Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

WhatsApp (Facebook): Antecedentes y conclusiones de la multa de 225 millones de euros impuesta por la autoridad irlandesa de protección de datos

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

WhatsApp recibió una multa de 225 millones de euros de la autoridad supervisora irlandesa de todos los lugares. El informe irlandés de 266 páginas de la autora Helen Dixon merece la pena ser leído y es instructivo. Además de un fundado análisis de los procesos en WhatsApp, contiene numerosas conclusiones, incluida una derivada sobre protección de datos.

Actualización 08.09.2025

El denunciante (el ex jefe de seguridad de WhatsApp Attaullah Baig) demanda a Meta por ignorar las vulnerabilidades de seguridad.

Acusaciones de origen kern ligeramente Fuente:

  • Miles de empleados de Meta/WhatsApp tienen acceso a datos confidenciales de los usuarios (fotos de perfil, ubicaciones, contactos)
  • Más de 100.000 cuentas pirateadas al día sin las contramedidas adecuadas
  • Rechazo de las correcciones de seguridad propuestas
  • Represalias y despidos tras advertencias a la dirección de Meta

Baig alega violaciones del acuerdo de privacidad de 2019 de la FTC y de las leyes sobre valores. También notificó a la FTC y la SEC.

Introducción

Las siguientes descripciones y extractos de texto en forma de capturas de pantalla se refieren al informe oficial de la Comisión de Protección de Datos irlandesa del 20.08.2021. La motivación para investigar el escrito fue especialmente la detallada exposición de los hechos. Número de referencias y descripciones muestran con gran impresión cómo se desarrolló el camino de la investigación. Los conocimientos que se derivaron de ello son notables. Por ejemplo, se trata de preguntas sobre

  • Deber de información,
  • la especificación de los destinatarios de los datos,
  • la responsabilidad
  • la identificabilidad de las personas,
  • la referencia personal de los datos y
  • el importe de la multa.
Los pecados de Meta: https://dr-dsgvo.de/meta

Quién quiera saber por qué la autoridad de protección de datos irlandesa utiliza el término piecemeal fashion y qué significa, debe solo pensar en cómo WhatsApp proporciona información. De esta manera se llega rápidamente a „häppchenweise“, una palabra que no aparece en la RGPD y por lo tanto probablemente tampoco es admisible si se deben cumplir las obligaciones de información. Este servir de información en trocitos parece haber sido elegida también por Facebook y Google como táctica para evitar el cumplimiento de leyes durante todo el tiempo posible.

La siguiente afirmación se puede encontrar con bastante frecuencia en el estudio de Helen Dixon, autora del documento en el que se llevó a cabo la evaluación de la protección de datos de WhatsApp.

It is clear that WhatsApp and I fundamentally disagree …

Declaración frecuentemente utilizada por Helen Dixon en su informe como directora de la Autoridad Irlandesa de Protección de Datos.

El autor escribe esto cuando WhatsApp dio una respuesta a las preguntas de la autoridad supervisora que no pareció válida al investigador jefe. Facebook se conoce ahora como Meta. No he seguido este cambio de nombre aquí.

¿Valor hash como dato personal?

En general, en el proceso contra WhatsApp se investiga cómo los usuarios que posiblemente no utilicen WhatsApp son abordados desde un punto de vista de protección de datos. Al registrarse un nuevo usuario en WhatsApp, se informan a sus contactos en la agenda sobre esto. Esto sucede después de una autorización, pero probablemente no es conforme con la RGPD. A estos usuarios en la agenda de un nuevo usuario de WhatsApp se les denomina No usuarios. La notificación se produce de manera invisible mediante una comunicación con la aplicación de WhatsApp y no a través de una notificación visible en el nivel del sistema operativo, al menos que yo sepa.

La notificación a los Non-Users se realiza de la siguiente manera: en un directorio se busca si estos usuarios ya han sido notificados. Para proceder de manera responsable con los datos, no se almacena su número de teléfono en el directorio, sino un valor hash. Este procedimiento se llama Lossy Hashing. Quien desee saber cómo funciona este método de hash, encontrará la siguiente información.

