Cosa c’è dietro la maxi sanzione a Whatsapp? Era gennaio di quest’anno quando avevamo pubblicato un articolo che affrontava il momento di delirio della nota piattaforma di messaging che diceva in buona sostanza “o accettate le nostre condizioni o vi gettiamo fuori dall’app“. Avevamo titolato Whatsapp e la schizofrenia privacy. La cura è servita, aggiungiamo adesso. Ma al di là del titolo a sensazione sui milioni da pagare, ci interessa maggiormente capire cosa c’è dietro e cosa implica questo provvedimento del Garante irlandese
La cura
Avevamo, circa un paio di giorni dopo, messo in evidenza tra le nostre news come il Garante per la protezione dei dati personali italiano si fosse per primo mosso per porre una questione di legittimità relativamente a questa posizione della società. A fine agosto è arrivata la decisione finale dell’Autorità irlandese che ha usato il pugno durissimo erogando la sanzione più alta fin qui registrata dall’introduzione del GDPR, 225 milioni di euro. Da notare che l’inchiesta era iniziata ben prima, nel dicembre 2018.
Una cura decisamente drastica per quella che avevamo definito una sorta di schizofrenia che era stata scatenata da Whatsapp medesima, che aveva dato il la alla ricerca di soluzioni alternative alla nota app.
Il provvedimento del Garante irlandese è decisamente corposo, consta di 266 pagine, che argomentano con assoluta dovizia di particolari le ragioni della sanzione. Va anche precisato per dovere di cronaca che lo stesso e la relativa sanzione non erano così pesanti in una prima bozza, ma dopo l’intervento dell’EDPB i numeri sono stati rivisti al rialzo.
Il ruolo dell’EDPB
Ai sensi dell’articolo 65, paragrafo 1, lettera a) del GDPR
1. Al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante nei seguenti casi:
a) se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila e l’autorità capofila di controllo non abbia dato seguito all’obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento;
A tal proposito, le autorità di Germania, Italia, Francia, Ungheria, Olanda, Polonia e Portogallo hanno mosso obiezioni (accolte dal Comitato) circa la bozza di provvedimento stilata dalla Leading Authority irlandese, ai sensi dell’articolo 60 paragrafo 4 del GDPR:
Se una delle altre autorità di controllo interessate solleva un’obiezione pertinente e motivata al progetto di decisione entro un termine di quattro settimane dopo essere stata consultata conformemente al paragrafo 3 del presente articolo, l’autorità di controllo capofila, ove non dia seguito all’obiezione pertinente e motivata o ritenga l’obiezione non pertinente o non motivata, sottopone la questione al meccanismo di coerenza di cui all’articolo 63.
L’EDPB ha quindi emesso una decisione vincolante, che ha obbligato l’Autorità Capofila a rincarare la dose su Whatsapp.
Perché questo provvedimento è importante?
Sì certo, potremmo star qui a parlare della mazzata che finalmente qualcuno ha mollato a una big, di come finalmente si facciano le cose seriamente.
Il rischio da sempre corso dal GDPR e dalle autorità europee preposte alla sua salvaguardia, infatti, era di non avere credibilità. Lo avevamo sollevato più volte questo dubbio, specialmente dopo la sentenza Schrems II che portava con sé la necessità di dare seguito alle parole con un atteggiamento serio e deciso. Fare i duri con i colossi non è mai particolarmente semplice e rifilare loro sanzioni importanti comporta del coraggio. Averlo avuto manda una serie di messaggi.
Messaggio 1. Il GDPR è una cosa seria che va preso seriamente a tutti i livelli grandi e piccoli.
Messaggio 2. Non guardiamo in faccia nessuno proprio perché “vedi Messaggio 1”.
Messaggio 3. Le sanzioni possono diventare molto salate e ve lo dimostriamo immediatamente.
Messaggio 4. Attenti che c’è ancora il famoso 4% che prima o poi verrà applicato.
