L’autorità garante irlandese ha portato il caso WhatsApp all’attenzione del Comitato Europeo per la protezione dei dati (EDPB) in base all’articolo 65 del GDPR, in seguito alle opposizioni presentate da parte delle altre autorità interessate, sul caso degli obblighi di trasparenza di Whatsapp Irlanda.
Lo scopo della decisione era quello di definire quali fossero gli standard minimi di trasparenza cui Whatsapp dovesse aderire e quale sanzione dovesse essere comminata all’azienda per aver violato le prescrizioni contenute nel GDPR.
Whatsapp e i Garanti europei: lo one stop shop “irlandese” mostra tutti i suoi limiti
A inizio settembre il garante della privacy irlandese ha comminato all’app di messaggistica di Facebook una multa da 225 milioni di euro, al termine dell’inchiesta sulla trasparenza delle informazioni relative alla condivisione dei dati verso altre aziende del social media di Menlo Park.
Ora EDPB ha pubblicato una decisione vincolante, emessa in seguito alle obiezioni sollevate da numerose autorità di controllo europee alla proposta di provvedimento dell’Autorità irlandese – in qualità di capofila – nei confronti di WhatsApp Ireland Ltd.
Il comitato, nell’esaminare la questione che ha condotto alla richiesta di modifica del provvedimento nei confronti della piattaforma di messaggistica istantanea, ha toccato due punti il cui interesse va oltre il caso esaminato, fornendo chiarimenti, da un lato, sul principio di trasparenza e, dall’altro, sull’interpretazione dell’articolo 83, par. 3, del GDPR.
Il caso WhatsApp e la decisione dell’EDPB
Il 28 luglio 2021, l’EDPB ha adottato una decisione vincolante in conformità con l’articolo 65 del GDPR in merito alla controversia sorta a seguito di una bozza di provvedimento emessa dall’autorità di controllo irlandese, in qualità di autorità capofila, nei confronti di WhatsApp Ireland Ltd per violazione degli obblighi di trasparenza previsti dagli articoli 12, 13 e 14 GDPR.
Il provvedimento in questione ha infatti incontrato le obiezioni di molte delle autorità di vigilanza coinvolte, tra cui anche il Garante italiano, in particolare per profili legati alla natura delle violazioni e all’entità della sanzione proposta, considerata eccessivamente indulgente alla luce della condotta contestata.
L’EDPB, in virtù delle considerazioni delle autorità, ha ritenuto di dover intervenire invitando il Garante irlandese, in qualità di autorità capofila, a modificare la bozza di provvedimento.
Le contestazioni del Comitato
Nel dettaglio, il Comitato ha invitato a rettificare il documento, in relazione alle seguenti contestazioni:
- l’indagine dell’EDPB ha riscontrato che il tema del trattamento dei dati relativi a soggetti che non sono utenti del servizio non era stato adeguatamente preso in esame, dal momento che, contrariamente a quanto affermato da WhatsApp e accolto nella bozza emessa dall’autorità irlandese, la procedura utilizzata dalla Società, non porta all’anonimizzazione dei dati dei non-utenti, bensì alla pseudonimizzazione degli stessi;
- in secondo luogo, nonostante l’autorità irlandese avesse già individuato delle violazioni in tal senso, un altro aspetto oggetto della decisione afferisce alla trasparenza dei trattamenti, in merito alla quale l’EDPB ha ritenuto di contestare alla società anche la violazione dell’articolo 13, par. 1, lettera d, poiché ha stimato le informazioni rese agli interessati insufficienti a comprendere gli interessi legittimi perseguiti;
- infine, l’EDPB è intervenuta sulla sanzione pecuniaria inflitta e sul relativo calcolo.
Al di là del caso in esame, la decisione dell’EDPB si configura come un documento di notevole interesse per gli addetti a lavori in considerazione delle motivazioni, di ampia portata, espresse in risposta alle obiezioni sollevate, soprattutto in merito al principio di trasparenza e all’interpretazione dell’articolo 83, par. 3, in tutti quei casi in cui al titolare venga contestata più di una violazione.