El algoritmo hash de WhatsApp para números de teléfono (margen nº 34).

WhatsApp introduce este valor de hash para números de teléfono para notificar a otros usuarios de WhatsApp mediante la característica Contact Feature cuando un nuevo usuario se une a WhatsApp (Rn. 44h). Se discute también el motivo del enfoque en hash.

Rn 40.

Con el valor hash, probablemente no sea posible sacar conclusiones sobre un usuario concreto. En su lugar, sólo debería ser posible identificar a un grupo de 16 usuarios diferentes.

Rn. 42

Me gustaría señalar que en una sentencia del OGH (Austria) de 18.02.2021 (Az. 6 Ob 127/20z), se consideraron declaraciones de probabilidad sobre preferencias de personas como datos personales, siempre y cuando exista un vínculo con la persona antes de hacer las declaraciones.

Identificabilidad de una persona

Interesante es el entendimiento del artículo citado por la Sra. Dixon de la Article 29 Working Party de la UE, que incluso se menciona en Art. 94 RGPD. Esta agrupación considera que una Persona se considera identificable, cuando puede ser diferenciada de un grupo de otras personas. Esto se expresa en la llamada Opinion 4/2007 del grupo.

párr. 52 (cita secundaria, aquí me ahorro la cita de la fuente original, el "Dictamen 4/207 del "Grupo de trabajo sobre protección de datos del artículo 29").

La identificabilidad como criterio para la existencia de datos personales se menciona en Artículo 4, número 1 RGPD. El Fundamento de Consideración 26 menciona además.

No es necesario que se pueda retroceder concretamente a una persona, por lo que, por ejemplo, un "día fechado" personalizado como la dirección IP, el nombre, la dirección postal o el número de matrícula del vehículo estarían disponibles. En su lugar, basta con que se pueda reconocer a una persona como esa persona y distinguirla de otras personas.

El is übrigens auch el Konzept des Web Tracking. Es interesan a Google & Co menos quién exactamente está detrás del usuario que visita actualmente una página web. Más bien, Google o un anunciante quieren saber si este usuario es el usuario 4711 o otro, para poder utilizar su Perfil del usuario. Pues se sabe de usuario 4711 que es mujer, escucha música de Heavy Metal y compra online con gusto especialidades griegas.

Aunque no se pueda concluir directamente que una persona en particular está siendo referida dentro de un grupo de personas, puede existir identificabilidad de la persona. Esto lo expresa así la Article 29 Working Party.

En concreto, según mi comprensión, significa que también deben ser tenidas en cuenta las informaciones adicionales que no están disponibles, pero podrían obtenerse o estar disponibles pronto. Esto es análogo al fallo del Tribunal de Justicia de la Unión Europea sobre direcciones IP.

En el Rn. 60 y 61 se sigue adelante con lo que ya había establecido el TJUE. A saber, que los datos deben considerarse como personales según el artículo 4, número 1 de la RGPD, incluso si no se puede cerrar directamente ni a través del responsable sobre la persona.

El fundamento jurídico 26 contiene un enfoque basado en riesgos para evaluar si los datos son personales (Párr. 79). Esto también se ve en la sentencia Breyer del TJUE sobre direcciones IP (Párr. 85). En la sentencia Breyer se establece que un vínculo con personas debe asumirse (a menos que se utilice un identificador como una dirección IP o algo similar), si el riesgo de identificación en realidad no puede ser desestimado (Párr. 46).

El considerando 26 establece, entre otras cosas:

Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios que puedan ser utilizados por el responsable del tratamiento o por otra persona para identificar directa o indirectamente a la persona física, como el señalamiento.

Extracto del considerando 26 del RGPD.

