La Comisión de Protección de Datos (“DPC”) ha anunciado hoy la conclusión de una investigación sobre el tratamiento llevado a cabo por WhatsApp Ireland Limited (“WhatsApp Ireland”) en relación con la prestación de su servicio WhatsApp, en la que ha multado a WhatsApp Ireland con € 5,5 millones (por incumplimientos del RGPD relacionados con su servicio). También se ha ordenado a WhatsApp Irlanda que ponga en conformidad sus operaciones de tratamiento de datos en un plazo de seis meses.
La investigación se refería a una denuncia presentada el 25 de mayo de 2018 por un interesado alemán sobre el servicio WhatsApp. Antes del 25 de mayo de 2018, fecha en la que entró en vigor el RGPD, WhatsApp Irlanda actualizó sus Condiciones de servicio e informó a los usuarios que si deseaban seguir teniendo acceso al servicio de WhatsApp tras la introducción del RGPD, existente ( y nuevos) se pidió a los usuarios que hicieran clic en «aceptar y continuar» para indicar su aceptación de los Términos de servicio actualizados. (Los servicios no serían accesibles si los usuarios se negaban a hacerlo).
WhatsApp Irlanda consideró que, al aceptar las Condiciones de servicio actualizadas, se celebraba un contrato entre WhatsApp Irlanda y el usuario. También consideró que el tratamiento de los datos de los usuarios en relación con la prestación de su servicio era necesario para la ejecución de dicho contrato, para incluir la prestación de funciones de mejora y seguridad del servicio, de modo que dichas operaciones de tratamiento eran lícitas por referencia al artículo 6, apartado 1, letra b), del RGPD (la base jurídica «contractual» para el tratamiento).
El denunciante sostenía que, contrariamente a la posición declarada de WhatsApp Ireland, WhatsApp Ireland estaba de hecho tratando de basarse en el consentimiento para proporcionar una base legal para su tratamiento de los datos de los usuarios. Argumentaban que, al condicionar la accesibilidad de sus servicios a la aceptación por parte de los usuarios de las Condiciones de Servicio actualizadas, WhatsApp Ireland estaba de hecho «forzándoles» a consentir el tratamiento de sus datos personales para la mejora y seguridad del servicio. El denunciante argumentó que esto infringía el GDPR.
Tras una investigación exhaustiva, el CPD preparó un proyecto de decisión y lo presentó a sus reguladores homólogos en la UE/EEE, también conocidos como Autoridades de Supervisión Preocupadas («ASC») de conformidad con el artículo 60 del GDPR. En particular, el CPD constató que:
- En incumplimiento de sus obligaciones en materia de transparencia, la información relativa a la base jurídica en la que se basa WhatsApp Irlanda no se describió claramente a los usuarios, con el resultado de que los usuarios no tenían suficiente claridad sobre qué operaciones de procesamiento se estaban llevando a cabo con sus datos personales. , con qué finalidad(es) y con referencia a cuál de las seis bases jurídicas identificadas en el artículo 6 del RGPD. La DPC consideró que la falta de transparencia en cuestiones tan fundamentales contravenía los artículos 12 y 13, apartado 1, letra c) del RGPD. La DPC, que ya había impuesto una multa muy importante de 225 millones de euros a WhatsApp Irlanda por incumplimiento de ésta y otras obligaciones de transparencia durante el mismo período de tiempo, no propuso la imposición de ninguna otra multa o medida correctiva, ya que lo había hecho en una consulta previa. Los 47 CSA estuvieron de acuerdo con este elemento del proyecto de decisión de la DPC.
- En circunstancias en las que la DPC determinó que WhatsApp Irlanda, de hecho, no se basó en el consentimiento de los usuarios como base legal para el procesamiento de sus datos personales, el aspecto de “consentimiento forzado” de las quejas no pudo sostenerse. A partir de ahí, la DPC pasó a considerar si WhatsApp Irlanda estaba obligada a basarse en el consentimiento como base jurídica en relación con la prestación del servicio, incluso para mejorar el servicio y con fines de seguridad. En este caso, la DPC concluyó que WhatsApp Irlanda no estaba obligada a depender del consentimiento. Ninguna CSA planteó objeciones a este análisis y, en consecuencia, este elemento de la denuncia ha sido rechazado. La Autoridad de Supervisión alemana ante la que se presentó originalmente la reclamación ahora es responsable de adoptar una decisión separada para aquellas partes que han sido rechazadas y de notificarla al reclamante e informar a WhatsApp Irlanda de conformidad con el artículo 60, apartado 9, del RGPD.
