WhatsApp multata per 5,5 milioni di euro per violazione del GDPR

La Commissione per la protezione dei dati irlandese - Data Protection Commission (DPC) - ha multato WhatsApp per 5,5 milioni di euro. La nuova sanzione comminata a una società del gruppo Meta arriva per la violazione del GDPR, il regolamento generale sulla protezione dei dati. A WhatsApp è stato anche ordinato di riportare il trattamento dei dati in un territorio di conformità con la norma entro sei mesi.

La multa, come spiega la stessa DPC, è la conclusione di un'indagine nata dopo un reclamo di un soggetto tedesco (noyb) del 25 maggio 2018, data di entrata in vigore del GDPR. In anticipo rispetto a quell'evento, WhatsApp aggiornò i propri termini di servizio, informando gli utenti intenzionati a continuare ad avere accesso al servizio dopo l'introduzione del GDPR che avrebbero dovuto cliccare su "Accetta e continua" per accettare i nuovi termini, pena l'impossibilità di usare il servizio.

WhatsApp riteneva che l'accettazione dei termini aggiornati desse vita a un contratto tra WhatsApp e l'utente, e che il trattamento dei dati per finalità di miglioramento del prodotto e sicurezza del servizio fosse "compreso" in quel consenso. Il denunciante sosteneva al contrario e che la società stava in realtà cercando di fare affidamento sul consenso per fornire una base legale al trattamento dei dati degli utenti.

In pratica, subordinando l'accessibilità dei suoi servizi all'accettazione da parte degli utenti dei Termini di servizio aggiornati, WhatsApp stava di fatto "costringendo" gli utenti ad acconsentire al trattamento dei loro dati personali per il miglioramento e la sicurezza del servizio. Il denunciante ha sostenuto che ciò violava il GDPR.  

Dopo l'indagine, il DPC ha ravvisato una mancanza di trasparenza sul trattamento dei dati personali, ma considerando che aveva già inflitto a WhatsApp una sanzione molto consistente di 225 milioni di euro per violazione di questo e altri obblighi di trasparenza, non aveva proposto l'imposizione di ulteriori sanzioni o misure correttive. Tuttavia, dopo una differenza di vedute su alcuni punti con i propri pari dell'area europea, il caso è approdato sul tavolo dello European Data Protection Board (EDPB).

Il 5 dicembre 2022 l'EDPB ha respinto una serie di obiezioni sollevate dagli enti europei e accolto la posizione del DPC, subordinata solo all'inserimento di un'ulteriore violazione. Il 12 gennaio il DPC ha adottato la decisione vincolante dell'EDPB e concluso che WhatsApp non ha il diritto di far valere la base giuridica del contratto per l'erogazione di miglioramenti e sicurezza del servizio. Alla luce dell'ulteriore infrazione, il DPC ha imposto una sanzione amministrativa di 5,5 milioni di euro.

Whatsapp, già intenzionata a fare appello, ha dichiarato tramite un portavoce: "Crediamo fermamente che il modo in cui il servizio opera sia tecnicamente e legalmente conforme".