Multa da più di 5 milioni di euro a WhatsApp. La Commissione irlandese per la protezione dei dati (DPC) l’accusa di aver violato il regolamento Europeo sulla protezione dei dati (GDPR).

In ballo c’è violazione dell’Articolo 6 sulla “legittimità del trattamento”, che richiede trasparenza, legalità ed equità nei processi di protezione.

La multa inflitta a WhatsApp è solo l’ultima in ordine temporale irrogata al gigante Meta, che possiede l’app di messaggistica dal Febbraio 2014, che è accusato ancora una volta di pratiche scorrette per la gestione dei dati dei propri utenti.

Oltre alla multa, il DPC ha stabilito che Meta dovrà adeguare le proprie operazioni per il trattamento dei dati alla normativa sulla privacy entro sei mesi.

Il comunicato del DPC recita:

“La Commissione per la protezione dei dati (“DPC”) ha annunciato oggi la conclusione di un’inchiesta sul trattamento effettuato da WhatsApp Ireland Limited (“WhatsApp Ireland”) in relazione alla fornitura del suo servizio WhatsApp, in cui ha sanzionato WhatsApp Ireland 5,5 milioni di euro (per violazioni del GDPR relative al suo servizio).”

L’investigazione è stata avviata a seguito della denuncia presentata il 25 Maggio del 2018 dall’organizzazione no-profit NOYB European Centre for Digital Rights. Proprio in quei giorni del 2018 è entrato in vigore il GDPR, ma poco prima dell’adozione del regolamento sulla privacy, WhatsApp ha aggiornato i Termini di servizio imponendo agli utenti di accettare le modifiche per continuare a utilizzare la popolare app di messaggistica.

Il DPC ha quindi contestato la condotta di WhatsApp che ha subordinando l’accessibilità alla sua piattaforma da parte degli utenti all’accettazione delle modifiche dei Termini di servizi.

Secondo l’ente regolatore irlandese, la mancanza di trasparenza viola inoltre, gli articoli 12 e 13, paragrafo 1, lettera c) del regolamento GDPR.

“La decisione finale adottata dal DPC il 12 Gennaio 2023 riflette la determinazione vincolante dell’EDPB, come sopra indicato”, continua l’annuncio. “Di conseguenza, la decisione del DPC include conclusioni secondo cui WhatsApp Ireland non ha il diritto di fare affidamento sulla base giuridica del contratto per la fornitura del miglioramento e della sicurezza del servizio (escluso ciò che l’EDPB definisce “sicurezza informatica”) per il servizio WhatsApp e che la sua elaborazione di questi dati fino ad oggi, in presunto affidamento sulla base giuridica del contratto, costituisce una violazione dell’articolo 6, paragrafo 1, del GDPR”.

Whatsapp multa da 5 milioni: metadati usati per finalità commerciali

Ovviamente WhatsApp si è detta contrariata per la multa ed ha annunciato che presenterà ricorso. “Crediamo fermamente che il modo in cui è erogato il servizio sia tecnicamente e legalmente conforme”, ha affermato un portavoce di WhatsApp. 

“Facciamo affidamento sulla necessità contrattuale per il miglioramento del servizio e per motivi di sicurezza perché riteniamo che aiutare a mantenere le persone al sicuro e offrire un prodotto innovativo sia una responsabilità fondamentale nella gestione del nostro servizio.”

Secondo l’organizzazione no-profit NOYB, WhatsApp utilizzerebbe metadati delle comunicazioni per finalità commerciali. In un post pubblicato dal NOYB, si legge che WhatsApp non cifra i metadati e li condivide con Facebook e Instagram, che utilizzano queste informazioni per personalizzare annunci pubblicitari.

L’organizzazione ha sottolineato che i metadati possono essere utilizzati per acquisire conoscenza del comportamento degli utenti. I metadati sono informazioni relative alle comunicazioni digitali, esempi di metadati includono la durata delle conversazioni, chi comunica e con chi, quando le comunicazioni hanno luogo e quando si utilizza l’app.

Di solito la protezione dei metadati viene spesso ignorata, consentendo ad agenzie d’intelligence ed organizzazioni private di utilizzarli per spiare e prevedere il comportamento degli utenti.

“Mentre la comunicazione stessa è crittografata, vengono raccolti i numeri di telefono e gli account Facebook o Instagram associati delle persone. Tali informazioni possono quindi essere utilizzate per personalizzare gli annunci per gli utenti su altre piattaforme Meta come Facebook e Instagram. 

Il DPC sembra essersi rifiutato di indagare su questa questione centrale delle denunce”, recita il post pubblicato da Noyb.