La agencia de protección de datos de Hamburgo ha prohibido a Facebook procesar los datos de usuario adicionales de WhatsApp a los que el gigante tecnológico se está otorgando acceso en virtud de una actualización obligatoria de los términos de servicio de WhatsApp.
La controvertida actualización de la política de privacidad de WhatsApp ha causado una confusión generalizada en todo el mundo desde que se anunció, y Facebook ya la retrasó varios meses después de que una gran reacción de los usuarios vio a las aplicaciones de mensajería de los rivales beneficiarse de una afluencia de usuarios enojados.
El gobierno indio también ha tratado de bloquear los cambios en los términos y condiciones de WhatApp en los tribunales, y la autoridad antimonopolio del país está investigando.
A nivel mundial, los usuarios de WhatsApp tienen hasta el 15 de mayo para aceptar los nuevos términos (después de lo cual el requisito de aceptar la actualización de los términos y condiciones será persistente, según las preguntas frecuentes de WhatsApp).
La mayoría de los usuarios a los que se les han impuesto los términos ya los han aceptado, según Facebook, aunque no ha revelado qué proporción de usuarios es esa.
Pero la intervención de la DPA de Hamburgo podría retrasar aún más la implementación de los TyC por parte de Facebook, al menos en Alemania, ya que la agencia ha utilizado un procedimiento de urgencia, permitido por el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, para ordenar al gigante tecnológico que no lo haga. compartir los datos durante tres meses.
Un portavoz de WhatsApp cuestionó la validez legal de la orden de Hamburgo, calificándola de “un malentendido fundamental del propósito y efecto de la actualización de WhatsApp” y argumentando que “por lo tanto no tiene una base legítima”.
“Nuestra actualización reciente explica las opciones que tienen las personas para enviar mensajes a una empresa en WhatsApp y brinda mayor transparencia sobre cómo recopilamos y usamos los datos. Como las afirmaciones de la DPA de Hamburgo son incorrectas, la orden no afectará la implementación continua de la actualización. Seguimos totalmente comprometidos con la entrega de comunicaciones seguras y privadas para todos ”, agregó el portavoz, sugiriendo que WhatsApp, propiedad de Facebook, puede tener la intención de ignorar la orden.
Entendemos que Facebook está considerando sus opciones para apelar el procedimiento de Hamburgo.
Los poderes de emergencia que utiliza Hamburgo no pueden extenderse más allá de los tres meses, pero la agencia también está presionando a la Junta Europea de Protección de Datos (EDPB) para que intervenga y tome lo que llama “una decisión vinculante” para el bloque de 27 Estados miembros.
Nos hemos puesto en contacto con la EDPB para preguntarle qué acción, si corresponde, podría tomar en respuesta a la llamada de la DPA de Hamburgo.
El organismo no suele participar en la toma de decisiones vinculantes del RGPD relacionadas con quejas específicas, a menos que las APD de la UE no puedan ponerse de acuerdo sobre un borrador de la decisión del RGPD que se les presenta para su revisión por parte de una autoridad supervisora principal bajo el mecanismo de ventanilla única para manejar casos transfronterizos .
En tal escenario, la EDPB puede emitir un voto decisivo, pero no está claro si un procedimiento de urgencia calificaría.
Al tomar la acción de emergencia, la DPA alemana no solo está atacando a Facebook por seguir burlándose de las reglas de protección de datos de la UE, sino que está arrojando sombra a su supervisor principal de datos en la región, la Comisión de Protección de Datos de Irlanda (DPC), acusando a este último de no investigar las preocupaciones muy generalizadas asociadas a los términos y condiciones entrantes de WhatsApp.
(“Hasta ahora no se ha cumplido nuestra solicitud a la autoridad supervisora principal de una investigación sobre la práctica real del intercambio de datos”, es el encuadre cortés de este tono en el comunicado de prensa de Hamburgo).
Nos comunicamos con el DPC para obtener una respuesta y actualizaremos este informe si obtenemos uno.
El organismo de control de datos de Irlanda no es ajeno a las críticas de que se entrega a la inacción regulatoria creativa cuando se trata de hacer cumplir el GDPR, y los críticos acusan a la comisionada Helen Dixon y su equipo de no investigar decenas de quejas y, en los casos en que ha abierto sondas, tomar años para investigar y, al final, optar por un cumplimiento débil.
