La Autoridad de Protección de Datos de Irlanda (DPC) anunció a principios de septiembre la conclusión de una investigación sobre la aplicación del Reglamento de la UE 679/2016 (GDPR) contra WhatsApp Ireland Ltd. La investigación de la DPC iniciada el 10 de diciembre de 2018 examinó cómo WhatsApp utiliza los datos de los usuarios a la luz de las obligaciones de transparencia impuestas por el marco de privacidad.
Tras una larga y compleja investigación, en diciembre de 2020 la DPC presentó una propuesta de decisión a todas las Autoridades de Control Interesada (en inglés – CSA) pertinentes en virtud del artículo 60 del GDPR sobre la cooperación entre la autoridad de supervisión principal y otras autoridades de supervisión pertinentes.
Como se sabe en el apartado 3, la autoridad de control principal comunicará sin demora la información pertinente sobre el asunto a las demás autoridades de control afectadas. Transmite sin demora un proyecto de decisión a las demás autoridades de control afectadas para que se pronuncien y tiene debidamente en cuenta sus opiniones.
Además, el apartado 4 especifica que si una de las otras autoridades de control afectadas plantea una objeción pertinente y motivada al proyecto de decisión en un plazo de cuatro semanas tras haber sido consultada de conformidad con el apartado 3 del presente artículo, la autoridad de control principal, si no da curso a la objeción pertinente y motivada o si considera que la objeción es irrelevante o injustificada, someterá el asunto al mecanismo de coherencia establecido en el artículo 63.
La Autoridad de Protección de Datos Irlandésa (DPC), tras haber recibido ocho objeciones de otros tantos supervisores y no haber llegado a un consenso sobre el objeto de las mismas, inició el 3 de junio de 2021 el proceso de resolución de conflictos previsto en el artículo 65 del GDPR, por el que se garantiza la aplicación correcta y coherente del Reglamento, el Consejo Europeo de Protección de Datos (CEPD) debe adoptar una decisión vinculante en el caso contemplado en el artículo 60, apartado 4, del GDPR, y ello cuando una autoridad de control pertinente haya planteado una objeción pertinente y motivada a un proyecto de decisión de la autoridad principal o la autoridad principal haya rechazado dicha objeción por considerarla irrelevante o poco razonable.
La decisión vinculante se referirá a todas las cuestiones que se planteen en la objeción pertinente y motivada, en particular si se ha producido una infracción del presente Reglamento.
El 28 de julio de 2021, el Consejo Europeo de Protección de Datos (CEPD) adoptó una decisión vinculante y dicha decisión fue notificada a la DPC irlandés.
Esta decisión contenía una instrucción clara en la que se pedía a la Comisión de Protección de Datos que reevaluara y aumentara su propuesta de sanción basándose en una serie de factores contenidos en la decisión del CEPD y, tras esta revisión, la DPC impuso una sanción de 225 millones de euros a WhatsApp.
Además de la imposición de una sanción administrativa, la DPC también impuso una advertencia y un requerimiento a WhatsApp para que ajustara su tratamiento a los Principios y Reglamentos de Privacidad mediante la adopción de una serie de medidas correctoras detalladas.
FUENTE: FEDERPRIVACY