El EDPB ha adoptado su primera decisión vinculante urgente de conformidad con el artículo 66.2 del RGPD a solicitud de la autoridad de control en materia de protección de datos de Hamburgo, después de que dicha autoridad hubiera adoptado medidas provisionales contra Facebook Ireland Ltd que imponían la prohibición de tratar los datos de los usuarios de WhatsApp por parte de Facebook Ireland para sus propios fines, a raíz de un cambio en las condiciones de servicio y en la política de privacidad aplicables a los usuarios europeos de WhatsApp Ireland Ltd.
Cabe recordar que el artículo 66.2 del RGPD permite a las autoridades de control, cuando consideren que es urgente intervenir para proteger los derechos y las libertades de interesados y deban adoptarse medidas definitivas, solicitar con carácter urgente un dictamen o una decisión vinculante urgente del EDPB cuando consideren que deben adoptarse urgentemente medidas definitivas, motivando dicha solicitud de dictamen o decisión.
El EDPB consideró que es muy probable que Facebook Ireland trate los datos de los usuarios de WhatsApp Ireland como corresponsable con los fines comunes de mantener la seguridad, la protección y la integridad de WhatsApp Ireland y de las demás empresas de Facebook, así como para mejorar los productos de las empresas de la compañía. Sin embargo, ante las diversas contradicciones, ambigüedades e incertidumbres observadas en la información de WhatsApp dirigida a los usuarios, el EDPB llegó a la conclusión de que todavía no está en condiciones de determinar con certeza qué tratamientos de datos personales se están llevando a cabo realmente.
Por tanto, el EDPB determinó que no se cumplen las condiciones para demostrar la existencia de una infracción y ni de una urgencia, por lo que no es necesario que la autoridad de control adopte medidas definitivas contra Facebook Ireland. No obstante, teniendo en cuenta la alta probabilidad de que se produzcan nuevas infracciones, el EDPB no da por cerrado este asunto, pues considera que se requiere una investigación reglamentaria para determinar si tales actividades de tratamiento se están llevando a cabo o no, y si es el caso, si tienen una base legitimadora adecuada.
En particular, estas investigaciones deberán servir para verificar si, en la práctica, las empresas de Facebook están llevando a cabo operaciones de tratamiento de datos que implican la combinación o comparación de los datos de los usuarios de WhatsApp Ireland con otros conjuntos de datos tratados por otras empresas de Facebook en el contexto de otras aplicaciones o servicios ofrecidos por la compañía.