WhatsApp enfrenta una multa de $ 267 millones por violar el GDPR de Europa

Ha tardado mucho en llegar, pero Facebook finalmente está sintiendo algo de presión por el tan pregonado régimen de protección de datos de Europa: la Comisión de Protección de Datos de Irlanda (DPC) ha acaba de anunciar 225 millones de euros (~ 267 millones de dólares) para WhatsApp.

La aplicación de mensajería propiedad de Facebook ha sido investigada por el DPC irlandés, su supervisor principal de datos en la Unión Europea, desde diciembre de 2018, varios meses después de la se dispararon las primeras quejas en WhatsApp sobre cómo procesa los datos del usuario según el Reglamento General de Protección de Datos de Europa (GDPR), una vez que comenzó a aplicarse en mayo de 2018.

A pesar de recibir una serie de quejas específicas sobre WhatsApp, la investigación emprendida por el DPC que se decidió hoy fue lo que se conoce como una investigación de “voluntad propia”, lo que significa que el regulador seleccionó los parámetros de la investigación en sí, eligiendo corregir una auditoría de WhatsApp. Obligaciones de “transparencia”.

Un principio clave del RGPD es que las entidades que procesan los datos de las personas deben ser claras, abiertas y honestas con esas personas sobre cómo se utilizará su información.

La decisión de hoy del DPC (que tiene un total de 266 páginas) concluye que WhatsApp no ​​cumplió con el estándar requerido por el GDPR.

Su consulta consideró si WhatsApp cumple o no con las obligaciones de transparencia tanto para los usuarios como para los no usuarios de su servicio (WhatsApp puede, por ejemplo, cargar los números de teléfono de los no usuarios si un u suario acepta que ingiera su directorio telefónico que contiene información personal de otras personas. datos); además de observar la transparencia que ofrece la plataforma sobre el intercambio de datos con su entidad matriz Facebook (un tema muy controvertido en el momento en que se anunció el cambio de sentido de la privacidad

en 2016, aunque era anterior a la aplicación del RGPD).

En resumen, la DPC encontró una serie de infracciones de transparencia por parte de WhatsApp, que abarcan los artículos 5 (1) (a); 12, 13 y 14 del RGPD.

Además de emitir una sanción financiera considerable, ordenó a WhatsApp que tome una serie de acciones para mejorar el nivel de transparencia que ofrece a los usuarios y no usuarios, dándole al gigante tecnológico un plazo de tres meses para realizar todos los cambios ordenados.

En una declaración en respuesta a la decisión de la DPC, WhatsApp impugnó los hallazgos y calificó la sanción como “completamente desproporcionada”, además de confirmar que apelará, escribiendo:

“WhatsApp se compromete to proporcionar un servicio seguro y privado. Hemos trabajado para garantizar que la información que proporcionamos sea transparente y completa y continuaremos haciéndolo. No estamos de acuerdo con la decisión de hoy con respecto a la transparencia que brindamos a las personas en 2018 y las sanciones son completamente desproporcionadas. Apelaremos esta decisión “.

Vale la pena enfatizar que el alcance de la investigación de DPC que finalmente se decidió hoy se limitó a considerar solo las obligaciones de transparencia de WhatsApp.

El regulador fue explícitamente no investigando quejas más amplias, que también se han planteado contra el imperio de minería de datos de Facebook durante más de tres años, sobre la base legal que reclama WhatsApp para procesar la información de las personas en primer lugar.

Por lo tanto, el DPC continuará enfrentando críticas tanto por el ritmo como por el enfoque de su aplicación del RGPD.

De hecho, antes de hoy, el regulador de Irlanda solo había emitido una decisión en los principales casos transfronterizos que abordan las ‘Big Tech’: contra Twitter cuando, en diciembre, aprovechó la red social por una brecha de seguridad histórica con una multa de $ 550 mil.

Por el contrario, la primera penalización del RGPD de WhatsApp es considerablemente mayor, lo que refleja lo que los reguladores de la UE (en plural) consideran evidentemente una infracción mucho más grave del RGPD.

La transparencia es un principio clave del reglamento. Y si bien una brecha de seguridad puede indicar una práctica descuidada, la opacidad sistemática hacia las personas en cuyos datos se basa su imperio adtech para obtener grandes ganancias parece bastante más intencional; de hecho, podría decirse que es todo el modelo de negocio.

Y, al menos en Europa, estas empresas se verán obligadas a ser francas sobre lo que están haciendo con los datos de las personas.

¿Está funcionando el RGPD?

La decisión de WhatsApp reavivará el debate sobre si el RGPD está funcionando eficazmente donde más cuenta: contra las empresas más poderosas del mundo, que también son, por supuesto, empresas de Internet.

