WhatsApp: multa di 5,5 milioni per violazione del GDPR

Come previsto all’inizio del mese, la DPC (Data Protection Commission) dell’Irlanda ha inflitto a WhatsApp una sanzione di 5,5 milioni di euro per la violazione del GDPR (Regolamento generale sulla protezione dei dati). L’autorità ha inoltre imposto la modifica dei termini del servizio entro sei mesi. Meta ha comunicato che presenterà ricorso.

WhatsApp: solo 5,5 milioni di multa

La vicenda ha avuto inizio il 25 maggio 2018, quando l’organizzazione noyb (guidata dal noto avvocato Max Schrems) ha denunciato Facebook, Instagram e WhatsApp, in quanto Meta ha aggirato l’obbligo di chiedere un consenso esplicito per poter usare i dati degli utenti a scopo pubblicitario. L’azienda di Menlo Park ritiene invece di aver agito legalmente perché la raccolta dei dati è una “necessità contrattuale”, come permesso dall’articolo 6(1)(b) del GDPR.

Inizialmente la DPC aveva dato ragione a Meta, ma l’EDPB (Comitato europeo per la protezione dei dati) ha chiesto all’autorità irlandese di rivedere la sua decisione. Al termine dell’indagine, Facebook e Instagram hanno ricevuto una sanzione complessiva di 390 milioni di euro. WhatsApp dovrà invece pagare una multa di 5,5 milioni di euro.

Quando il GDPR è entrato in vigore, WhatsApp ha aggiornato i termini del servizio, informando gli utenti che avrebbero dovuto cliccare su “Accetta e continua” per poter usare il servizio di messaggistica. La raccolta dei dati era necessaria per l’esecuzione del contratto, accettato dagli utenti al momento della registrazione. Secondo sei autorità europee, Meta non poteva invece usare i dati senza un consenso esplicito. Sulla questione è stato quindi chiesto il parere del’EDPB che ha portato alla sanzione.

Max Schrems ha dichiarato che la multa è troppo bassa. La DPC doveva avviare un’indagine più approfondita (come chiesto dall’EDPB), in quanto WhatsApp condivide i metadati con Facebook e Instagram, usati per le inserzioni personalizzate su queste due piattaforme. Secondo l’avvocato, la DPC collabora con Meta, invece di imporre il rispetto del GDPR.

L’organizzazione noyb ha calcolato che il guadagno ottenuto da Meta tra il terzo trimestre 2018 e il terzo trimestre 2022 ammonta a 72,5 miliardi di euro. La DPC doveva quindi infliggere una sanzione di 4,36 miliardi di euro, invece di 390 milioni di euro.