La Comisión para la Protección de Datos (DPC, en sus siglas en inglés) de Irlanda, la máxima autoridad digital del país, ha anunciado este jueves su decisión de imponer una multa récord de 225 millones de euros (267 millones de dólares) a la compañía de mensajería móvil WhatsApp.
La decisión responde al incumplimiento por parte de la plataforma del Reglamento General de Protección de Datos de la UE, al no haber informado a sus usuarios de cómo estaba compartiendo su información con Facebook, su compañía madre. La investigación, iniciada en diciembre de 2018, buscaba determinar si la aplicación “cumplía con sus obligaciones de transparencia” en lo que respecta a informar a los usuarios de cómo se utilizarían sus datos.
La comisaria irlandesa Helen Dixon, al frente de la DPC, ha tenido que dar su brazo a torcer y elevar cuantiosamente la propuesta inicial de multa, después de que varias autoridades regulatorias de otros países de la UE protestaran la decisión. El regulador irlandés tiene competencia en este caso dado que Facebook tiene su sede europea en este país.
Se trata de la multa más cuantiosa expedida por la DPC y una de las más altas impuestas en la Unión Europea en relación con el cumplimiento del Reglamento General de Protección de Datos (RGPD). El pasado julio la Comisión Nacional para la Protección de Datos (CNPD) de Luxemburgo sancionó a Amazon con 746 millones de euros por considerar que incumplió la ley europea en el tratamiento de los datos. El organismo de protección de datos de Irlanda tiene abiertas en total una veintena de investigaciones contra las tecnológicas.
El organismo irlandés ya presentó el pasado diciembre a varios organismos reguladores comunitarios una decisión preliminar sobre esta cuestión, en la que imponía una multa casi cinco veces inferior, de 50 millones de euros, pero ocho de esas entidades rechazaron las conclusiones y pidieron elevar la cuantía. El caso fue a parar al Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés), que ordenó a la DPC que aumentara la sanción inicial. En el comunicado en el que la DPC comunica la multa, conmina también a WhatsApp a cumplir la normativa de protección de datos de la Unión Europea.
El RGPD, en vigor desde 2018, otorga mayores poderes a los reguladores para proteger a los consumidores frente a los gigantes digitales como Facebook, Google, Apple y Twitter, que, atraídos por un tratamiento fiscal favorable, han elegido Irlanda como sede. El RGPD permite a los reguladores multar a estos grupos hasta con el 4% de su facturación global.
“WhatsApp se compromete a proporcionar un servicio seguro y privado. Hemos trabajado para garantizar que la información que proporcionamos sea transparente y completa y seguiremos haciéndolo”, aseguró un portavoz de WhatsApp en un breve comunicado. “No estamos de acuerdo con la decisión de hoy sobre la transparencia que proporcionamos a las personas en 2018 y las sanciones son totalmente desproporcionadas”, subrayó, precisando que la empresa presentará un recurso esta decisión.
El abogado austriaco Max Schrems, fundador del bufete Noyb (acrónimo de None of Your Business, No es asunto tuyo), que pleitea desde años contra Apple, Google y Facebook por cuestiones de privacidad, aseguró tras conocer que WhatsApp recurriría la decisión que “en el sistema judicial irlandés esto significará que pasarán años antes de que se pague realmente cualquier multa”. “En nuestros casos hemos tenido a menudo la sensación de que el CPD está más preocupado por los titulares que por hacer realmente el trabajo de fondo”, añadió.
A principios de este año, WhatsApp anunció que cambiaría sus términos de uso para poder compartir determinados datos personales con Facebook, lo que teóricamente permitiría a la empresa matriz hacer negocio con ellos. El anuncio desató una enorme polémica global y el trasvase de usuarios a otras plataformas de mensajería como Telegram o Signal. La compañía amagó primero con eliminar las cuentas de aquellos usuarios que no aceptaran las nuevas condiciones y luego con limitar sus funcionalidades, pero finamente reculó y retiró las amenazas. La medida no afectaba en todo caso a los residentes en la UE, que quedaban protegidos precisamente por el RGPD.
Por Agencia