El 28 de julio, el Consejo Europeo de Protección de Datos (EDPB) adoptó una decisión de resolución de conflictos sobre la base del Art. 65 DEL RGPD. Esta decisión vinculante pretende resolver el litigio surgido a raíz de un proyecto de decisión emitido por la Autoridad de Supervisión Principal (ASL) de Irlanda (IE) en relación con WhatsApp Ireland Ltd. (WhatsApp IE) y las posteriores objeciones expresadas por varias autoridades de supervisión afectadas (ASL). (WhatsApp IE) y las subsiguientes objeciones expresadas por una serie de autoridades de control interesadas (ASC).
De conformidad con el RGPD, la decisión vinculante del EDPB se ha publicado ahora, tras la notificación de la decisión final de la IE SA a la empresa.
Tras su evaluación, el EDPB opinó que la IE SA debía modificar su proyecto de decisión en lo que respecta a las infracciones de transparencia, el cálculo de la multa y el plazo de la orden de cumplimiento.
En lo que respecta a la transparencia, el proyecto de decisión de la EI SA ya identificaba una grave infracción del art. 12-13-14 DEL GDPR. El EDPB detectó otras deficiencias en la información facilitada, que afectaban a la capacidad de los usuarios para comprender los intereses legítimos que se perseguían. Por lo tanto, el EDPB solicitó a la AE de IE que incluyera una conclusión de infracción del art. 13(1)(d) del GDPR en su decisión.
Además, el EDPB aclaró que, aunque no todas las infracciones de los artículos 12-14 del RGPD implica necesariamente una infracción del art. 5 (1) (a) GDPR, en este caso particular, a la luz de la gravedad y la naturaleza e impacto global de las infracciones, se ha producido una infracción del principio de transparencia consagrado en el Art. 5(1)(a) del GDPR.
Por lo que respecta a la recogida de datos de terceros por parte de WhatsApp IE -cuando los usuarios deciden utilizar la función de contacto-, la EDPB consideró que, en el presente caso, el procedimiento utilizado por WhatsApp IE no conduce a la anonimización de los datos personales recogidos.
Por lo que respecta a la multa impuesta y al cálculo de la misma, la EDPB decidió que el volumen de negocios de una empresa no es exclusivamente relevante para la determinación del importe máximo de la multa de conformidad con el art. 83(4)-(6) del RGPD, sino que también puede tenerse en cuenta para el cálculo de la propia multa, cuando proceda, para garantizar que la multa sea efectiva, proporcionada y disuasoria de conformidad con el artículo 83(1) del RGPD. 83(1) DEL GDPR. En este caso, la OEDT consideró que el volumen de negocios consolidado de la empresa matriz (Facebook Inc.) debe incluirse en el cálculo del volumen de negocios.
Más información
Comunicado de prensa – Consejo Europeo de protección de datos
Deja una respuesta