Señala allí que se deben considerar la tecnología disponible en el momento de la procesamiento y los avances tecnológicos. En este contexto, a WhatsApp se le imputa que mediante una conocida número telefónica de un Non-Users podrían realizarse búsquedas en Internet o en medios sociales para determinar su identidad (Rn. 83 c).

Se hace un comparativo del valor de hash de WhatsApp de No usuarios con el Sentencia del TJUE sobre direcciones IP (Rn. 70 y 95). La Sra. Dixon establece que el valor de hash para un No usuario junto con su número telefónico, que solo está presente en la memoria durante muy poco tiempo, es un dato personal (Rn. 66 y 110). El número telefónico también se considera un dato personal por parte de ella después de haber sido convertido a un valor de hash.

Muy interesante es el enfoque, testar de partir del supuesto de que la número de teléfono de un Non-User no representa datos personales (Rn.89). La consecuencia sería que este número de teléfono podría ser procesado sin restricciones. Esto parece absurdo y por eso no se puede asumir, lo que confirma el enlace a datos personales (Rn. 90f). Otra aproximación a esta conclusión conduce a Artículo 33 RGPD. Allí se menciona la obligación de informar a una autoridad de control sobre la violación del protección de los datos personales. Una tal notificación no sería posible si los datos en cuestión no fueran personales (Rn. 94). También se establece que WhatsApp tiene el diseño de la aplicación en sus manos y podría haber establecido mecanismos seguros correspondientes. Aquí menciono el Artículo 25 RGPD como referencia.

Basta con que existan posibilidades de identificación de personas y no importa si un responsable puede o quiere utilizar estas posibilidades (Rn. 95). La probabilidad de una identificación no juega ningún papel.

El procesamiento de datos de una número de teléfono de un No usuario se lleva a cabo en los siguientes pasos (Rn. 103):

  1. Acceso al número a través de WhatsApp
  2. Transferencia del número a los servidores de WhatsApp
  3. Formación de un valor Lossy-Hash a partir del número
  4. Supresión irrecuperable del número

A pesar de la eliminación irreparable del número después de un breve período de tiempo, se considera que es personalizado. La recopilación como conservación del número con posible conocimiento se destaca como una importante forma de procesamiento de datos (to collect = recopilar, Rn. 103). Si WhatsApp realmente elimina el número o solo lo afirma, es otra cuestión.

La existencia del tratamiento de datos no depende de restricciones temporales. Incluso los datos que sólo están disponibles durante un periodo de tiempo extremadamente corto se procesan de facto.

Según el párrafo 104 ibid.

Se ejecuta además que un Non-User es inicialmente una persona no identificada más de una en un grupo, pero el objetivo es abordar al individuo Non-User y hacerlo a Usuario, lo cual supone una identificación previa (Nota 92).

La Sra. Dixon acepta que la función de WhatsApp para identificar a los contactos en su libreta de direcciones que también son usuarios de WhatsApp es útil. Por otro lado, ella también observa que WhatsApp mismo se beneficia (Rn. 93). De ahí surge una responsabilidad.

Luego se complica la situación, por lo que solo me detendré brevemente en esto. Debido a nuevas declaraciones de WhatsApp, un matching de usuarios se realiza mediante un nuevo valor hash llamado Notification Hash, y no mediante el Lossy Hash anteriormente discutido. Irlanda y el Comité Europeo de Protección de Datos estaban en desacuerdo sobre la cuestión del vínculo personal de una Non-User número telefónico después de haber sido hashiado. El comité le pidió a Irlanda, según Artículo 65, apartado 6 RGPD, que corrigiera su opinión y admitiera el vínculo personal (Rn. 106ff).

¿Qué es una persona responsable ("controlador")?

Una responsabilidad surge de condiciones facticas y no de condiciones formales (Rn. 119f). El concepto del responsable es, por tanto, un concepto funcional. Para determinar los medios utilizados son tanto preguntas organizativas como técnicas, lo postula la Opinion 1/2010. Quien determina las finalidades es en realidad responsable (Rn. 121). Esto también se aplica, por ejemplo, a la determinación de la duración del almacenamiento de datos o las posibilidades de acceso.