La única decisión de GDPR que el DPC ha emitido hasta la fecha contra un gigante de la tecnología (contra Twitter, en relación con una violación de datos) fue disputada por otras DPA de la UE, que querían una sanción mucho más dura que la multa de 550 mil dólares finalmente impuesta por Irlanda.
Las investigaciones de GDPR sobre Facebook y WhatsApp permanecen en el escritorio del DPC. Aunque un proyecto de decisión en un caso de transparencia de intercambio de datos de WhatsApp se envió a otras APD de la UE en enero para su revisión, una resolución aún no ha visto la luz casi tres años después de que comenzara a aplicarse la regulación.
En resumen, las frustraciones por la falta de aplicación de GDPR contra los gigantes tecnológicos más grandes están aumentando entre otras DPA de la UE, algunas de las cuales ahora están recurriendo a acciones regulatorias creativas para tratar de eludir el cuello de botella creado por la ventanilla única (OSS). mecanismo que canaliza tantas quejas a través de Irlanda.
La DPA italiana también emitió una advertencia sobre el cambio de los términos y condiciones de WhatsApp, en enero, diciendo que se había puesto en contacto con la EDPB para plantear preocupaciones sobre la falta de información clara sobre lo que está cambiando.
En ese momento, la EDPB hizo hincapié en que su función es promover la cooperación entre las autoridades supervisoras. Añadió que continuará facilitando los intercambios entre las APD “para garantizar una aplicación coherente de la ley de protección de datos en toda la UE de acuerdo con su mandato”. Pero el consenso siempre frágil entre las APD de la UE se está volviendo cada vez más tenso por los cuellos de botella en la aplicación y la percepción de que la regulación no se está cumpliendo debido a la búsqueda de foros de OSS.
Eso aumentará la presión sobre el EDPB para encontrar alguna forma de resolver el estancamiento y evitar una ruptura más amplia del reglamento, es decir, si cada vez más agencias de los Estados miembros recurren a una acción unilateral de “emergencia”.
El DPA de Hamburgo escribe que la actualización de los términos de WhatsApp otorga a la plataforma de mensajería “poderes de gran alcance para compartir datos con Facebook” para los propios fines de la empresa (incluso para publicidad y marketing), como pasar los datos de ubicación de los usuarios de WhatApp a Facebook y permitiendo que los datos de comunicación de los usuarios de WhatsApp se transfieran a terceros si las empresas hacen uso de los servicios de alojamiento de Facebook.
Su evaluación es que Facebook no puede basarse en intereses legítimos como base legal para el intercambio de datos ampliado según la legislación de la UE.
Y si el gigante de la tecnología tiene la intención de confiar en el consentimiento del usuario, no está cumpliendo con el estándar porque los cambios no se explican claramente ni se les ofrece a los usuarios la libre elección de dar su consentimiento o no (que es el estándar requerido bajo GDPR).
“La investigación de las nuevas disposiciones ha demostrado que su objetivo es ampliar aún más la estrecha conexión entre las dos empresas para que Facebook pueda utilizar los datos de los usuarios de WhatsApp para sus propios fines en cualquier momento”, continúa Hamburg. “Para las áreas de mejora de productos y publicidad, WhatsApp se reserva el derecho de transmitir datos a las empresas de Facebook sin requerir el consentimiento adicional de los interesados. En otras áreas, el uso para fines propios de la empresa de acuerdo con la política de privacidad ya se puede asumir en la actualidad.
“La política de privacidad enviada por WhatsApp y las preguntas frecuentes describen, por ejemplo, que los datos de los usuarios de WhatsApp, como números de teléfono e identificadores de dispositivos, ya se están intercambiando entre las empresas con fines conjuntos, como la seguridad de la red y para evitar el envío de spam. . “
Las APD como Hamburgo pueden sentirse animadas a tomar el asunto en sus propias manos sobre la aplicación del RGPD por una opinión reciente de un asesor del tribunal superior de la UE, como sugerimos en nuestra cobertura en ese momento. El Abogado General Bobek opinó que la legislación de la UE permite a las agencias iniciar sus propios procedimientos en determinadas situaciones, incluso para adoptar “medidas urgentes” o para intervenir “después de que la autoridad principal de protección de datos haya decidido no tramitar un caso”.
El fallo del TJUE sobre ese caso aún está pendiente, pero el tribunal tiende a alinearse con la posición de sus asesores.
Source link