Os reguladores de dados da UE podem impor multas máximas de GDPR de até € 20 milhões (cerca de US $ 24,3 milhões) ou 4% do faturamento global anual da empresa infratora – o que for maior – por violar as leis de privacidade da UE.
A multa segue uma investigação iniciada em dezembro de 2018 depois que o watchdog de dados recebeu várias reclamações de “titulares de dados individuais” (usuários e não usuários) sobre as atividades de processamento de dados do WhatsApp.
Ao longo da investigação, o DPC da Irlanda “examinou se o WhatsApp cumpriu suas obrigações de transparência do GDPR no que diz respeito ao fornecimento de informações e à transparência dessas informações para usuários e não usuários do serviço do WhatsApp”.
“Isso inclui informações fornecidas aos titulares dos dados sobre o processamento de informações entre o WhatsApp e outras empresas do Facebook”, explicou o regulador.
A multa do WhatsApp reflete as infrações que os reguladores da UE encontraram:
Além da multa, o órgão de controle de dados irlandês também ordenou que o WhatsApp tornasse seu processamento em conformidade com os requisitos do GDPR, tomando uma série de ações corretivas específicas com um prazo que expira em três meses. A decisão do irlandês DPC pode ser encontrada e lida na íntegra aqui .
O que faz essa multa se destacar, além de seu tamanho, é o fato de que oito outros reguladores de privacidade da UE (incluindo Alemanha, França, Hungria, Itália, Portugal, Holanda e Polônia) se opuseram à multa inicial de € 50 milhões proposta pelo órgão de vigilância da privacidade de dados irlandês e ordenou que fosse reavaliado.
Isso levou ao aumento da multa em mais de quatro vezes, depois que o cão de guarda irlandês foi forçado a considerar todas as infrações do WhatsApp ao calcular o valor da multa.
“Após uma investigação longa e abrangente, o DPC apresentou um projeto de decisão a todas as Autoridades de Supervisão Interessadas (CSAs) nos termos do Artigo 60 do GDPR em dezembro de 2020. O DPC posteriormente recebeu objeções de oito CSAs”, disse o regulador irlandês hoje .
“O DPC não conseguiu chegar a um consenso com os CSAs sobre o objeto das objeções e acionou o processo de resolução de litígios (Artigo 65 do RGPD) em 3 de junho de 2021. Em 28 de julho de 2021, o Conselho Europeu de Proteção de Dados (EDPB) adotou um decisão vinculativa e esta decisão foi notificada à DPC.
“Esta decisão continha uma instrução clara que obrigava a DPC a reavaliar e aumentar a sua proposta de multa com base em uma série de fatores contidos na decisão da EDPB e após esta reavaliação a DPC aplicou uma multa de € 225 milhões ao WhatsApp.”
“O WhatsApp tem o compromisso de fornecer um serviço seguro e privado. Trabalhamos para garantir que as informações que fornecemos sejam transparentes e abrangentes e continuaremos a fazê-lo”, disse a empresa em um comunicado.
“Discordamos da decisão de hoje em relação à transparência que proporcionamos às pessoas em 2018 e as penalidades são totalmente desproporcionais. Iremos recorrer dessa decisão.”
Em maio, o Comissário de Hamburgo para Proteção de Dados e Liberdade de Informação (HmbBfDI) proibiu o Facebook de processar dados de usuários do WhatsApp até o final de agosto, depois que o WhatsApp disse que restringiria os recursos da conta para usuários que se recusassem a abrir mão do controle de seus dados e tê-los compartilhado com empresas do Facebook.
Após a proibição do HmbBfDI, o WhatsApp voltou atrás em seus planos, afirmando que “dadas as recentes discussões com várias autoridades e especialistas em privacidade, queremos deixar claro que não limitaremos a funcionalidade de como o WhatsApp funciona para aqueles que ainda não aceitaram a atualização.”
Em notícias relacionadas, a Amazon também foi atingida com uma multa recorde de € 746 milhões em julho pela Comissão Nacional de Luxemburgo para Proteção de Dados (CNPD) por violações do GDPR relacionadas à sua publicidade comportamental direcionada, a maior multa já emitida por um órgão fiscalizador de dados da UE para violações do GDPR.
A Amazon também disse à BleepingComputer que iria apelar da decisão, pois “discordava fortemente da decisão do CNPD”.
“A decisão relativa à forma como mostramos aos clientes publicidade relevante depende de interpretações subjetivas e não testadas da lei de privacidade europeia, e a multa proposta é totalmente desproporcional até mesmo com essa interpretação.”
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…