Quién es responsable también puede determinarse por quién inició un proceso o por qué se está llevando a cabo el proceso (párrafo 122 c).

Para determinar si existe responsabilidad, puede realizarse una prueba con diversos criterios. Esto es lo que sugiere Helen Dixon.

En esencial, el concepto de la función del responsable se caracteriza por asignar responsabilidad (Rn. 116). Aquí también se hace referencia a Opinion 1/2010 de la Grupa de artículo 29 (Rn. 118). Según esto, surge responsabilidad cuando una instancia ha decidido procesar datos para sus propios fines.

Las cuestiones importantes para determinar la responsabilidad son (párrafo 141):

  • ¿Qué datos deben tratarse?
  • ¿Cuánto tiempo se almacenarán los datos?
  • ¿Quién debe tener acceso a los datos?

Estas preguntas deben ser respondidas desde la perspectiva de las personas afectadas, una visión amplia sobre la responsabilidad es adecuada en este caso (Rn. 139).

Definir un puesto, en el que se procesen datos personales, aumenta la probabilidad de que ese puesto sea responsable (vgl. Rn. 145 c).

Si un organismo no especifica o no especifica exactamente durante cuánto tiempo se almacenarán los datos, aumenta la posibilidad de que el organismo sea el responsable del tratamiento (véase el apartado 145 d), porque entonces el interesado no tiene ninguna influencia significativa en ello y, por lo tanto, ninguna responsabilidad al respecto.

Quien determina quién tiene acceso a los datos es responsable de los mismos o aumenta las posibilidades de ser responsable del tratamiento de datos (véase el considerando 145 e).

Lo mismo se aplica a la determinación de los medios (apartado 145 f).

Después de todo eso y más, Helen Dixon ve a WhatsApp como Responsable y no como Encargado del Proceso (Rn. 154).

Obligaciones de información de los responsables

Debido a la complementariedad de Art. 13 RGPD y Art. 14 RGPD, la Sra. Dixon ve una significación especial para la obligación de información de las personas afectadas por parte de los responsables (Rn. 173). Se vuelve aún más clara y considera que las obligaciones de información, también debido a Art. 15 Abs. 1 y 2 RGPD, son el fundamento ("cimientos"), sobre el que se encuentran los otros derechos de las personas afectadas (Rn. 174). Porque solo entonces puede una persona afectada entender si y cómo sus datos han sido o serán procesados.

Las informaciones obligatorias sobre el tratamiento de datos que proporciona WhatsApp se han tenido en cuenta en cuanto a su alcance (Rn. 195). Para ello incluso se ha determinado el ámbito aproximado en páginas DIN A4. También se ha determinado el porcentaje de cada uno de los documentos (términos y condiciones, aviso de privacidad, etc.) en relación con el alcance total.

Se ha constatado que una enlace a un documento importante con un texto de enlace como "Aprende más" no es suficiente (Rn. 196f). Se ha valorado críticamente el formato de cada documento (Rn. 198f) y se lo ha comparado con Artículo 12, apartado 1 RGPD. También se ha examinado críticamente la necesidad del desplazamiento de un texto más largo (aproximadamente Rn. 204). WhatsApp incluso admitió que hay necesidad de mejora en la presentación de información obligatoria después de la investigación (Rn. 215f).

En Rn. 224 se señala que las condiciones del mercado o los comportamientos específicos para ciertos segmentos de mercado en relación con la RGPD son irrelevantes. El argumento "todos lo hacen así" no es aplicable. Este falso argumento me ha surgido últimamente en un escrito de defensa de una contraparte del procedimiento. El proceso, en el que pude apoyar como experto al tribunal, sigue en curso.

Una disponibilidad excesiva de información general y una disponibilidad insuficiente de información concreta parece ser desfavorable para la RGPD (Rn. 226).

