El pasado 2 de septiembre conocimos por una nota (1) publicada por el organismo de protección de datos personales de Irlanda («Data Protection Commission»), la sanción impuesta, en la cantidad de 225 millones de euros, a la empresa WhatsApp Ireland Ltd. por incumplir su servicio de mensajería «WhatsApp», determinadas obligaciones establecidas en la norma europea que regula la privacidad y protección de datos personales [Reglamento general de Protección de Datos (RGPD)]. La investigación se inició en el mes de diciembre de 2018, por tanto, cuando ya estaba dentro del grupo de empresas de Facebook, puesto que esta última la compró en 2014.
La Decisión final, de 266 páginas, del organismo público irlandés se acordó el 20 de agosto de 2021, después de recibir la Decisión vinculante del organismo público europeo, de 89 páginas, en el que están representados todas las agencias de protección de la privacidad de la Unión Europea (Binding decision 1/2021, The European Data Protection Board), puesto al no existir conformidad de todos con el borrador de decisión de la agencia irlandesa, se abrió un proceso, no sencillo, en el que todas aquellas agencias nacionales que así lo acuerden pueden presentar alegaciones y, después, el comité de protección de datos europeo decide (2).
Si tenemos en cuenta que los mayores jugadores del mercado de Internet son los que tienen la mayor responsabilidad, quienes deberían dar el ejemplo a los demás, este tipo de noticias tienen que alegrarnos, por un lado, y llamarnos por el otro a conocer y aplicar las leyes de protección de datos y los derechos de privacidad de las personas en todas las industrias y sectores que hoy usan Internet para interactuar con ellos.
Puesto que lo relevante, sin olvidar la cifra de la sanción y las obligaciones que debe cumplir, en el plazo de tres meses, mediante la ejecución de acciones para cumplir con los mandatos de la norma europea de protección de datos (3), es que una de las infracciones es el uso de datos de personas que no tiene activado el servicio WhatsApp para conectarlo con otras actividades de Facebook. Y esto debe conectarnos con el análisis de operaciones como fue la compra de Facebook del servicio WhatsApp, que no requiere pago para su utilización, y que, desde las reglas vigentes de la regulación de los mercados no contempla en qué mercado se está librando la batalla en Internet, los datos de las personas, que tienen valor económico y estratégico. En palabras de la que es la actual presidenta de la Comisión Federal de Comercio de Estados Unidos de América (4): «de este modo, el actual régimen antimonopolio aún no ha tenido en cuenta el hecho de que las empresas con un control concentrado sobre los datos pueden inclinar sistemáticamente un mercado a su favor, remodelando drásticamente el sector [LINA M. KHAN, Amazon’s Antitrust Paradox, Pag. 783 (5)].
La investigación que se inició de oficio por las autoridades, y que, además, también está impulsada por activistas y personas particulares, sigue la línea que logró invalidar las transferencias de datos entre la UE y Estados Unidos en el famoso caso contra Facebook resuelto el año pasado. En este caso se investigó y se acreditó, entre otras cosas, que el servicio «WhatsApp» incumple obligaciones de transparencia en el tratamiento de datos personales y en determinadas cuestiones sobre el tratamiento de datos tanto de usuarios como de no usuarios, respecto a la falta de información cuando se trasfiere los datos personales, como el número de teléfono móvil, a su matriz, Facebook.
Otro aspecto saliente de la penalización es que WhatsApp no informó a los usuarios dónde se almacenaban los datos, ni de las personas con las que podían ponerse en contacto, ni de los fines por los que se recogían y quiénes los recibían. Además, WhatsApp no informó a los usuarios de cuándo se obtuvieron y procesaron sus datos personales de terceros ni de dónde procedían estos datos. También se ordenó a WhatsApp que actualice su ya extensa política de privacidad y cambie la forma en que notifica a los usuarios sobre el intercambio de datos..
El matiz de las órdenes correctivas es quizás más relevante que el económico de la multa administrativa, ya que nos habla del espíritu de la RGPD de establecer reglas de juego claras para las compañías, para que sus sistemas de datos cumplan con la normativa comunitaria y defender a las personas de lo que pueda representar el abuso en materia de privacidad. Como comentaba en un artículo anterior, Magnitud: la clave de la fuga de la data privada, la RGPD es clara en este aspecto, y requiere que cualquier entidad o empresa que trate, gestione o esté relacionada con cualquier actividad que implique acceder a datos personales, tenga siempre presente como Principio general de la norma europea el principio de protección de datos desde el diseño, que tiene como objetivo cumplir los requisitos definidos en el RGPD y, por tanto, los derechos de los interesados y busca que la protección de datos se encuentre presente en las primeras fases de concepción de cada proyecto (el concepto de privacidad por defecto).
Algunos medios, como The Verge, dejaron trascender la disconformidad de un portavoz de WhatsApp que dijo en un correo electrónico que la compañía apelará la decisión: «WhatsApp se compromete a brindar un servicio seguro y privado. Hemos trabajado para garantizar que la información que brindamos sea transparente y completa, y continuaremos haciéndolo», y añadido: «no estamos de acuerdo con la decisión de hoy respecto a la transparencia que ofrecimos en 2018 y las sanciones son totalmente desproporcionadas». No parece, en principio, que desde Facebook se esté analizando la forma de modificar sus políticas para adaptarse a las exigencias de la norma europea.
La multa representa la segunda en la historia reciente de la violación de datos en Internet, y la única sanción mayor a esta impuesta en materia de RGPD fue la de 425 millones de dólares sobre Amazon por la agencia de privacidad luxemburguesa y si bien estas cantidades están muy lejos de los máximos del 2% o el 4% del total de la facturación anual que permite el RGPD, sientan un buen precedente para el cumplimiento de las normas en materia de transparencia en el contexto de los usuarios, los no usuarios y el intercambio de datos entre entidades, empresas u organizaciones, puesto que junto con el criterio de proporcionalidad la norma europea expresamente establece que las sanciones tienen que se disuasorias, y este último criterio debe analizarse en el contexto de empresas que tiene ingresos mundiales de casi 86.000 millones de dólares estadounidenses en 2020 (6).
Así como remarcar la magnitud de la responsabilidad y caminos a seguir en materia de tratamiento y gestión de datos de las personas, la efectividad de las multas va mucho más allá de lo económico, y sienta un fuerte precedente en cuanto al monitoreo, control y penalización real en la defensa de los derechos y la privacidad de las personas, puesto que son esta últimas las propietarias de sus datos. Termino con un deseo, que las magnitudes de las sanciones económicas en materia de infracciones contra la privacidad de las personas sea una llamada de atención para a quienes tienen la mayor responsabilidad y, por extensión, hacia todos que en su ejercicio o modelo de negocio manejan datos de las personas en Internet, para que adopten en sus procesos la privacidad por defecto.
Rafael Tamames, Miembro del Consejo Asesor de Cremades & Calvo-Sotelo. Socio Fundador de Findasense
