Il 2 settembre 2021 la Irish Data Protection Commission (DPC) ha annunciato di aver emesso come Lead Supervisory Authority (LDA) – nell’ambito dei meccanismi di cooperazione di cui all’art. 60 del GDPR – un provvedimento sanzionatorio nei confronti di WhatsApp Ireland Limited per scarsa trasparenza verso gli utenti in relazione all’interscambio di dati personali tra la piattaforma di messaggistica istantanea e le altre applicazioni della galassia Facebook, che della stessa è casa madre: una violazione degli artt. 5, 12, 13 e 14 del GDPR che l’autorità irlandese ha punito con 225 milioni di euro di multa. Trattasi della seconda pena pecuniaria più elevata nella storia della normativa continentale di privacy (dopo quella da 746 milioni comminata ad Amazon Europe Core S.à r.l. dall’autorità di controllo del Lussemburgo il 15 giugno 2021).

La decisione avversa a WhatsApp Ireland è il punto d’arrivo di un’indagine avviata nel 2018 e il suo iter è stato piuttosto travagliato.

Nel dicembre 2020 la DPC (in qualità di Lead Supervisory Authority) aveva sottoposto ai propri colleghi europei (Concerned Supervisory Authorities) un draft di decisione in base alla quale avrebbe irrogato una sanzione da 50 milioni di euro, ma – dopo averlo attentamente analizzato – otto di essi si opposero giudicando inadeguato il provvedimento. In assenza di accordo, nel giugno 2021 la DPC attivò la procedura prevista dall’art.65 del GDPR che demanda all’EDPB la composizione delle controversie tra le DPA nazionali. Il Board che riunisce le autorità di controllo degli Stati membri emanava il seguente 28 luglio una decisione di natura vincolante che disponeva la modifica del progetto di decisione facendo notare alla DPC che:

  • era troppo benevolo il termine semestrale concesso a WhatsApp per adeguare la propria informativa agli obblighi di trasparenza: 3 mesi sarebbero stati più che sufficienti;
  • il novero di disposizioni GDPR infrante da WhatsApp era superiore a quelle contestate e che, in caso di violazioni multiple per operazioni di trattamento identiche o collegate, tutte le violazioni andavano considerate ai fini della sanzione;
  • la pena pecuniaria era inefficace quanto a deterrenza e – benché previsto dal GDPR – non era parametrata sul fatturato consolidato della società madre (Facebook Inc).

La DPC irlandese ha dovuto adeguarsi alla rappresentanza dei colleghi europei ed è finita oggi con l’emanare un provvedimento più severo, specie sotto profilo sanzionatorio con una multa da oltre 225 milioni che risulta più che quadrupla rispetto a quella inizialmente proposta da Dublino.