Comenzando con Rn. 329, la Sra. Dixon explica qué información proporciona WhatsApp en qué forma y considera también las enlaces a documentos adicionales. A partir de Rn. 332 se critican los documentos en su estructura y forma de presentación. También se destaca que existen duplicidades en el contenido y, por otro lado, en algunas partes faltan ejemplos o la lengua es ambigua. Como consecuencia se ve un riesgo de confusión y opacidad (Rn. 336).

Todo se resume de la siguiente manera:

The user should not have to work hard to access the prescribed information; nor should he/she be left wondering if he/she has exhausted all available sources of information and nor should he/she have to try to reconcile discrepancies between the various pieces of information set out in different locations.

Rn. 337 ebd.

Este enfoque se puede aplicar también a los muchos y opacos documentos de Google que surgen al utilizar herramientas como Google reCAPTCHA, Google Maps o el Google Tag Manager. Me alegra la próxima multa importante que espero que reciba Google. Un motivo sería el navegador Chrome. ([1]) ([2]) ([3]) ([4])

Se establece en Ab Rn. 345 que lamentablemente, WhatsApp no ha valorado adecuadamente las Categorías de datos procesados.

En Rn. 355 se utiliza el término "piecemeal" que utilicé como Cliffhanger en mi contribución:

The information has been furnished in a piecemeal fashion that requires the user to link in and out of various different sections of the Privacy Policy as well as the Terms of Service and a comprehensive FAQ entitled “How we work with the Facebook Companies” […].

párr. 355 ibid.

Señala que los avisos de privacidad de WhatsApp están presentados de tal manera que no hay un hilo rojo discernible, ni siquiera un texto único (Rn. 356), y se cita "El usuario no debería tener que trabajar duro para acceder a la información prescrita". Me gustaría hacerle esta acusación a Google. Se vuelve más sencillo debido al asiento de sucursal en Irlanda, pero es probablemente mejor dirigirse a responsables alemanes, quienes no pueden evitar utilizar servicios de Google sin reflexionar, o idealmente comprender las declaraciones de Google y explicármelas dentro de un mes (Art. 12 Abs. 3 RGPD).

En todas sus críticas a las declaraciones de WhatsApp, Helen Dixon señala regularmente que WhatsApp y ella "discrepan fundamentalmente". Al fin y al cabo, esto le vale una multa, aunque no sea dolorosa para Facebook.

Detalles de los destinatarios

Según el artículo 13, apartado 1 de la RGPD y el artículo 14, apartado 1 de la RGPD, se deben nombrar los destinatarios o categorías de destinatarios de datos para cumplir con las obligaciones informativas según el artículo 12 de la RGPD. Se cita a la Gruppo Articolo 29 por la Sra. Dixon en este sentido (Rn. 426). ([1])

El Grupo opina que normalmente deben mencionarse los nombres de los destinatarios porque suele ser la información más significativa a la que tiene derecho el interesado. La persona debe poder saber quién ha recibido o debe recibir sus datos.

Si se nombran categorías de destinatarios, debe hacerse con la mayor precisión posible. Esto también incluye nombrar las actividades de cada categoría de destinatarios.

Personalmente creo que en un solicitud de información según el artículo 15, apartado 1 c de la RGPD, los receptores concretos deben ser nombrados. En particular, esto es aplicable si la persona afectada lo desea explícitamente. Estos receptores deben conocer al responsable finalmente. A la solicitud de información concreta solo puede oponerse que existen razones válidas para justificar la no nominación de algunos receptores. Fuera de un acuerdo de confidencialidad, etc., no puedo imaginarme muchas posibilidades en este sentido. En el artículo 15 mencionado anteriormente he proporcionado algunas fuentes que apoyan mi opinión.

Especificación del periodo de almacenamiento

Según el artículo 5, apartado 1 c y e de la RGPD, son aplicables los principios de minimización de datos y limitación del almacenamiento. En este contexto deben cumplirse las obligaciones de información (artículo 13, apartado 2 a de la RGPD). Especialmente para evaluar si existe un interés legítimo, es importante conocer la duración del almacenamiento de los datos. La Article 29 Working Party se cita en este sentido:

It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.

