata dunque una sanzione amministrativa ridotta, con obbligo per WhatsApp di rendere le operazioni di trattamento conformi entro il termine di 6 mesi dalla notifica del provvedimento.
I commenti di Meta
La multa erogata nei confronti di Meta va ad aggiungersi alla rilevante somma richiesta dalle autorità per violazioni del GDPR: solo negli ultimi 16 mesi, infatti, Meta ha ricevuto multe per un totale di oltre 1,3 miliardi di euro.
Relativamente alla sanzione di cui si discute, un portavoce di Meta ha dichiarato: “Crediamo fermamente che il modo in cui il servizio opera sia tecnicamente che legalmente conforme. Ci affidiamo alla necessità contrattuale per il miglioramento del servizio e per scopi di sicurezza perché crediamo che aiutare a mantenere le persone al sicuro e offrire un prodotto innovativo sia una responsabilità fondamentale nella gestione del nostro servizio. Non siamo d’accordo con la decisione e intendiamo fare appello”.
Anche il Garante Irlandese si è detto contrario all’ordine imposto dall’EDPB di avvio di una nuova indagine, affermando nel suo comunicato che l’autorità europea non ha un ruolo di supervisione generale simile ai tribunali nazionali nei confronti delle autorità nazionali indipendenti e non è consentito al Comitato di istruire e ordinare a un’autorità di impegnarsi in indagini aperte e speculative. Di conseguenza, anche il DPC sta prendendo in considerazione l’idea di fare appello alla Corte di giustizia dell’Unione europea per accertare il presunto “eccesso di potere” esercitato dall’EDPB.
