La aprobación y posterior aplicación en la Unión Europea del Reglamento General de Protección de Datos (RGPD) está multiplicando el número y el valor de las multas que ponen los organismos encargados de la protección de datos. Hace poco Amazon fue castigada con 746 millones de euros en Luxemburgo y hoy es el turno de WhatsApp, que ha recibido por parte de la Comisión de Protección de Datos (DPC) de Irlanda una sanción de 225 millones de euros por no cumplir con las obligaciones del RGPD.
En este caso la DPC ha completado una investigación de tres años que ha servido para concluir que WhatsApp, filial de Facebook cuya sede europea se encuentra en Irlanda, no ha cumplido con los requisitos de transparencia que impone el RGPD a la hora de informar a sus usuarios y no usuarios. La Comisión no ofrece demasiados detalles, pero sí menciona expresamente la información que la compañía proporcionó a sus clientes sobre cómo procesaba en 2018 los datos entre WhatsApp y otras aplicaciones de Facebook.
Además de la imposición de una sanción administrativa, el regulador irlandés ha enviado a WhatsApp una serie de instrucciones para que sus procesos sobre datos personales cumplan con la normativa europea. Por su parte, WhatsApp se ha mostrado en desacuerdo con una sanción que considera “totalmente desproporcionada”, motivo por el cual apelará.
Una multa de 225 millones de euros por violar la ley de privacidad de la Unión Europea (EU) no es un récord, aunque sí una meritora segunda posición por detrás de Amazon (746 millones de euros) y por delante de Google (50 millones de euros). Sin embargo, el caso es interesante por dos motivos. Primero porque Irlanda, país donde Facebook tiene su sede europea gracias a una relajada política fiscal, apenas pone multas de este tipo. Y segundo porque la sanción que inicialmente proponía la DPC era mucho menor.
La DPC propuso una multa de entre 30 y 50 millones de euros, pero cuando vieron el informe preliminar hasta ocho organismos reguladores comunitarios pidieron elevar la cuantía. El caso terminó en el Comité Europeo de Protección de Datos, que ordenó con una decisión vinculante subir la multa inicial después de un exhaustivo análisis del artículo 65 del RGPD.
