Una decisión vinculante del CEPD modifica el borrador de decisión sobre la controvertida actualización de la política de privacidad de WhatsApp y menciona la infracción del principio de transparencia y la necesidad de recalcular el importe de la multa
A raíz de la controvertida actualización de la política de privacidad de WhatsApp, la autoridad de control de Irlanda emitió una resolución inicial. Sin embargo, otras autoridades de control presentaron sus objeciones a la misma. De acuerdo a este informe, el Comité Europeo de Protección de Datos (CEPD) ha adoptado una decisión vinculante conforme al Artículo 65 del RGPD por la cual reconoce la necesidad de realizar una serie de modificaciones en varias áreas de la resolución de la autoridad de control de Irlanda, entre las que se incluyen las partes relativas a la infracción del principio de transparencia, la subestimación del cálculo de la multa y la otorgación de un plazo indulgente para actualizar sus operaciones en cumplimiento con la normativa. El artículo 65 del RGPD permite al CEPD tomar la decisión final cuando existe desacuerdo entre la autoridad de control principal y otras autoridades de control interesadas en la materia.
El CEPD explica que la infracción implica una brecha del principio de transparencia del RGPD.
El CEPD señaló que la información proporcionada no aportaba detalles sobre los intereses legítimos que se persiguen, lo cual supone una infracción del artículo 13 (1) (d) del RGPD. El CEPD explicó también que de ello se derivaba una brecha del principio de transparencia del Artículo 5 (1) (a) del RGPD. De hecho, el procedimiento empleado para recoger datos de no usuarios no asegura que se haga de forma anónima.
La decisión vinculante del CEPD toma en cuenta el beneficio de la matriz de WhatsApp para decidir el importe de la multa.
El CEPD considera que el beneficio de una empresa no es sólo importante para el cálculo de la máxima multa que se puede imponer, sino que también debe tenerse en cuenta para determinar el importe recomendado para una multa a fin de que ésta sea proporcionada, efectiva y con efecto disuasorio. Asimismo, el CEPD indicó que a estos efectos deberá considerarse también el beneficio de la empresa matriz (en este caso, Facebook Inc.). Por otro lado, el CEPD interpretó por primera vez el Artículo 83 (3) del RGPD, en relación al cual concluyó que cuando se han cometido varias infracciones vinculadas con las mismas actividades de tratamiento, todas ellas deberían valorarse para el cálculo de la multa.
El CEPD también propone un plazo más corto para que WhatsApp actualice sus operaciones en cumplimiento con la normativa.
La autoridad de control de Irlanda estableció un plazo de seis meses para que WhatsApp actualizase sus operaciones en cumplimiento con la normativa aplicable. Sin embargo, el CEPD considera que las obligaciones relativas al principio de transparencia deben ser implementadas a la mayor brevedad posible. Como resultado, se reduce el plazo inicial de seis meses a tres.
En consecuencia, la autoridad de control de Irlanda ha adoptado una nueva resolución que incorpora los comentarios del CEPD. WhatsApp Irlanda ha sido notificado debidamente de esta resolución y también se ha adjuntado una copia de la decisión del CEPD.
