Bruxelles, 2 settembre — Il 28 luglio l’EDPB ha adottato una decisione di risoluzione delle controversie sulla base dell'articolo 65 del RGPD. La decisione, che ha natura vincolante, mira a risolvere la controversia insorta a seguito di un progetto di decisione emesso dall'autorità di controllo irlandese (IE) in qualità di autorità di controllo capofila (LSA) riguardante WhatsApp Ireland Ltd. (WhatsApp IE), sulla quale erano state successivamente sollevate obiezioni da varie autorità di controllo interessate. Conformemente al regolamento generale sulla protezione dei dati, la decisione vincolante dell'EDPB è pubblicata oggi, a seguito della notifica della decisione finale dell'autorità di controllo IE alla società titolare del trattamento.
Alla luce della valutazione condotta, l’EDPB è del parere che l'autorità di controllo IE debba modificare il suo progetto di decisione per quanto riguarda le violazioni della trasparenza riscontrate, il calcolo della sanzione pecuniaria e il termine per l’adempimento dell’ingiunzione emessa dall’autorità.
Per quanto riguarda la trasparenza, il progetto di decisione dell'AC IE ha già individuato una grave violazione degli articoli 12-13-14 del RGPD. L'EDPB ha individuato ulteriori carenze nelle informazioni fornite, che incidono sulla capacità degli utenti di comprendere i legittimi interessi perseguiti. Pertanto, l'EDPB ha chiesto all'AC IE di includere nella sua decisione la constatazione di una violazione dell'articolo 13 (1), lettera d), del RGPD.
Inoltre, l’EDPB ha chiarito che, sebbene non tutte le violazioni degli articoli da 12 a 14 del RGPD comportino necessariamente una violazione dell'articolo 5 (1) (a) RGPD, in questo caso particolare, alla luce della gravità, della natura trasversale e dell'impatto delle violazioni, vi è stata una violazione del principio di trasparenza sancito dall'articolo 5 (1) (a) del RGPD.
Per quanto riguarda la raccolta da parte di WhatsApp IE di dati relativi a soggetti che non sono utenti del servizio, quando gli utenti decidono di utilizzare la funzionalità "Contact", l'EDPB ha riscontrato che, nel caso di specie, la procedura utilizzata da WhatsApp IE non porta all'anonimizzazione dei dati personali raccolti.
Per quanto riguarda la sanzione pecuniaria inflitta e il relativo calcolo, l'EDPB ha deciso che il fatturato di un'impresa non rileva esclusivamente ai fini della determinazione dell'importo massimo della sanzione pecuniaria a norma dell'articolo 83 (4) — (6) del RGPD, ma può essere preso in considerazione anche ai fini del calcolo dell'importo della sanzione in quanto tale, se del caso, così da garantire che la sanzione sia efficace, proporzionata e dissuasiva conformemente all'articolo 83 (1) del RGPD. In questo caso, l'EDPB ha ritenuto che il calcolo dovesse tener conto del fatturato consolidato della società madre (Facebook Inc.).
Inoltre, per la prima volta, il comitato ha fornito chiarimenti sull'interpretazione dell'articolo 83 (3) del RGPD. In caso di violazioni multiple per operazioni di trattamento identiche o collegate, tutte le violazioni dovrebbero essere prese in considerazione nel calcolo dell'importo della sanzione pecuniaria. Resta fermo in ogni caso l'obbligo per le autorità di controllo di valutare la proporzionalità della sanzione e di rispettare il tetto massimo stabilito al riguardo dal regolamento generale sulla protezione dei dati.
Il progetto di decisione dell'autorità di controllo IE conteneva inoltre l’ingiunzione alla società di rendere conformi le operazioni di trattamento entro un termine di 6 mesi. L’EDPB ha ritenuto di primaria importanza che il rispetto degli obblighi di trasparenza fosse garantito nel più breve tempo possibile. Pertanto, l'autorità di controllo IE è stata invitata a ridurre il termine per l’adempimento da sei mesi a un periodo di tre mesi.
La decisione vincolante dell’EDPB è indirizzata alle autorità di controllo interessate, e l'autorità di controllo IE, in qualità di autorità capofila, ha adottato la propria decisione nazionale sulla base della decisione dell’EDPB. La decisione nazionale è stata notificata a WhatsApp IE, allegandovi la decisione assunta dall’EDPB.
La presente decisione lascia impregiudicate eventuali valutazioni che l’EDPB sia chiamato a effettuare in altri casi, anche riguardanti le medesime parti.
Per ulteriori informazioni sulla procedura di cui all'articolo 65 del regolamento generale sulla protezione dei dati, si prega di consultare le FAQ relative all'articolo 65.