Según el reglamento insignia de protección de datos de la UE, las decisiones sobre casos transfronterizos requieren el acuerdo de todos los reguladores afectados, en los 27 Estados miembros, por lo que, mientras que el mecanismo de “ventanilla única” del GDPR busca simplificar la carga regulatoria para las empresas transfronterizas mediante Al canalizar quejas e investigaciones a través de un regulador principal (generalmente cuando una empresa tiene su principal establecimiento legal en la UE), se pueden plantear objeciones a las conclusiones de esa autoridad supervisora ​​principal (y cualquier sanción propuesta), como ha sucedido aquí en este caso de WhatsApp.

Irlanda propuso originalmente una penalización mucho más baja de hasta 50 millones de euros para WhatsApp. Sin embargo, otros reguladores de la UE se opusieron a su proyecto de decisión en varios frentes, y la Junta Europea de Protección de Datos (EDPB) finalmente tuvo que intervenir y tomar una decisión vinculante (emitido este verano) para resolver las diversas disputas.

A través de ese trabajo conjunto (ciertamente bastante doloroso), se requirió que el DPC aumentara el tamaño de la multa emitida a WhatsApp. En un espejo de lo que sucedió con su borrador de decisión de Twitter, donde el DPC también sugirió una penalización aún más pequeña en primera instancia.

Si bien existe un costo de tiempo claro para resolver las disputas entre la gran variedad de agencias de protección de datos de la UE, el DPC presentó su borrador de decisión de WhatsApp a las otras APD para su revisión en diciembre, por lo que se tomó más de medio año para resolver todas las disputas. sobre el hash con pérdida de WhatsApp y demás, el hecho de que se estén haciendo ‘correcciones’ a sus decisiones y conclusiones puede aterrizar, si no se acuerda de manera conjunta, pero al menos se llega a través de un consenso impulsado por la EDPB, es una señal de que el proceso, aunque lento y chirriante, está funcionando. Al menos técnicamente.

Aun así, el organismo de control de datos de Irlanda seguirá enfrentándose a críticas por su enorme papel en el manejo de las quejas e investigaciones sobre el RGPD, y algunos acusan al DPC de elegir, en esencia, qué cuestiones examinar en detalle (según su elección y encuadre de los casos) y cuáles examinar. elide por completo (aquellos temas sobre los que no abre una investigación o quejas que simplemente deja de lado o ignora), y sus críticos más acérrimos argumentan que, por lo tanto, sigue siendo un cuello de botella importante para la aplicación efectiva de los derechos de protección de datos en toda la UE.

La conclusión asociada de esa crítica es que los gigantes tecnológicos como Facebook todavía están obteniendo un pase bastante libre para violar las reglas de privacidad de Europa.

Pero si bien es cierto que una multa de $ 267 millones es el equivalente a una multa de estacionamiento para el imperio empresarial de Facebook, las órdenes para cambiar la forma en que estos gigantes de la tecnología publicitaria pueden procesar la información de las personas al menos tienen el potencial de ser una corrección mucho más significativa en modelos de negocios problemáticos. .

Una vez más, sin embargo, se necesitará tiempo para decir si esos pedidos más amplios están teniendo el impacto buscado.

En un comunicado en respuesta a la decisión de WhatsApp de la DPC hoy, noyb – el grupo de defensa de la privacidad fundado por Max Schrems, activista europeo de la privacidad desde hace mucho tiempo, dijo: “Damos la bienvenida a la primera decisión del regulador irlandés. Sin embargo, el DPC recibe alrededor de diez mil quejas por año desde 2018 y esta es la primera multa importante. La DPC también propuso una multa inicial de 50 millones de euros y las demás autoridades europeas de protección de datos la obligaron a avanzar hacia los 225 millones de euros, que sigue siendo solo el 0,08% de la facturación del grupo Facebook. El RGPD prevé multas de hasta el 4% de la facturación. Esto muestra cómo el DPC sigue siendo extremadamente disfuncional “.

Schrems también señaló que él y noyb todavía tienen varios casos pendientes ante el DPC, incluso en WhatsApp.

En comentarios adicionales, expresaron su preocupación por la duración del proceso de apelación y si la DPC haría una defensa contundente de una sanción que se había visto obligada a aumentar por otras DPA de la UE.

“WhatsApp seguramente apelará la decisión. En el sistema judicial irlandés, esto significa que pasarán años antes de que se pague realmente una multa. En nuestros casos, a menudo teníamos la sensación de que el DPC está más preocupado por los titulares que por hacer el trabajo preliminar duro. Será muy interesante ver si el DPC realmente defenderá esta decisión por completo, ya que básicamente se vio obligado a tomar esta decisión por sus homólogos europeos. Puedo imaginar que el DPC simplemente no pondrá muchos recursos en el caso ni se ‘resolverá’ con WhatsApp en Irlanda. Supervisaremos este caso de cerca para asegurarnos de que el DPC realmente está cumpliendo con esta decisión “.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.