La Comisión de Protección de Datos (CPD) de Irlanda ha impuesto a WhatsApp una multa de 5,5 millones de euros (5,9 millones de dólares) por infracciones del GDPR.

Además de la multa, se ha ordenado a WhatsApp Irlanda que ponga en conformidad sus operaciones de procesamiento de datos en un plazo de seis meses.

El caso puso de manifiesto importantes desacuerdos entre las autoridades europeas de protección de datos sobre el alcance de la responsabilidad de WhatsApp.

La sanción se refiere a una actualización de los Términos de Servicio de WhatsApp el 25 de mayo de 2018, fecha en la que entró en vigor el GDPR de la UE. En ella se informaba a los usuarios existentes y nuevos de que si querían seguir teniendo acceso al servicio de WhatsApp tras la introducción de la nueva normativa, debían hacer clic en “aceptar y continuar” para indicar que aceptaban las Condiciones de servicio actualizadas.

WhatsApp Irlanda consideró que la aceptación de las nuevas Condiciones de Servicio constituía un contrato, y que el tratamiento de los datos de los usuarios con la prestación de su servicio era necesario para la ejecución de dicho contrato. Esto incluía la prestación de funciones de mejora y seguridad del servicio, operaciones consideradas lícitas por el artículo 6, apartado 1, letra b), del RGPD.

Sin embargo, Max Schrems, defensor de la privacidad, alegó que WhatsApp obligaba a los usuarios a consentir el tratamiento de sus datos al condicionar la accesibilidad de sus servicios a la aceptación de las condiciones de servicio actualizadas.

Tras una investigación, el CPD de Irlanda concluyó que WhatsApp incumplía sus obligaciones de transparencia en virtud del RGPD, ya que los usuarios no tenían “suficiente claridad sobre qué operaciones de tratamiento se estaban llevando a cabo con sus datos personales.”

No propuso una sanción por esta imposición, dado que ya había impuesto una multa “muy sustancial” de 225 millones de euros (266 millones de dólares) a la empresa por incumplir esta y otras obligaciones de transparencia durante el mismo periodo de tiempo.

El CPD no estuvo de acuerdo con el aspecto de “consentimiento forzado” de las quejas, al considerar que WhatsApp Irlanda no estaba obligada a basarse en el consentimiento del usuario como base legal para el tratamiento de sus datos personales.

La autoridad concluyó entonces que el GDPR no se oponía a la confianza de WhatsApp en la afirmación de que la aceptación de los nuevos Términos de Servicio constituía un contrato. Esto se debe a que consideró que la premisa de WhatsApp, la prestación de un servicio que incluye la mejora del servicio y la seguridad.

Sin embargo, seis de las 47 Autoridades de Supervisión Interesadas (ASC) a las que el CPD de Irlanda presentó su proyecto de decisión de conformidad con el RGPD, no estaban de acuerdo con este aspecto de la sentencia.

Como no se pudo llegar a un consenso, el CPD remitió los asuntos en litigio al Consejo Europeo de Protección de Datos (CEPD), que discrepó con el CPD sobre la cuestión del contrato como base jurídica. Esto llevó a la imposición de una multa administrativa de 5,5 millones de euros a WhatsApp.

La sentencia es la última de una serie de cuantiosas multas impuestas por el CPD irlandés a Meta, la empresa matriz de WhatsApp. Entre ellas se incluye una sanción de 405 millones de euros (402,2 millones de dólares) por la gestión de datos infantiles por parte de Instagram en septiembre de 2022, y una multa de 265 millones de euros (275 millones de dólares) en noviembre de 2022 por no proteger los datos personales de 533 millones de usuarios de Facebook que se filtraron en abril de 2021.

En enero de 2023, Meta anunció que recurriría una multa de 390 millones de euros (413 millones de dólares) impuesta al gigante de las redes sociales por la elección de la base jurídica en la que se basó para procesar la información personal de los usuarios.

Con información de Euronews.