Il principio di trasparenza nel Regolamento
Per quanto riguardo il primo dei due ambiti di interesse, parte delle motivazioni rese nella decisione dell’EDPB approfondiscono, alla luce di un’obiezione sollevata proprio dal Garante italiano, il tema della trasparenza del trattamento. Scopo dell’intervento, in particolare, è chiarire se ogni violazione degli obblighi informativi di cui agli articoli da 12 a 14 del GDPR integri, di default, anche una violazione del principio di trasparenza ex art. 5, par 1, lettera a) del GDPR.
Nel fornire il proprio orientamento, l’EDPB ha in primo luogo richiamato il considerando 39 del GDPR, che fornisce alcune coordinate interpretative sul significato e sugli effetti del principio di trasparenza; questo, infatti, è configurato come un principio incentrato sull’utente, pratico e concreto, e che si realizza attraverso specifici adempimenti posti in capo a titolari e responsabili.
In tal senso, l’EDPB ha poi messo in chiaro che i riferimenti normativi che individuano tali specifici adempimenti non sono unicamente rinvenibili negli obblighi di informazione di cui al Capo III del GDPR, vale a dire quelli contenuti agli articoli da 12 al 14, ma possono essere rintracciati altresì in altre disposizioni. Al fine di garantire che gli interessati siano consapevoli dei rischi, regole e garanzie in relazione al trattamento, infatti, i titolari e i responsabili devono rispettare tutta una serie di obblighi, che costituiscono anch’essi espressione del principio di trasparenza di cui all’art. 5, par. 1, lett. a), del GDPR.
Linee guida sulla trasparenza
D’altronde anche all’interno delle stesse Linee guida sulla trasparenza, il principio in oggetto viene definito come “[…]un obbligo generale ai sensi del GDPR che si applica a tre aree centrali:
- la fornitura di informazioni agli interessati relative al trattamento equo;
- come i responsabili del trattamento comunicano con gli interessati in relazione ai loro diritti ai sensi del GDPR;
- come i responsabili del trattamento facilitano l’esercizio da parte degli interessati dei propri diritti”.
Trasparenza, principio onnicomprensivo
Dunque, l’EDPB, anche con una certa coerenza nel tempo, ha abbracciato la linea interpretativa che vuole il principio di trasparenza come un concetto onnicomprensivo, che disciplina diverse disposizioni e obblighi specifici, e che, sebbene legato alle norme che definiscono gli obblighi informativi del titolare, non risulta del tutto sovrapponibile a questi ultimi.
In altri termini, l’EDPB ha sottolineato l’importanza di distinguere tra obblighi derivanti dal principio di trasparenza e il principio stesso, anche e soprattutto in sede di comminazione di una sanzione.
La violazione del principio di trasparenza non sarà necessariamente addebitata a un titolare a cui viene contestata la violazione degli obblighi informativi di cui agli articoli da 12 a 14 GDPR. Ciò inciderebbe notevolmente sulla sanzione amministrativa pecuniaria.
Tirando le somme, l’EDPB si è comunque detta del parere che possa essere opportuno vagliare l’ipotesi di una violazione del principio di trasparenza ogniqualvolta si presenti una violazione degli obblighi di cui agli articoli 12-14 del GDPR, rimettendo tuttavia l’esito della valutazione all’esame specifico del caso concreto.
EDPB, il calcolo delle sanzioni di violazioni multiple
Come anticipato, all’interno della sua decisione, l’EDPB ha inoltre fornito un’interpretazione dell’articolo 83, par. 3, del GDPR, chiarendo, nello specifico, i criteri di calcolo della sanzione amministrativa pecuniaria in presenzia di violazioni multiple.
