WhatsApp se enfrenta a una multa de 5,5 millones de euros, ya que el CPD limita el alcance del caso contra WhatsApp y rechaza la petición de la JEPD de investigar asuntos como el intercambio de datos dentro de Meta.
Según ha confirmado hoy el CPD irlandés, la Junta Europea de Protección de Datos (JEPD) ha decidido que Meta no puede obligar a los usuarios de WhatsApp a aceptar el uso de sus datos para "mejoras del servicio" y "seguridad". La cuestión central del uso de datos para "los fines de la publicidad basada en el comportamiento, con fines de marketing, así como para el suministro de métricas a terceros y el intercambio de datos con empresas afiliadas " no fueron tratados por el CPD irlandés - a pesar de una decisión vinculante de la JEPD de que estos asuntos deben ser investigados. La decisión se produce 4,5 años después de que noyb presentara las denuncias originales, sobre la elusión del GDPR por parte de Meta a través de una cláusula en los términos y condiciones.
- Vídeo explicativo sobre la elusión de Meta (a partir de diciembre de 2022)
- Blogpost sobre las decisiones en Facebook e Instagram
- Quejas originales de noyb de 2018
- Decisión final del CPD (PDF)
Hechos clave:
- El 25 de mayo de 2018, noyb presentó tres denuncias contra Facebook, Instagram y WhatsApp por consentimiento forzado.
- Dos denuncias presentadas contra Facebook e Instragram en nombre de un usuario austriaco y otro belga se decidieron en la primera semana de enero, lo que dio lugar a una multa combinada de 390 millones de euros.
- La tercera decisión sobre WhatsApp en nombre de un usuario alemán se ha publicado hoy.
- Meta intentó "eludir" el requisito de consentimiento del RGPD añadiendo una cláusula a los términos y condiciones de la publicidad.
- En diciembre de 2022, la EDPB anuló un proyecto de decisión anterior del CPD irlandés que consideraba que la elusión del GDPR por parte de Meta era legal, y la EDPB solicitó cambios en la decisión sobre WhatsApp, así como nuevas investigaciones sobre las principales infracciones de WhatsApp.
- El DPC ha adaptado ahora su limitada decisión, pero se niega a investigar otros asuntos, como ordenó la EDPB. El DPC amenaza con interponer una demanda contra sus socios europeos.
- Es probable que la decisión obligue a WhatsApp a implementar un "opt-in" para el uso de datos personales para la "mejora del producto", mientras que el uso de datos personales para la seguridad podría desplazarse en gran medida a otra base jurídica.
Meta quería "saltarse" el GDPR. El RGPD permite seis bases jurídicas para el tratamiento de datos, una de las cuales es el consentimiento en virtud del artículo 6, apartado 1, letra a). Meta intentó eludir el requisito de consentimiento para el seguimiento y la publicidad en línea argumentando que los anuncios forman parte del "servicio" que contractualmente debe a los usuarios. El supuesto cambio de base jurídica se produjo exactamente el 25 de mayo de 2018 a medianoche, cuando entró en vigor el GDPR. La llamada "necesidad contractual" en virtud del artículo 6, apartado 1, letra b), suele entenderse de forma restrictiva y, por ejemplo, permitiría a una tienda online reenviar la dirección a un servicio postal, ya que es estrictamente necesario para entregar un pedido. Meta, sin embargo, consideró que podía añadir elementos aleatorios al contrato (como publicidad personalizada), para evitar una opción de consentimiento sí/no para sus usuarios.
El CPD limita el caso a la "seguridad" y la "mejora de los servicios". El CPD ha limitado ahora el procedimiento de 4,5 años a las cuestiones menores de la base jurídica para utilizar los datos con fines de seguridad y de mejora de los servicios. De este modo, el CPD ignora las cuestiones principales de compartir datos de WhatsApp con otras empresas de Meta (Facebook e Instagram) con fines publicitarios y de otro tipo. Si bien se debería preguntar a los usuarios por el uso de sus datos para mejorar los productos a través de un opt-in, parece claro que el uso de datos para la seguridad sigue siendo legal en virtud del GDPR, incluso si esto ya no está incluido en un contrato.
Max Schrems:"Estamos asombrados de cómo el DPC simplemente ignora el núcleo del caso después de un procedimiento de 4,5 años. El DPC también ignora claramente la decisión vinculante del EDPB. Parece que el DPC finalmente rompe todos los lazos con las autoridades asociadas de la UE y con los requisitos de la legislación de la UE e irlandesa."
¿Se siguen utilizando los "metadatos" de WhatsApp para anuncios personalizados? Aunque WhatsApp no ofrece anuncios personalizados, sí proporciona los llamados "metadatos" a Facebook e Instagram, que a su vez se utilizan para anuncios personalizados en las dos plataformas de redes sociales. Estos metadatos revelan mucha información sobre el comportamiento comunicativo de los usuarios: quién se comunica con quién y cuándo, quién utiliza la aplicación y cuándo, durante cuánto tiempo y con qué frecuencia. Aunque la comunicación en sí está cifrada, se recogen los números de teléfono y las cuentas de Facebook o Instagram asociadas de las personas. Esa información puede utilizarse después para personalizar anuncios para los usuarios en otras plataformas Meta como Facebook e Instagram. El CPD parece haberse negado a investigar este asunto central de las denuncias.
Max Schrems: "WhatsApp dice que está cifrado, pero esto sólo es cierto para el contenido de los chats, no para los metadatos. WhatsApp sigue sabiendo con quién chateas más y a qué hora. Esto permite a Meta conocer muy de cerca el tejido social que te rodea. Meta utiliza esta información para, por ejemplo, dirigir anuncios en los que tus amigos ya estaban interesados. Parece que ahora el CPD simplemente se ha negado a decidir sobre este asunto, a pesar de 4,5 años de investigaciones"
DPC y Meta cooperaron y consiguieron que EDPB se pronunciara en contra. En el transcurso del procedimiento, Meta ha contado con diez reuniones confidenciales con el CPD irlandés, en las que éste ha permitido a Meta utilizar este "bypass". Más tarde se reveló que el CPD ha intentado incluso influir en las directrices pertinentes del EDPB en interés de Meta. No obstante, las demás APD europeas rechazaron la opinión del CPD internamente en 2018, en las Directrices en 2019 y de nuevo en la decisión final del EDPB en diciembre de 2022. El caso se prolongó durante cuatro años y medio, con cientos de páginas de informes y escritos, a pesar de que se trataba de una cuestión jurídica bastante simple.
Max Schrems:"Este caso trata de una simple cuestión jurídica. Meta afirma que el "bypass" se hizo con la bendición del CPD. Durante años, el CPD ha alargado el procedimiento y ha insistido en que Meta podía eludir el RGPD, pero ahora ha sido desautorizado por las demás autoridades de la UE. Entotal, es la cuarta vez consecutiva que el CPD irlandés es desautorizado"