Extracto del párrafo 468.

Debido a lo anterior, las declaraciones sobre la duración de almacenamiento deben ser tan precisas como sea posible. En el Rn. 469 se hace referencia a que estas declaraciones deben tratarse de informaciones significativas ("meaningful information") con las cuales el lector pueda hacer algo.

En el Rn. 482 se confirma al menos que WhatsApp ha logrado cumplir con las disposiciones de Artículo 13 RGPD en ciertas ocasiones, es decir, en la explicación del derecho a la información. Sin embargo, se observa algo negativo cuando se trata de condiciones para una autorización, ya que son menos fáciles de seguir (Rn. 496).

Una tomada de decisiones automatizada según Artículo 13, apartado 2 f no tiene lugar en WhatsApp, según Rn. 524.

intercambio de datos con otras empresas de Facebook

La parte 3 del documento examina la cuestión de la transparencia en el intercambio de datos de los usuarios entre WhatsApp y las demás empresas de Facebook. Se analizan meticulosamente pasajes concretos de la política de privacidad de WhatsApp para comprobar si cumplen con el RGPD. La cita de estos pasajes es una de las razones de la extensión del documento general de la Sra. Dixon, aunque numerosos debates contribuyen a su longitud.

La Sra. Dixon señala que las empresas de Facebook con las que WhatsApp comparte datos no están suficientemente nombradas (párrafo 577). WhatsApp cree que esto está bien porque el RGPD no lo requeriría (párrafo 581) o sería suficiente si esta información se pudiera encontrar en algún otro lugar en cualquier fuente disponible públicamente.

En Rn. 591f se establece oficialmente que WhatsApp ha fallado en presentar adecuadamente el intercambio de datos con otras empresas de Facebook. Además, se anima a la Sra. Dixon a eliminar las advertencias sobre protección de datos cuestionables, siempre y cuando WhatsApp no pretenda compartir datos con otras empresas de Facebook.

Transparencia del tratamiento

En la parte 4 del documento se discuten preguntas sobre la transparencia en el tratamiento de datos (Rn. 593ff). En este sentido, se centró principalmente en el concepto de transparencia mencionado por la Sra. Dixon Artículo 5, apartado 1 RGPD y las obligaciones de información de los artículos 12, 13 y 14 RGPD.

El EDPB no ve este concepto de transparencia definido en la RGPD, pero aún así dado (Rn. 188). Irlanda fue superada por Europa y tuvo que hacer comparecer a WhatsApp debido a una infracción al Artículo 5, apartado 1 de la RGPD.

Determinación de la multa

De la Parte 5, que trata sobre la posibilidad de imponer una multa, me abstendré de entrar en detalles aquí. Se extiende sorprendentemente a muchas páginas. Al final, el EDPB exige a las autoridades irlandesas que impongan una pena más alta de la prevista (Rn. 807).

La autoridad de protección de datos irlandesa quería imponer inicialmente una multa de 50 millones de euros. Un recurso interpuesto por otras autoridades europeas, incluidas las alemanas, llevó a una multa de 225 millones de euros. Es posible que se le haya impuesto la multa de 50 millones de euros a Irlanda porque la autoridad francesa de protección de datos CNIL impuso una multa igual contra Google por la búsqueda en google.fr (Rn. 809ff).

Si quieres saber cuántos ingresos generaron Facebook (Estados Unidos) y WhatsApp (Irlanda), puedes encontrar la respuesta aquí:

Rn. 881 ebd.

Al fin y al cabo, el volumen de negocios era tan elevado que la multa no superaba el 2 o el 4 % de esta suma. He aquí una estadística (más reciente) que ayuda a estimar el volumen de negocios:

Fuente: https://de.statista.com/themen/1995/whatsapp/. (la imagen se ha traducido automáticamente).

