A autoridade irlandesa de proteção de dados multou a WhatsApp Ireland Ltd. por não fornecer informações transparentes aos usuários sobre como seus dados são processados e compartilhados, especialmente com empresas relacionadas da família Meta Platforms Inc. A multa, emitida sob o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, reflete deficiências nas divulgações feitas aos usuários ao se cadastrarem no serviço de mensagens.
A penalidade foi imposta pela Comissão Irlandesa de Proteção de Dados, que atua como principal regulador dos serviços da Meta na UE. A autoridade afirmou que os avisos de privacidade do WhatsApp não explicam claramente como os dados dos usuários são processados, armazenados e compartilhados com outras empresas do grupo Meta, inclusive para fins operacionais e de marketing. Os reguladores determinaram que as informações fornecidas aos usuários eram fragmentadas e difíceis de entender.
Sob o GDPR, as empresas devem explicar de forma clara e concisa aos usuários quais dados pessoais coletam e como eles são utilizados. O regulador afirmou que as divulgações do WhatsApp ficavam aquém desse padrão porque eram excessivamente complexas e não permitiam que os usuários compreendessem totalmente a extensão dos fluxos de dados para serviços relacionados. A autoridade irlandesa afirmou que essa falta de clareza prejudica a capacidade dos usuários de tomar decisões informadas sobre sua privacidade.
A WhatsApp Ireland Ltd. foi condenada a pagar uma multa calculada com base na gravidade da infração e no número de usuários afetados na UE. O valor reflete tanto o alcance dos serviços do WhatsApp quanto a necessidade de impor padrões consistentes de proteção de dados entre os Estados-membros. O órgão regulador disse que publicaria mais detalhes sobre a multa e os aspectos das divulgações do WhatsApp que foram considerados não conformes.
O WhatsApp disse discordar das conclusões do órgão regulador e planeja recorrer da decisão. A empresa afirmou que se esforça para ser transparente com os usuários e que revisa regularmente suas práticas de privacidade. Acrescentou que suas políticas globais de privacidade já fornecem informações sobre o processamento e compartilhamento de dados dentro do grupo Meta, mas que irá se envolver com as autoridades por meio do processo de apelação.
A decisão da Comissão Irlandesa de Proteção de Dados sucede outras ações de aplicação do GDPR contra grandes empresas de tecnologia por avisos de privacidade que os reguladores descrevem como insuficientemente claros. O GDPR exige que os controladores de dados ofereçam informações “transparentes” em linguagem acessível aos usuários comuns, e que mantenham registros que comprovem o cumprimento das obrigações de transparência.
Defensores da privacidade saudaram a ação do regulador, afirmando que a clareza sobre o compartilhamento de dados é fundamental para o controle do usuário sobre informações pessoais. Eles observaram que serviços de mensagens com grandes bases de usuários têm uma obrigação maior de comunicar como os dados fluem entre os serviços, especialmente quando tais dados podem ser usados para perfilamento ou recursos personalizados.
O resultado pode influenciar como outras empresas de tecnologia adaptam suas comunicações de privacidade na UE. As ações de aplicação do GDPR frequentemente levam a revisões nos avisos de privacidade online, à medida que as empresas buscam alinhar suas divulgações às expectativas dos reguladores e evitar sanções futuras. Reguladores em outros Estados-membros monitoram tais decisões para promover a aplicação harmonizada da lei em todo o bloco.