El 28 de julio, el European Data Protection Board (EDPB) adoptó una decisión de resolución de conflictos sobre la base del Art. 65 del RGPD. Esta decisión vinculante pretende resolver el litigio surgido a raíz de un proyecto de decisión emitido por la Autoridad de Supervisión Principal de Irlanda en relación con WhatsApp Ireland Ltd. y las posteriores objeciones expresadas por varias autoridades de supervisión afectadas, y las subsiguientes objeciones expresadas por una serie de autoridades de control interesadas. De conformidad con el RGPD, la decisión vinculante del EDPB se ha publicado ahora, tras la notificación de la decisión final de la Autoridad Irlandesa.
Tras su evaluación, el EDPB opinó que la Autoridad Irlandesa debía modificar su proyecto de decisión en lo que respecta a las infracciones de transparencia, el cálculo de la multa y el plazo de la orden de cumplimiento.
En lo que respecta a la transparencia, el proyecto de decisión de la Autoridad Irlandesa ya identificaba una grave infracción del art. 12-13-14 del RGPD. El EDPB detectó otras deficiencias en la información facilitada, que afectaban a la capacidad de los usuarios para comprender los intereses legítimos que se perseguían. Por lo tanto, el EDPB solicitó a la Autoridad Irlandesa que incluyera una conclusión de infracción del art. 13(1)(d) del RGPD en su decisión.
Además, el EDPB aclaró que, aunque no todas las infracciones de los artículos 12-14 del RGPD implican necesariamente una infracción del art. 5 (1) (a) RGPD, en este caso particular, a la luz de la gravedad y la naturaleza e impacto global de las infracciones, se ha producido una infracción del principio de transparencia consagrado en el Art. 5(1)(a) del RGPD.
Por lo que respecta a la recogida de datos de no usuarios por parte de WhatsApp Irlanda cuando los usuarios deciden utilizar la función de contacto, el EDPB consideró que, en el presente caso, el procedimiento utilizado por WhatsApp no conduce a la anonimización de los datos personales recogidos.
Por lo que respecta a la multa impuesta y al cálculo de la misma, la EDPB decidió que el volumen de negocios de una empresa no es exclusivamente relevante para la determinación del importe máximo de la multa de conformidad con el art. 83(4)-(6) del RGPD, sino que también puede tenerse en cuenta para el cálculo de la propia multa, cuando proceda, para garantizar que la multa sea efectiva, proporcionada y disuasoria de conformidad con el artículo 83(1) del RGPD. 83(1) del RGPD. En este caso, el EDPB consideró que el volumen de negocios consolidado de la empresa matriz (Facebook Inc.) debe incluirse en el cálculo del volumen de negocios.
Además, el EDPB, por primera vez, aclaró la interpretación del art. 83(3) del RGPD. Cuando se trata de múltiples infracciones por las mismas operaciones de tratamiento o por otras vinculadas, todas las infracciones deben tenerse en cuenta al calcular el importe de la multa. Ello sin perjuicio de la obligación de las Autoridades de tener en cuenta la proporcionalidad de la multa y de respetar el importe máximo de la misma establecido en el RGPD.
El proyecto de Decisión de la Autoridad de Supervisión irlandesa incluía además una orden para que las operaciones de tratamiento fueran conformes en un plazo de seis meses. El EDPB consideró primordial que el cumplimiento de las obligaciones de transparencia se garantice en el plazo más breve posible. Por ello, se solicitó a la Autoridad Irlandesa que modificara el plazo de seis meses para el cumplimiento a un período de tres meses.
Esta decisión vinculante se dirigió a las autoridades supervisoras correspondientes, y la Autoridad Irlandesa ha adoptado su decisión nacional sobre la base de la decisión del EDPB. La decisión nacional se notificó a WhatsApp Irlanda, con la decisión del EDPB como anexo.
Esta decisión actual se entiende sin perjuicio de las evaluaciones que la EDPB pueda tener que hacer en otros casos, incluso con las mismas partes.
