Os reguladores de dados da UE podem impor multas máximas de GDPR de até € 20 milhões (cerca de US $ 24,3 milhões) ou 4% do faturamento global anual da empresa infratora – o que for maior – por violar as leis de privacidade da UE.
A multa segue uma investigação iniciada em dezembro de 2018 depois que o watchdog de dados recebeu várias reclamações de “titulares de dados individuais” (usuários e não usuários) sobre as atividades de processamento de dados do WhatsApp.
Ao longo da investigação, o DPC da Irlanda “examinou se o WhatsApp cumpriu suas obrigações de transparência do GDPR no que diz respeito ao fornecimento de informações e à transparência dessas informações para usuários e não usuários do serviço do WhatsApp”.
“Isso inclui informações fornecidas aos titulares dos dados sobre o processamento de informações entre o WhatsApp e outras empresas do Facebook”, explicou o regulador.
A multa do WhatsApp reflete as infrações que os reguladores da UE encontraram:
Além da multa, o órgão de controle de dados irlandês também ordenou que o WhatsApp tornasse seu processamento em conformidade com os requisitos do GDPR, tomando uma série de ações corretivas específicas com um prazo que expira em três meses. A decisão do irlandês DPC pode ser encontrada e lida na íntegra aqui .
O que faz essa multa se destacar, além de seu tamanho, é o fato de que oito outros reguladores de privacidade da UE (incluindo Alemanha, França, Hungria, Itália, Portugal, Holanda e Polônia) se opuseram à multa inicial de € 50 milhões proposta pelo órgão de vigilância da privacidade de dados irlandês e ordenou que fosse reavaliado.
Isso levou ao aumento da multa em mais de quatro vezes, depois que o cão de guarda irlandês foi forçado a considerar todas as infrações do WhatsApp ao calcular o valor da multa.
“Após uma investigação longa e abrangente, o DPC apresentou um projeto de decisão a todas as Autoridades de Supervisão Interessadas (CSAs) nos termos do Artigo 60 do GDPR em dezembro de 2020. O DPC posteriormente recebeu objeções de oito CSAs”, disse o regulador irlandês hoje .
“O DPC não conseguiu chegar a um consenso com os CSAs sobre o objeto das objeções e acionou o processo de resolução de litígios (Artigo 65 do RGPD) em 3 de junho de 2021. Em 28 de julho de 2021, o Conselho Europeu de Proteção de Dados (EDPB) adotou um decisão vinculativa e esta decisão foi notificada à DPC.
“Esta decisão continha uma instrução clara que obrigava a DPC a reavaliar e aumentar a sua proposta de multa com base em uma série de fatores contidos na decisão da EDPB e após esta reavaliação a DPC aplicou uma multa de € 225 milhões ao WhatsApp.”
“O WhatsApp tem o compromisso de fornecer um serviço seguro e privado. Trabalhamos para garantir que as informações que fornecemos sejam transparentes e abrangentes e continuaremos a fazê-lo”, disse a empresa em um comunicado.
“Discordamos da decisão de hoje em relação à transparência que proporcionamos às pessoas em 2018 e as penalidades são totalmente desproporcionais. Iremos recorrer dessa decisão.”
Em maio, o Comissário de Hamburgo para Proteção de Dados e Liberdade de Informação (HmbBfDI) proibiu o Facebook de processar dados de usuários do WhatsApp até o final de agosto, depois que o WhatsApp disse que restringiria os recursos da conta para usuários que se recusassem a abrir mão do controle de seus dados e tê-los compartilhado com empresas do Facebook.
Após a proibição do HmbBfDI, o WhatsApp voltou atrás em seus planos, afirmando que “dadas as recentes discussões com várias autoridades e especialistas em privacidade, queremos deixar claro que não limitaremos a funcionalidade de como o WhatsApp funciona para aqueles que ainda não aceitaram a atualização.”
Em notícias relacionadas, a Amazon também foi atingida com uma multa recorde de € 746 milhões em julho pela Comissão Nacional de Luxemburgo para Proteção de Dados (CNPD) por violações do GDPR relacionadas à sua publicidade comportamental direcionada, a maior multa já emitida por um órgão fiscalizador de dados da UE para violações do GDPR.
A Amazon também disse à BleepingComputer que iria apelar da decisão, pois “discordava fortemente da decisão do CNPD”.
“A decisão relativa à forma como mostramos aos clientes publicidade relevante depende de interpretações subjetivas e não testadas da lei de privacidade europeia, e a multa proposta é totalmente desproporcional até mesmo com essa interpretação.”
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…