L’Autorità di Controllo irlandese ha finalmente sanzionato una Big Tech. Sanzione di 225 milioni di euro a Whatsapp per condivisione di dati con Facebook.
Questa già di per sé è una notizia visto che, pur essendo l’autorità capo fila in praticamente tutti i procedimenti contro le grandi aziende americane, sino ad oggi era stata più che clemente, secondo alcuni anche troppo.
Quella a WhatsApp è la sanzione GDPR più alta di tutti i tempi che, tuttavia, come evidenzia Max Shrems, avvocato fondatore di NOYB, risulta solamente pari allo 0,8% del fatturato del colosso americano. Insomma, si poteva fare di meglio.
La vera novità della sanzione a Whatsapp
E’ peraltro da evidenziare come tale provvedimento, seppur formalmente del Garante Irlandese, sia in realtà un atto a cui si è arrivati con un lavoro di gruppo (in base alla procedura di cui all’art 65 GDPR), peraltro non senza una moltitudine di contrasti.
Difficile, a distanza di così poche ore, fornire un’analisi di merito sulla decisione contro il sistema di messaggistica più importante al mondo. Si tratta difatti di 266 pagine di decisione, sarebbe come cercare di commentare un vero e proprio manuale di diritto della privacy europea; non solo per la mole, ma anche per i suoi contenuti e per come sono stati ben dettagliati.
E’ come se l’autorità di controllo irlandese, su suggerimento (ordine) di EDPB avesse voluto analizzare ogni singolo aspetto del trattamento effettuato da WhatsApp, valutandolo minuziosamente con la lente del GDPR. Solo l’indice di questa decisione occupa 5 pagine scritte con carattere 11.
Si tratta ogni tipo di tema.
Le basi giuridiche, facendo una particolare riflessione sul legittimo interesse; il trasferimento di dati all’estero, tema molto caro a NOYB nonché a me personalmente; la data retention; la gestione dei sistemi di decisione automatizzata e molti altri.
In particolare, ci si sofferma sulla condivisione di dati tra WhatsApp e Facebook, la vera novità di questa privacy policy che, di fatto, ha dato impulso per il procedimento che ha portato alla decisione in esame.
Il commento di Pizzetti: “Nuovo fulcro è EDPB, finita l’era delle autorità compiacenti”
Il punto fondamentale che va approfondito dopo questa sanzione è il ruolo svolto da EDPB.
La vecchia privacy in cui aziende sceglievano Paesi e Autorità compiacenti è stata superata dal GDPR. L’Irlanda fatica (finge di faticare) a capirlo. EDPB è il pilastro del nuovo sistema detto “one stop shop”.
Questo è il punto che va approfondito.
Franco Pizzetti
I problemi di trasparenza
L’Autorità ha evidenziato a tal riguardo come un interessato possa comprendere il modo in cui i suoi dati personali vengono trattati e inviati alle altre società del gruppo Facebook solo attraverso un grande sforzo di interpretazione e ricerca tra diversi link. Questo di per sé è in violazione del principio di trasparenza in quanto non consente all’utente di capire cosa sta accadendo con i suoi dati.
La stessa autorità afferma di non essere riuscita a capire con sufficiente chiarezza le modalità con cui i dati possono essere condivise con i terzi, non riuscendo nemmeno ad identificare con chiarezza i soggetti coinvolti nel trattamento. Un esempio? L’utilizzo del generico termine “noi” da parte del titolare del trattamento, non permette difatti di capire se l’informativa sia prestata dalla sola WhatsApp o da altre società di gruppo. Basta questo per capire la linea di questa informativa prestata dalla Big Tech americana.
WhatsApp, di contro ha a tal riguardo evidenziato che, a loro dire, lo schema di relazioni con le altre società di gruppo sarebbe ben spiegato nella pagina di riepilogo degli aggiornamenti e nelle varie FAQ pubblicate.
Ebbene, proprio con riferimento alle FAQ, in realtà la decisione evidenzia come non siano scritte in modo chiaro, portando l’utente a non comprendere correttamente i trattamenti a cui si sta sottoponendo.
Ed in effetti, l’Autorità ha rilevato come le FAQ utilizzino termini troppo generici come “condividiamo i dati con Facebook e la famiglia di Facebbok”, indicando le finalità dei trattamenti con generici “suggerimenti di amicizia migliori e annunci più pertinenti”. Che cosa significa questa affermazione? Può voler dire tutto ma anche nulla. E’ indefinita, non chiara ma, soprattutto si tratta di una affermazione in contradizione con le stesse FAQ fornite al Garante.
Di tale problema, del resto, ne abbiamo parlato immediatamente, proprio sulle pagine di Agenda Digitale, e ci conforta sapere che anche l’Autorità Irlandese ha ritenuto di evidenziare simili criticità.
A queste osservazioni, si legge nella decisione, Whatsapp ha risposto asserendo che in realtà quella parte delle FAQ non era da ritenersi applicabile alla regione Europea, circostanza questa che, sin dall’inizio è risultata francamente poco soddisfacente oltreché di per sé idonea a evidenziare una mancanza di trasparenza. Se nemmeno una autorità di controllo riesce nell’intento di capire chiaramente cosa è applicabile alla UE e cosa non lo è, allora mi sembra pacifico che ci sia un problema di comprensione.
Com’è stata quantificata la sanzione: il punto debole
Ma come è stata quantificata la sanzione? Naturalmente si è trattato di un procedimento lungo, nel senso che inizialmente il Garante Irlandese aveva proposto una sanzione di € 50 milioni ma, a seguito della procedura di cui agli artt. 61 e 65 GDPR, la sanzione è stata quasi quintuplicata. Perché inizialmente il Garante Irlandese aveva individuato come riferimento una sanzione spiccata dal CNIL (autorità francese) nei confronti di Google, ritenendolo un parametro idoneo.
Sul punto, proprio nella decisione, si legge che, in effetti il GDPR è silente quanto alle modalità di quantificare la decisione, fornendo parametri a volte sin troppo generici. Ad ogni modo, considerando l’esteso utilizzo di WhatsApp in tutta la UE, la tipologia di dati trattati e le violazioni evidenziate, l’autorità ha ritenuto di poter emettere la seguente sanzione: € 225 milioni così suddivisi:
- Per la violazione dell’articolo 5, paragrafo 1, lettera a), del GDPR, la sanzione pecuniaria di 90 milioni di euro;
- Per la violazione dell’articolo 12 del GDPR, la sanzione pecuniaria di 30 milioni di euro;
- Per la violazione dell’articolo 13 del GDPR, la sanzione pecuniaria di 30 milioni di euro;
- Per la violazione dell’articolo 14 del GDPR, la sanzione pecuniaria di 75 milioni di euro.
Proprio questo aspetto, leggendo le approfondite valutazioni della autorità, pare ad un primo sguardo, quello maggiormente attaccabile. Sono difatti troppo soggettive le indicazioni fornite dall’autorità e non è quindi da escludere che Facebook concentrerà proprio sul quantum la sua opposizione, peraltro, già preannunciata.
