Una seconda pesante sanzione, pari a 5,5 milioni di euro, è stata inflitta a WhatsApp Ireland Limited (“WhatsApp Ireland”); la stessa è stata inoltre invitata a rendere conformi le proprie operazioni di trattamento dei dati entro 6 mesi.
Dopo le sanzioni per 390 milioni di euro inflitte a Meta nei primissimi giorni dell’anno per le violazioni del GDPR commesse da Facebook e Instagram, ora l’autorità irlandese per la protezione dei dati (Data Protection Commission – DPC) torna a bacchettare le società di Mark Zuckerberg. Infatti, il 19.01.2023 la DPC ha annunciato la conclusione dell’inchiesta sulla società WhatsApp Ireland Limited, infliggendo una multa di 5,5 milioni di euro.
Tutta l’indagine è nata da un reclamo presentato da un cittadino tedesco al tempo dell’entrata in vigore del GDPR. In quell’epoca WhatsApp aveva aggiornato i propri termini di servizio, informando gli utenti che qualora avessero voluto continuare ad avere accesso al servizio dell’App di messaggistica avrebbero dovuto cliccare obbligatoriamente su
“Accetta e continua” senza alcuna possibilità di rifiutarsi di farlo (i servizi non sarebbero stati accessibili se gli utenti non avessero consentito).
Il reclamante affermava che WhatsApp stava cercando di fare affidamento sul consenso per fornire una base legale al trattamento dei dati degli utenti. In questo modo, subordinando l’accessibilità dei servizi all’accettazione da parte degli utenti dei nuovi “ Termini di servizio aggiornati ”, paventando un generico miglioramento della sicurezza e del servizio, WhatsApp Ireland stava di fatto ” costringendo ” ad acconsentire al trattamento dei dati personali; ciò in palese violazione del GDPR.
In pratica, adottando tale modalità, WhatsApp Ireland sosteneva che, accettando i termini di servizio aggiornati, gli utenti stessero stipulando un contratto con la stessa WhatsApp, la quale non avrebbe quindi avuto bisogno di chiedere il loro consenso come previsto all’art. 6, c. 1, lett. a) del GDPR, ma poteva invece tirare dritto ricorrendo alla base giuridica del contratto di fornitura del servizio in base all’art. 6, c. 1, lett. b) del GDPR.
A conclusione di un’indagine approfondita che ha visto coinvolto, oltre alle autorità di controllo capofila e interessate (c.d. CSA, ai sensi dell’art. 60 del GDPR), anche il Comitato Europeo per la Protezione dei Dati (EDPB), quest’ultimo, promulgando una decisione vincolante, ha ritenuto che WhatsApp Ireland non avesse il diritto di fare affidamento alla base giuridica del contratto per finalità di “sicurezza informatica” come aveva scritto nei termini di servizio sottoposti agli utenti.
Mentre le CSA hanno rilevato violazioni negli obblighi di trasparenza. Infatti, le informazioni in relazione alla base giuridica invocata dalla società irlandese non sono state chiaramente delineate per gli utenti, con il risultato che gli utenti non hanno avuto sufficiente chiarezza su quali operazioni di trattamento fossero in corso sui loro dati personali, a quale/i scopo/i e con riferimento a quale delle 6 basi giuridiche individuate nell’art. 6 del GDPR.
Pertanto, la DPC ha imposto a WhatsApp Ireland una nuova sanzione amministrativa di 5,5 milioni di euro (la precedente era di 225 milioni) e ha ordinato a WhatsApp Ireland di adeguare le proprie operazioni di trattamento al GDPR entro un periodo di 6 mesi.
Da parte sua, WhatsApp ha dichiarato di non essere d’accordo con la decisione e che intende presentare ricorso.
A conclusione, vorrei segnalare che tale App è lo strumento di comunicazione che va ormai per la maggiore tra i professionisti del settore sanitario (adoperato dall’84,3% dei medici), che lo usano in modo disinvolto per comunicare con i pazienti, fissare appuntamenti, inviare prescrizioni, valutare esami e dare consigli terapeutici a pazienti, nonché scambiare informazioni cliniche con i colleghi. Ciò ci può dare un’idea dei motivi per cui la DPC stia dando grande importanza ai trattamenti svolti da WhatsApp Ireland.
Autore: Sistema Ratio Centro Studi Castelli
