The Irish Supervisory Authority has sanctioned Whatsapp with a €225 million fine for violating the provisions of the GDPR (Regulation (EU) 2016/679). In particular, the world’s most popular instant messaging app would have shared data with other companies of the Facebook Group without providing data subjects with adequate information.
The measure comes at the end of a cross-border investigation that began on December 10, 2018, during which the Irish Authority, the “lead” under Article 56 GDPR, found some criticalities in Whatsapp’s compliance with its transparency obligations towards both users and non-users.
In addition to the fine, the Authority also gave Big Tech a three-month deadline to comply with its obligations under the GDPR to provide an adequate level of transparency.
The response from the Californian giant was not long in coming, which considered the sanction disproportionate in quantum, announcing the appeal in the courts.
Although the penalty is the highest issued against a Big Tech by the Irish Authority – 10 months after the “historic” $550,000 penalty imposed against Twitter – the key point of the case lies in the role played by the European Data Protection Board (EDPB) in the application of the dispute resolution mechanism provided for by Article 65 of the GDPR.
In the present case, in December 2020, the Irish Lead Authority submitted for the attention of the other European Authorities concerned a draft decision under Article 60 GDPR. Initially, the Irish Supervisor had envisaged a penalty of €50 million. The proposal was, however, objected to by eight interested Authorities. Failing to agree on the point, the Irish Supervisor launched the dispute resolution mechanism provided for in Article 65 GDPR before the European Data Protection Board on June 3, 2021. The purpose of the instrument is to ensure the consistent application of the GDPR within the Union through the adoption of a binding decision by the European Board.
On July 28, 2021, the Committee ruled, requesting to re-evaluate and increase the proposed penalty based on some factors. In particular, the Committee requested by way of an investigation to verify whether, as alleged by the Authorities concerned, Whatsapp shared its users’ data with its parent company without having adequately informed European citizens. Moreover, whether such communication was based on an adequate legal basis under Articles 5 and 6 of the GDPR.
Ultimately, the measure shows how the mechanisms of cooperation and consistency introduced by the European Data Protection Regulation are effective in curbing the overwhelming power exercised by Big Tech over the control of European users’ data.
The famous activist for the protection of privacy Max Schrems commented on the news with less optimistic tones, complaining about the work of the Irish Authority, which ultimately imposed a penalty equal to 0.8% of Facebook’s turnover. A far too low percentage if you consider that the GDPR provides for fines of up to 4% of turnover.
****
MAXI-SANZIONE AI DANNI DI WHATSAPP COMMINATA DAL GARANTE PRIVACY IRLANDESE. Il COLOSSO DI MENLO PARK ANNUNCIA RICORSO.
L’Autorità garante irlandese ha sanzionato Whatsapp con una sanzione da 225 milioni di Euro per aver violato le disposizioni del GDPR (Regolamento (UE) 2016/679). In particolare, l’app di messaggistica istantanea più diffusa al mondo avrebbe condiviso dati con altre società del Gruppo Facebook, senza fornire agli interessati un’informativa adeguata.
Il provvedimento giunge al termine di un’attività investigativa transfrontaliera iniziata il 10 dicembre 2018, durante la quale l’Autorità irlandese, “capofila” ai sensi dell’art. 56 GDPR, ha rilevato alcune criticità nel rispetto degli obblighi di trasparenza da parte di Whatsapp, nei confronti sia degli utenti che dei non utenti.
Oltre alla sanzione pecuniaria, l’Autorità ha assegnato altresì un termine di tre mesi alla Big Tech per conformarsi agli obblighi previsti dal GDPR, al fine di fornire un adeguato livello di trasparenza.
Non si è fatta attendere la risposta da parte del colosso californiano, il quale ha ritenuto la sanzione sproporzionata nel quantum, annunciando il ricorso in sede giurisdizionale.
Sebbene la sanzione sia la più alta emessa nei confronti di una Big Tech da parte dell’Autorità irlandese – 10 mesi dopo la “storica” sanzione da 550.000 dollari irrogata nei confronti di Twitter – il punto fondamentale della vicenda risiede nel ruolo svolto dall’European Data Protection Board (EDPB) nell’applicazione del meccanismo di composizione delle controversie previsto dall’art. 65 del GDPR.
Nel caso di specie, nel dicembre 2020 l’Autorità capofila irlandese ha sottoposto all’attenzione delle altre Autorità europee interessate, un progetto di decisione ai sensi dell’art. 60 GDPR. Inizialmente, il Garante irlandese aveva previsto una sanzione pari a 50 milioni di Euro. La proposta è stata, tuttavia, oggetto di obiezioni da parte di otto Autorità interessate. Non riuscendo a raggiungere un accordo sul punto, il Garante irlandese ha avviato il 3 giugno 2021 il meccanismo di composizione delle controversie previsto all’art. 65 del GDPR dinanzi all’European Data Protection Board. Lo strumento è finalizzato a garantire l’applicazione coerente del GDPR all’interno dell’Unione, mediante l’adozione di una decisione vincolante da parte del Comitato europeo.
Il 28 luglio 2021 il Comitato si è pronunciato, chiedendo di rivalutare ed aumentare la sanzione proposta sulla base di una serie di fattori. In particolare, il Comitato ha richiesto in via istruttoria di verificare se, come affermato dalle Autorità interessate, Whatsapp condividesse effettivamente i dati dei propri utenti con la Società madre senza aver adeguatamente informato i cittadini europei. E, inoltre, se tale comunicazione si basasse su di una base giuridica adeguata ai sensi degli artt. 5 e 6 del GDPR.
In definitiva, il provvedimento mostra come i meccanismi di cooperazione e coerenza introdotti dal Regolamento Europeo sulla protezione dei dati risultino efficaci per arginare lo strapotere esercitato dalle Big Tech sul controllo dei dati degli utenti europei.
Il celebre attivista per la tutela della privacy Max Schrems ha commentato la notizia con toni meno ottimistici, lamentando l’operato dell’Autorità irlandese, la quale ha in definitiva comminato una sanzione pari allo 0,8% del fatturato di Facebook. Una percentuale decisamente troppo bassa se si considera che il GDPR prevede multe fino al 4% del fatturato.