El importe de la multa se compone de varios tramos, que se justificaron del siguiente modo.

Rn. 888 c

El art. 5 Abs. 1 a RGPD condiciona el tratamiento de datos personales "de manera legítima, con lealtad y buena fe y de una manera que sea comprensible para la persona afectada". Parece que WhatsApp no ha logrado esto.

El artículo 12 del RGPD contiene disposiciones sobre las obligaciones de proporcionar información transparente a los interesados, que parecen haber sido infringidas penalmente por WhatsApp.

Art. 13 RGPD se refiere a la información para el tratamiento de datos que se ha procesado en el interesado. Aquí también había lagunas en WhatsApp.

Art. 14 RGPD es análogo a Art. 13 RGPD, con la diferencia de que aquí se trata de datos que no han sido procesados por la persona afectada. En este caso, en particular, hay que mencionar el procedimiento de notificación a Non-Users, que ha sido implementado mediante un método de hash que parece no ser conforme con la protección de datos.

La altura del castigo monetario fue criticada varias veces, ya que para Facebook parece ser un monto bastante bajo. Me imagino que el beneficio económico para Facebook de las operaciones de procesamiento de datos identificadas como infractores es mucho mayor. En fin, es técnicamente casi oro en marketing si la inscripción de un nuevo usuario conduce a que todos los usuarios en su lista de contactos sean explotados de facto.

Observaciones finales

Merece la pena leer las derivaciones y razones expuestas en el documento de Helen Dixon. Aportan ideas y conclusiones interesantes. Como mínimo, muestran cómo puede proceder una investigación oficial. Por ejemplo, se enumeran las investigaciones de las propias autoridades, a las que WhatsApp respondió. Esto llevó a las conclusiones de un empleado ("responsable de la toma de decisiones"), que a su vez fueron analizadas por la propia investigadora jefe, que también tuvo en cuenta las respuestas de WhatsApp.

El argumento de Helen Dixon se basa en lo que me parece una derivación coherente. Si el juicio respectivo es específicamente bueno o malo, correcto o incorrecto, apropiado o tendencioso es otra cuestión.

En cualquier caso, la argumentación está muy orientada hacia las directrices y dictámenes pertinentes, como los del Grupo de Trabajo del Artículo 29, predecesor del EDPB.

Estoy de acuerdo con Helen Dixon en un punto importante: Una persona se considera identificable si puede distinguirse de otras personas. Esta es la opinión del Grupo del Artículo 29.

También interesante

Mensajes clave de este artículo

WhatsApp ha sido multada con 225 millones de euros por infringir la normativa de protección de datos, sobre todo al compartir los datos de sus usuarios con otras empresas.

Aunque un valor hash no identifique directamente a una persona, puede considerarse un dato personal si se utiliza para identificar a una persona dentro de un grupo de personas.

Aunque un número de teléfono no esté directamente vinculado a una persona, puede considerarse un dato personal porque con él es posible identificar a alguien.

WhatsApp procesa los números de teléfono, aunque vayan a ser eliminados, para identificar a los usuarios y mostrarles anuncios.

Quien trate los datos y determine quién tiene acceso a ellos es responsable del cumplimiento del Reglamento General de Protección de Datos (RGPD).

Las políticas de privacidad de WhatsApp y Google son confusas y difíciles de entender para los usuarios.

WhatsApp debe ser más transparente sobre qué datos transmite a quién y durante cuánto tiempo se almacenan.

WhatsApp fue multada con 225 millones de euros por falta de transparencia en el uso y transferencia de datos a otras empresas de Facebook.

La autoridad supervisora de la protección de datos critica a Facebook (WhatsApp) por incumplir las prácticas de protección de datos a la hora de notificar a los no usuarios y considera que la multa es demasiado baja.

Acerca de estas declaraciones fundamentales

Sobre el autor
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.

Vertragsdokumente und Datenschutztexte dürfen von Nichtanwälten erstellt werden