El servicio de mensajería WhatsApp de Facebook fue multado con casi $ 270 millones por las autoridades irlandesas el jueves por no ser transparente sobre cómo utiliza los datos recopilados de las personas en el servicio, en un caso que representa una gran prueba de la capacidad de Europa para hacer cumplir su histórica ley de privacidad de datos.
La decisión de 265 páginas es el primer fallo importante contra Facebook bajo el Reglamento General de Protección de Datos de gran alcance de la Unión Europea, o GDPR, una ley de tres años que muchos han criticado por no aplicarse correctamente. Los reguladores irlandeses dijeron que WhatsApp no tenía claro a los usuarios cómo se compartían los datos con otras propiedades de Facebook como su red social principal e Instagram.
WhatsApp dijo que apelaría la decisión, estableciendo lo que se espera sea una batalla legal prolongada.
El RGPD fue anunciado como la ley de privacidad de datos más completa del mundo cuando fue promulgado y defendido como un modelo para el resto del mundo para contrarrestar las prácticas de registro de datos de Facebook, Google y otros gigantes de Internet. Pero la ley ha dado lugar a pocas multas o sanciones, y muchos han dicho que no ha cumplido su promesa.
Los reguladores de Irlanda han estado en el centro del debate. Según la ley, las empresas deben estar reguladas por los países donde tienen su sede europea. Las oficinas europeas de Facebook, Google, Twitter, Apple y decenas de otras empresas tienen su sede en Irlanda debido a sus bajas tasas impositivas corporativas y otros beneficios.
Pero eso ha ejercido una tremenda presión sobre la Comisión de Protección de Datos de Irlanda, una agencia con fondos insuficientes y muy criticada a la que se le ha encomendado la tarea de hacer cumplir una nueva y compleja ley de protección de datos contra algunas de las empresas más grandes del mundo.
En julio, los legisladores del Parlamento de Irlanda emitieron un informe mordaz, diciendo que el regulador irlandés «no protege adecuadamente los derechos fundamentales de los ciudadanos» debido a su falta de aplicación.
El desafío de hacer cumplir el GDPR está siendo observado de cerca mientras los funcionarios de la Unión Europea debaten nuevas regulaciones para otras áreas de la industria de la tecnología, incluidas políticas antimonopolio y de moderación de contenido más estrictas. Los críticos sostienen que el GDPR muestra que, aunque la Unión Europea ha elaborado políticas digitales sólidas, ha tenido problemas para implementarlas bien.
La multa de 225 millones de euros, una fracción de las ganancias anuales de Facebook, fue la más grande emitida por los reguladores irlandeses contra un gigante tecnológico según la ley; En diciembre, Irlanda multó a Twitter con 450.000 euros relacionados con una violación de datos. El fallo dijo que WhatsApp no cumplió con sus «obligaciones de transparencia» de revelar claramente cómo Facebook utilizaría los datos de los usuarios para sus otros servicios.
La decisión requiere que WhatsApp actualice su política de privacidad y realice otros cambios para que las personas sean más conscientes de cómo se utilizarán los datos.
El caso de WhatsApp ha generado un debate considerable entre los países de la Unión Europea sobre el nivel apropiado de cumplimiento de las normas de protección de datos de la región. Funcionarios de otros países del bloque de 27 naciones han criticado a Irlanda por no actuar más rápidamente contra las grandes plataformas tecnológicas.
Otros países presionaron a Irlanda para que aumentara su multa propuesta inicial, que se había fijado en solo 50 millones de euros. Esa suma se elevó a 225 millones de euros después de que otros reguladores nacionales utilizaran una junta creada por la ley para coordinar la aplicación y resolver disputas para presionar por una sanción mayor.
Max Schrems, un abogado austriaco y activista de la privacidad que ha presentado varias quejas ante las autoridades de Irlanda contra Facebook, acogió con satisfacción la decisión del jueves, pero dijo que la multa de la Comisión de Protección de Datos todavía era demasiado pequeña. El GDPR permite multas de hasta el 4 por ciento de los ingresos globales. Dijo que había muchos otros casos esperando ser tratados.
“Esto muestra cómo el DPC sigue siendo extremadamente disfuncional”, dijo Schrems, quien ahora dirige un grupo de defensa de la privacidad llamado Noyb.
WhatsApp, que Facebook compró en 2014, criticó la decisión de Irlanda y dijo que actualizó su política de privacidad para que sea más completa.
“WhatsApp se compromete a brindar un servicio seguro y privado”, dijo Joshua Breckman, portavoz de WhatsApp, en un comunicado. “Hemos trabajado para asegurarnos de que la información que proporcionamos sea transparente y completa y continuaremos haciéndolo. No estamos de acuerdo con la decisión de hoy con respecto a la transparencia que brindamos a las personas en 2018 y las sanciones son completamente desproporcionadas ”.
Otras empresas de tecnología también han sido atacadas por GDPR, aunque los críticos dicen que los castigos son relativamente pequeños y es poco probable que resulten en cambios significativos en el comportamiento.
En julio, Amazon fue multado con casi 750 millones de euros por violaciones relacionadas con sus prácticas publicitarias por parte del regulador de privacidad de Luxemburgo. En 2019, las autoridades francesas multaron a Google con 50 millones de euros por no obtener el permiso adecuado para los usos de cierta publicidad en línea.