La autoridad irlandesa de protección de datos ha multado a WhatsApp Ireland Ltd. por no proporcionar información transparente a los usuarios sobre cómo se procesan y comparten sus datos, especialmente con empresas relacionadas de la familia Meta Platforms Inc. La multa, dictada bajo el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, refleja deficiencias en las divulgaciones hechas a los usuarios cuando se registran en el servicio de mensajería.
La sanción fue impuesta por la Comisión Irlandesa de Protección de Datos, que actúa como principal regulador de los servicios de Meta en la UE. La autoridad afirmó que los avisos de privacidad de WhatsApp no explicaban claramente cómo se procesan, almacenan y comparten los datos de los usuarios con otras empresas del grupo Meta, incluyendo con fines operativos y de marketing. Los reguladores determinaron que la información proporcionada a los usuarios era fragmentada y difícil de entender.
Según el RGPD, las empresas deben explicar de forma clara y concisa a los usuarios qué datos personales recopilan y cómo se utilizan. El regulador afirmó que las divulgaciones de WhatsApp no cumplían con este estándar porque eran excesivamente complejas y no permitían a los usuarios comprender plenamente el alcance de los flujos de datos hacia los servicios relacionados. La autoridad irlandesa afirmó que esta falta de claridad socavaba la capacidad de los usuarios para tomar decisiones informadas sobre su privacidad.
A WhatsApp Ireland Ltd. se le ordenó pagar una multa calculada en función de la gravedad de la infracción y del número de usuarios afectados en la UE. La cantidad refleja tanto el alcance de los servicios de WhatsApp como la necesidad de hacer cumplir estándares coherentes de protección de datos entre los estados miembros. El regulador dijo que publicaría más detalles sobre la multa y los aspectos de las divulgaciones de WhatsApp que se consideraron incumplibles.
WhatsApp dijo que no está de acuerdo con las conclusiones del regulador y que planea apelar la decisión. La compañía afirmó que se esfuerza por ser transparente con los usuarios y que revisa regularmente sus prácticas de privacidad. Añadió que sus políticas globales de privacidad ya proporcionan información sobre el procesamiento y el intercambio de datos dentro del grupo Meta, pero que se relacionará con las autoridades a través del proceso de apelación.
La decisión de la Comisión Irlandesa de Protección de Datos sigue a otras acciones de aplicación del RGPD contra grandes empresas tecnológicas por lo que los reguladores describen como avisos de privacidad insuficientemente claros. El RGPD exige que los responsables de los tratamientos ofrezcan información “transparente” en un lenguaje accesible para los usuarios ordinarios, y que mantengan registros que demuestren el cumplimiento de las obligaciones de transparencia.
Los defensores de la privacidad acogieron con satisfacción la acción del regulador, afirmando que la claridad sobre el intercambio de datos es fundamental para el control de los usuarios sobre la información personal. Señalaron que los servicios de mensajería con grandes bases de usuarios tienen una mayor obligación de comunicar cómo fluyen los datos entre servicios, especialmente cuando dichos datos pueden usarse para perfilado o características personalizadas.
El resultado puede influir en cómo otras empresas tecnológicas adaptan sus comunicaciones de privacidad en la UE. Las acciones de aplicación del RGPD suelen provocar revisiones en los avisos de privacidad en línea, ya que las empresas buscan alinear sus divulgaciones con las expectativas de los reguladores y evitar futuras sanciones. Los reguladores de otros Estados miembros supervisan estas decisiones para promover la aplicación armonizada de la ley en todo el bloque.