L’autorità irlandese per la protezione dei dati ha multato WhatsApp Ireland Ltd. per non aver fornito informazioni trasparenti agli utenti su come i loro dati vengono trattati e condivisi, in particolare con aziende correlate della famiglia Meta Platforms Inc. La multa, emessa ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, riflette carenze nelle divulgazioni fatte agli utenti quando si iscrivono al servizio di messaggistica.
La sanzione è stata inflitta dalla Commissione Irlandese per la Protezione dei Dati, che agisce come principale regolatore per i servizi di Meta nell’UE. L’autorità ha affermato che le notifiche di privacy di WhatsApp non spiegano chiaramente come i dati degli utenti vengano elaborati, archiviati e condivisi con altre aziende del gruppo Meta, anche per scopi operativi e di marketing. I regolatori hanno stabilito che le informazioni fornite agli utenti erano frammentate e difficili da comprendere.
Secondo il GDPR, le aziende devono spiegare in modo chiaro e conciso agli utenti quali dati personali raccolgono e come vengono utilizzati. L’ente regolatore ha affermato che le divulgazioni di WhatsApp non rispettano questo standard perché eccessivamente complesse e non permettono agli utenti di comprendere appieno l’entità dei flussi di dati verso i servizi correlati. L’autorità irlandese ha affermato che questa mancanza di chiarezza ha minato la capacità degli utenti di prendere decisioni informate sulla propria privacy.
WhatsApp Ireland Ltd. è stata condannata a pagare una multa calcolata in base alla gravità della violazione e al numero di utenti coinvolti nell’UE. L’importo riflette sia la portata dei servizi di WhatsApp sia la necessità di far rispettare standard coerenti di protezione dei dati tra gli stati membri. L’ente regolatore ha dichiarato che pubblicherà ulteriori dettagli sulla multa e sugli aspetti delle divulgazioni di WhatsApp che sono stati ritenuti non conformi.
WhatsApp ha dichiarato di non essere d’accordo con le conclusioni dell’ente regolatore e intende fare ricorso contro la decisione. L’azienda ha dichiarato di impegnarsi a essere trasparente con gli utenti e di rivedere regolarmente le proprie pratiche sulla privacy. Ha aggiunto che le sue politiche globali sulla privacy forniscono già informazioni sull’elaborazione e la condivisione dei dati all’interno del gruppo Meta, ma che si comunicherà con le autorità attraverso il processo di ricorso.
La decisione della Commissione irlandese per la protezione dei dati segue altre azioni di enforcement GDPR contro grandi aziende tecnologiche per quelle che i regolatori definiscono avvisi sulla privacy insufficientemente chiare. Il GDPR richiede che i responsabili dei dati offrano informazioni “trasparenti” in un linguaggio accessibile agli utenti comuni e che mantengano registri che attestino il rispetto degli obblighi di trasparenza.
I sostenitori della privacy hanno accolto con favore l’azione del regolatore, affermando che la chiarezza sulla condivisione dei dati è fondamentale per il controllo degli utenti sulle informazioni personali. Hanno osservato che i servizi di messaggistica con ampie basi di utenti hanno un obbligo maggiore di comunicare come i dati fluiscono tra i servizi, specialmente quando tali dati possono essere utilizzati per profiling o funzionalità personalizzate.
L’esito potrebbe influenzare il modo in cui altre aziende tecnologiche adattano le loro comunicazioni sulla privacy nell’UE. Le azioni di enforcement del GDPR spesso portano a revisioni degli avvisi di privacy online, poiché le aziende cercano di allineare le loro dichiarazioni alle aspettative dei regolatori ed evitare future sanzioni. I regolatori degli altri Stati membri monitorano tali decisioni per promuovere l’applicazione armonizzata della legge in tutto il blocco.