In primo luogo, l’EDPB ricorda che l’articolo in oggetto non si applica strettamente a tutti i singoli casi in cui si riscontrano violazioni multiple, ma solo quando le stesse derivino dal medesimo trattamento o da trattamenti collegati. Infatti, il disposto dell’articolo 83, par. 3, del regolamento, occupandosi di disciplinare i casi in cui il titolare abbia violato più di una disposizione, stabilisce: “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”.
Formulazione e interpretazioni
La formulazione letterale è alquanto chiara, ma le diverse interpretazioni date dalle varie autorità di controllo ha complicato notevolmente la questione nella prassi. Senza soffermarci sui presenti orientamenti, appare opportuno partire da un punto fermo, e cioè dall’insegnamento dell’EDPB secondo cui “lo scopo generale dell’articolo 83 del GDPR è garantire che, per ogni singolo caso, l’irrogazione di un’ammenda amministrativa in caso di violazione del GDPR sia efficace, proporzionata e dissuasiva”.
Assunto tale principio come criterio guida nell’interpretazione dell’art. 83, par. 3, del GDPR, con riferimento al caso di specie, l’EDPB ritiene che l’approccio seguito dall’autorità irlandese non dia “pieno vigore ed effetto all’applicazione [della norma], e non [appare] in linea con la finalità sopra menzionata dell’articolo 83 GDPR”.
L’intento dissuasivo della norma
In effetti, continua il Comitato, l’approccio seguito dal garante irlandese porterebbe alla seguente situazione: in caso di più violazioni del GDPR relative allo stesso trattamento o a trattamenti collegati, la sanzione pecuniaria corrisponderebbe sempre allo stesso importo, pari a quello imposto per la violazione di maggior gravità. Ne consegue che il calcolo dell’ammenda non prenderà in considerazione le altre infrazioni. Così la norma non rispetterebbe l’intento dissuasivo in quanto la disposizione offre un’interpretazione che non appare coerente con il fine a cui tende.
Chiarita la ratio della norma, e, partendo da questa, la portata dell’art. 83, par. 3, GDPR, l’EDPB si sofferma altresì sul significato dell’espressione “importo indicato per la violazione più grave”, da considerare quale chiaro ed esplicito riferimento ai massimi legali delle sanzioni pecuniarie di cui agli articoli 83, par. 4, 5 e 6, GDPR, e non alla più pesante violazione contestata nello specifico caso nel corso del singolo procedimento.
Pertanto, sinterizzando l’orientamento del Comitato, i garanti europei sono chiamati a eseguire una valutazione in concreto ed ex ante dell’efficacia dissuasiva della sanzione astrattamente comminabile. La multa, pur non potendo mai superare i limiti imposti dagli articoli 83, par. 4, 5 e 6, GDPR, deve prendere in considerazione tutte le violazioni contestate.
Linee Guida e sanzioni
Il Comitato ricorda quanto riportato nelle Linee Guida sull’applicazione e la determinazione delle sanzioni amministrative pecuniarie ai fini del Regolamento 2016/679. Sono esplicative di entrambi i principi di diritti statuiti e ribaditi nella pronuncia in parola.
Queste, infatti, stabiliscono che “il verificarsi di più infrazioni diverse commesse congiuntamente in un determinato singolo caso [chiama] l’autorità di controllo [ad] applicare le sanzioni amministrative pecuniarie effettive, proporzionate e dissuasive nei limiti dell’infrazione più grave”.
Conclusioni
Invitato a modificare la bozza di provvedimento, il Garante irlandese ha comminato una sanzione di 225 milioni di euro nei confronti della società titolare di Whatsapp. Si tratta della seconda più pesante sanzione sin dall’entrata in vigore del GDPR.
Nonostante il pesante impatto della sanzione sull’opinione pubblica, a causa dell’elevato numero degli utenti mondiali, la portata della decisione va oltre la vicenda in oggetto.
Il Comitato, infatti, perseguendo la sua attività interpretativa, è intervenuto ancora una volta a sostegno dell’operato delle autorità di controllo europee, che in futuro saranno chiamate ad uniformarsi all’orientamento espresso in questa decisione.
