El Comité Europeo de Protección de Datos (EDPD por sus siglas en inglés) ha solicitado que se modifique la decisión que sancionaba a WhatsApp con 225 millones de euros que impuso la autoridad irlandesa de protección de datos. En concreto, en esta solicitud se pide que se revise la decisión en lo relativo a las infracciones de transparencia, el cálculo de la multa y el plazo de cumplimiento de la orden.
Con relación a la transparencia, en la propuesta de decisión sancionadora se identificó una infracción grave de los artículos 12 a 14 del RGPD. En este sentido, el EDPB detectó deficiencias adicionales en la información facilitada, lo que repercute en la capacidad de los usuarios para comprender los intereses legítimos que se persiguen. Por este motivo, el EDPB solicitó que la autoridad irlandesa revisara su resolución y se incluyera una mención a la infracción del artículo 13.1.d): «1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero”. También entiende el EDPB que, en este caso concreto, a la luz de la gravedad y la naturaleza general y el impacto de las infracciones, se ha producido una infracción del principio de transparencia consagrado en el artículo 5, apartado 1, letra a), del RGPD.
Respecto a la recopilación de datos que WhatsApp estaría llevando a cabo cuando los usuarios deciden utilizar la funcionalidad de la función de contacto el procedimiento utilizado por WhatsApp Irlanda no produce la anonimización de los datos personales recopilados.
En cuanto a la multa que el EDPB también solicita que se revisen, se indica que, en cuanto al volumen de negocio de esta empresa, debe considerarse también el volumen de negocios consolidado de la empresa matriz (Facebook Inc.) en el cálculo del volumen de negocios totales atendiendo al 83.1 además del 83.4 del RGPD.