La Comisión de Protección de Datos irlandesa (DPC, por sus siglas en inglés) ha sancionado a WhatsApp Irlanda con 5,5 millones de euros por una infracción del Reglamento General de Protección de Datos (en adelante, el RGPD).
Los hechos que dan lugar a la sanción se remontan al mes de mayo de 2018, coincidiendo con la entrada en vigor del RGPD, a raíz de la denuncia interpuesta por un usuario alemán. WhatsApp (y el resto de las plataformas de Meta -Facebook e Instagram-) modificaron sus políticas de privacidad para adaptarse a la nueva normativa, que exige recabar el consentimiento expreso de los usuarios para tratar sus datos personales y que dicho consentimiento sea libre, específico, informado e inequívoco. Sin embargo, los usuarios debían aceptar la nueva política de privacidad si querían continuar utilizando WhatsApp, lo que, según el denunciante, esquivaba la obligación de obtener el consentimiento del usuario libremente.
Dado que WhatsApp se amparaba en otra base legal para el tratamiento de los datos personales de sus usuarios -pues se basaba en que obtenía los datos para la correcta prestación de su servicio-, lo anterior no pudo probarse ante la autoridad de control irlandesa, que, sin embargo, consideró que WhatsApp sí infringía los artículos 12 y 13 del RGPD al no informar claramente de la base jurídica ni los fines del tratamiento. Asimismo, la DPC entendió vulnerado el artículo 6 del RGPD que sienta las condiciones para que se entienda que el tratamiento sea lícito.
Esta sanción se suma a las impuestas a WhatsApp por incumplimientos de similar naturaleza -aunque de mayor cuantía, que alcanzan los 225 millones de euros-, así como a la reciente sanción de 390 millones de euros a la que Meta tendrá que hacer frente por las infracciones de la normativa europea de protección de datos de sus otras dos plataformas.