Insomma, il concetto è che le autorità europee hanno acquisito una maggior credibilità a seguito di questa sanzione perché stanno trasmettendo il giusto segnale, il GDPR non è una burletta non l’abbiamo concepito tanto per far qualcosa.
Perché questo provvedimento è importante? (Bis)
Ma, se ci fermassimo a un mero commento dei numeri della sanzione, limiteremmo di molto il nostro sguardo sulla vicenda.
Dal mio personale punto di vista è proprio tutto il meccanismo di coerenza promosso dall’articolo 63 del GDPR a costituire il passaggio più interessante della vicenda. Quel che emerge è proprio l’aver sanzionato una big ma “non da soli”, aver agito di concerto attraverso l’autorità centrale composta da tutti i garanti europei. Un classico esempio de l’unione fa la forza. Una prova, oltretutto, del buon funzionamento del meccanismo di gestione dei casi complessi con una leading authority che agisce non in solitaria ma aiutata dalle altre autorità garanti.
Messaggio 5. Non potete intimidire un garante magari perché avete la residenza nel suo stato, ci saranno sempre gli altri colleghi a impedire qualsiasi sorta di ricatto.
Messaggio 6. I meccanismi concepiti per la cooperazione tra i garanti europei attraverso il Comitato Europeo per la Protezione dei dati personali funzionano per nettamente e rendono le autorità europee preposte alla salvaguardia del GDPR molto più solide di quanto non sembrasse inizialmente.
La struttura della decisione vincolante
- Ciascuna delle obiezioni portate dalle Supervisor Authority è stata sottoposta a un’attenta analisi per capire se fossero pertinenti e motivate, secondo quanto richiesto dalle linee guida EDPB 09/2020 e dall’articolo 4 del GDPR punto 24;
- Nel documento si affrontano analiticamente tutte le obiezioni mosse dalle varie Autorità Garanti Europee;
- la leading Authority esprime il suo punto di vista in merito;
- Infine l’EDPB esprime il suo punto di vista in merito a pertinenza e motivazioni;
- Segue l’assessment nel merito delle obiezioni;
- La valutazione del Comitato e l’invito, se del caso, a modificare la bozza di decisione;
- Si ripete questa procedura per ciascuna obiezione proposta dalle autorità coinvolte nel caso.
Nel caso di specie quel che emerge in modo molto netto è proprio un posizione sanzionatoria ma non troppo dura da parte della Leading Authority, mentre le altre come si suol dire ci sono andate giu pesanti. Questo atteggiamento rende ancora più importante il meccanismo di coerenza e le decisioni vincolanti dell’EDPB.
Le colpe di Whatspp
Quali sono in sintesi gli errori commessi dalla notissima applicazione di messaggistica istantanea? La struttura degli errori è molto articolata. Dedicheremo un articolo specifico solo a questa analisi, che secondo me è di assoluta importanza anche nella quotidianità delle consulenze. Ma, in estrema sintesi, Whatsapp ha gestito in modo a dir poco discutibile le informative. Violando gli articoli 13 e 14, come conseguenza, si è anche verificata l’impossibilità per i soggetti interessati di poter fare valere i diritti sanciti dagli articoli da 15 a 22 del GDPR.
Ma come detto la situazione è molto articolata e merita un approfondimento dedicato.
E qui mi permetto un personalissimo commento derivante dalla lettura di un certo qual numero di informative “americane“, la cui chiarezza è simile a quella riscontrata in questa specifica situazione. Fossi in Apple, Google, Amazon e soci correrei dai consulenti europei non americani e mi farei fare delle informative un attimo più centrate.
In conclusione
Poco ce ne cale dei 225 milioni di sanzione, per quanto a noi sembrino un’enormità a Whatsapp non cambiano la vita, ci interessa che le autorità europee abbiano agito di concerto in un contesto a elevato coefficiente di difficoltà e abbiano portato a casa i messaggi di cui sopra e un generale rafforzamento del ruolo delle istituzioni comunitarie nel contesto del GDPR.