La DPC pasó a considerar si, en principio, el RGPD impedía que WhatsApp Irlanda se basara en la base jurídica del contrato que afirmaba y concluyó que no estaba impedida.
Seis de los 47 CSA plantearon objeciones y opinaron que no se debería permitir a WhatsApp Irlanda basarse en la base jurídica del contrato basándose en que no se podía decir que la prestación de mejoras y seguridad del servicio fuera necesaria para realizar los elementos centrales de lo que Se decía que era una forma de contrato mucho más limitada.
La DPC no estuvo de acuerdo, lo que refleja su opinión de que el servicio WhatsApp incluye, y de hecho parece basarse en, la prestación de un servicio que incluye mejora y seguridad del servicio. En opinión de la DPC, esta realidad es fundamental para el acuerdo alcanzado entre los usuarios y el proveedor de servicios elegido, y forma parte del contrato celebrado en el momento en que los usuarios aceptan las Condiciones de Servicio.
Tras colaborar con las ASC, quedó claro que no se podía llegar a un consenso. De conformidad con sus obligaciones en virtud del artículo 60, apartado 4, del RGPD, el DPC remitió los asuntos en disputa al Consejo Europeo de Protección de Datos (“el CEPD”).
El CEPD adoptó su determinación el 5 de diciembre de 2022.
La determinación del CEPD rechazó una serie de objeciones planteadas por las ASC. También confirmaron la posición de la DPC en relación con el incumplimiento por parte de WhatsApp Irlanda de sus obligaciones de transparencia, sujeto únicamente a la inserción de un incumplimiento adicional (del principio de “imparcialidad” del artículo 5(1)(a). Sin embargo, el CEPD adoptó una opinión diferente a la del DPC sobre la cuestión de la base jurídica y concluyó que, como cuestión de principio, WhatsApp Irlanda no tenía derecho a basarse en la base jurídica del contrato como base legal para su procesamiento de datos personales para con fines de mejora y seguridad del servicio.
La decisión final adoptada por la DPC el 12 de enero de 2023 refleja la determinación vinculante del CEPD, como se establece anteriormente. En consecuencia, la decisión de la DPC incluye conclusiones de que WhatsApp Irlanda no tiene derecho a basarse en la base legal del contrato para la prestación de mejoras y seguridad del servicio (excluyendo lo que el EDPB denomina «seguridad de TI») para el servicio WhatsApp, y que su procesamiento de estos datos hasta la fecha, supuestamente basándose en la base jurídica del contrato, constituyen una infracción del artículo 6, apartado 1 del RGPD.
En términos de sanciones, y a la luz de esta infracción adicional del RGPD, la DPC impuso una multa administrativa de 5,5 millones de euros a WhatsApp Irlanda y ordenó que WhatsApp Irlanda debe adaptar sus operaciones de procesamiento al RGPD en un plazo de 6 meses.
Por otra parte, el CEPD también ha pretendido ordenar a la DPC que lleve a cabo una nueva investigación que abarcaría todas las “operaciones de procesamiento de WhatsApp IE en su servicio para determinar si procesa categorías especiales de datos personales (Artículo 9 del RGPD), procesa datos para para fines de publicidad comportamental, para fines de marketing, así como para el suministro de métricas a terceros y el intercambio de datos con empresas afiliadas con el fin de mejorar el servicio, y para determinar si cumple con las obligaciones pertinentes bajo el RGPD”.
Naturalmente, la decisión de la DPC no incluye ninguna referencia a nuevas investigaciones de todas las operaciones de procesamiento de datos de WhatsApp que fueron dirigidas por el CEPD en su determinación vinculante. El CEPD no tiene una función de supervisión general similar a la de los tribunales nacionales con respecto a las autoridades nacionales independientes y no está facultado para que el CEPD instruya y oriente a una autoridad para que participe en una investigación especulativa y de duración indefinida. La dirección es entonces problemática en términos jurisdiccionales y no parece coherente con la estructura de los acuerdos de cooperación y coherencia establecidos por el RGPD. En la medida en que la orden pueda implicar una extralimitación por parte del CEPD, la DPC considera apropiado interponer un recurso de anulación ante el Tribunal de Justicia de la Unión Europea para solicitar la anulación de la orden del CEPD .