Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

WhatsApp (Facebook): Retroscena e conclusioni sulla multa di 225 milioni di euro comminata dall'autorità irlandese per la protezione dei dati personali

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Articolo in formato PDF
📄 Articolo in formato PDF (solo per gli abbonati alla newsletter)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

WhatsApp ha ricevuto una multa di 225 milioni di euro dall'autorità di vigilanza irlandese. La memoria irlandese di 266 pagine, redatta dall'autrice Helen Dixon, merita di essere letta e istruttiva. Oltre a un'analisi ben fondata dei processi di WhatsApp, contiene numerose conclusioni, tra cui una derivazione sulla protezione dei dati.

Aggiornamento 08.09.2025

L'informatore (l'ex capo della sicurezza di WhatsApp Attaullah Baig) fa causa a Meta per aver ignorato le vulnerabilità di sicurezza.

Sospetti di Kern voriti a Fonte:

  • Migliaia di dipendenti di Meta/WhatsApp hanno accesso ai dati sensibili degli utenti (immagini del profilo, posizioni, contatti)
  • Oltre 100.000 account violati ogni giorno senza adeguate contromisure
  • Rifiuto delle correzioni di sicurezza proposte
  • Ritorsioni e licenziamenti dopo gli avvertimenti alla leadership di Meta

Baig denuncia violazioni dell'accordo sulla privacy della FTC del 2019 e delle leggi sui titoli. Ha inoltre informato la FTC e la SEC.

Introduzione

Le descrizioni e i estratti di testo in forma di screenshot che seguono si riferiscono al rapporto ufficiale dell'autorità irlandese per la protezione dei dati del 20.08.2021. La motivazione per l'indagine sul verbale era soprattutto la dettagliata esposizione delle argomentazioni. Numerose citazioni e descrizioni mostrano in modo impressionante come si svolse il percorso dell'indagine. Le conseguenti scoperte sono notevoli. Si tratta, ad esempio, di domande su

  • Obbligo di fornire informazioni,
  • la specificazione dei destinatari dei dati,
  • la responsabilità
  • l'identificabilità delle persone,
  • il riferimento personale dei dati e
  • l'importo della multa.
I peccati di Meta: https://dr-dsgvo.de/meta

Chi vuole sapere perché l'autorità irlandese per la protezione dei dati ha utilizzato il termine piecemeal fashion e cosa significa, deve solo riflettere su come WhatsApp fornisce le informazioni. In questo modo si arriva rapidamente a „häppchenweise“, un termine che non compare nella GDPR e quindi probabilmente non è ammissibile se si devono soddisfare gli obblighi di informazione. Questo servizio di informazioni in piccoli pezzi sembra essere stata scelta anche da Facebook e Google come tattica per evitare il più a lungo possibile la legge.

La seguente affermazione si trova abbastanza frequentemente nello studio di Helen Dixon, autrice del documento in cui è stata effettuata la valutazione della protezione dei dati di WhatsApp.

It is clear that WhatsApp and I fundamentally disagree …

Affermazione spesso utilizzata da Helen Dixon nella sua relazione come responsabile dell'Autorità irlandese per la protezione dei dati.

L'autore scrive questo quando WhatsApp ha dato una risposta alle domande dell'autorità di vigilanza che non è sembrata valida all'investigatore capo. Facebook è ora conosciuto come Meta. Non ho seguito questo cambio di nome qui.

Valore hash come dato personale?

In generale, nel processo contro WhatsApp si sta investigando su come gli utenti che potrebbero non utilizzare WhatsApp vengano trattati in base alla normativa sulla protezione dei dati. Registrandosi infatti un nuovo utente a WhatsApp, i contatti nel suo rubrica vengono informati di ciò. Ciò avviene presumibilmente con il consenso, ma presumibilmente non conformemente al GDPR. Gli utenti nella rubrica di un nuovo utente di WhatsApp vengono denominati Non utenti. La notifica si verifica in modo invisibile attraverso una comunicazione con l'applicazione di WhatsApp e non attraverso una notifica visibile a livello del sistema operativo, per quanto ne so.

La notifica agli Non-Users avviene in questo modo: si controlla un elenco per vedere se questi utenti sono già stati informati. Per rispettare la privacy, non viene memorizzata la loro numero di telefono nell'elenco, ma un valore hash. Questo procedimento viene chiamato Lossy Hashing. Chi vuole sapere come funziona questo algoritmo di hashing, troverà le seguenti informazioni.

L'algoritmo di hashing di WhatsApp per i numeri di telefono (margine n. 34).

WhatsApp introduce questo valore hash per numeri di telefono, al fine di avvisare gli altri utenti di WhatsApp tramite la Feature dei contatti, quando un nuovo utente si iscrive a WhatsApp (v. 44h). La ragione dell'approccio con il hash viene discussa.

Rn 40.

Con il valore hash, probabilmente non è possibile trarre conclusioni su un utente specifico. Dovrebbe invece essere possibile trarre conclusioni solo su un gruppo di 16 utenti diversi.

Rn. 42

Per quanto riguarda ciò, si tenga presente da parte mia che in un'ordinanza del OGH (Austria) del 18.02.2021 (n. 6 Ob 127/20z), sono state considerate anche affermazioni di probabilità sui preferiti delle persone come dati personali, a condizione che il riferimento alle persone sia presente prima che le affermazioni siano state fatte.

Identificabilità di una persona

Interessante è la comprensione dell'articolo citato dalla signora Dixon, il Working Party 29 della UE, che addirittura viene menzionato in Art. 94 GDPR. Questo gruppo ritiene come me: Una persona si considera identificabile, se può essere distinta da un'altra gruppo di persone. Ciò è espresso nella cosiddetta Opinion 4/2007 del gruppo.

par. 52 (citazione secondaria, qui mi risparmierò la citazione della fonte originale, il "Parere 4/207 del "Gruppo di lavoro articolo 29 sulla protezione dei dati").

La identificabilità come criterio per l'esistenza di dati personali è indicata in Art. 4 n. 1 GDPR. La motivazione 26 cita ulteriormente.

È quindi non necessario che si possa rispondere concretamente a una persona, in modo da ad esempio un "duro" data personale come l'indirizzo IP , il nome, l'indirizzo postale o la targa del veicolo sia presente. Invece basta che una persona possa essere riconosciuta come quella persona e distinguersi dalle altre persone.

Questo è anche il concetto del Web Tracking. A Google & Co interessa meno chi esattamente si nasconde dietro l'utente che sta visitando una pagina web in quel momento. Piuttosto, Google o un inserzionista vuole sapere se questo utente sia l'utente 4711 o un altro, per poter utilizzare il suo profilo dell'utente. Poiché si sa di utente 4711 che è femmina, ascolta musica Heavy Metal e compra online spesso specialità greche.

Anche se non si può dire direttamente che una persona specifica in un gruppo di persone è intesa, potrebbe essere identificabile la persona. Ciò lo esprime la Article 29 Working Party.

In concreto, ciò significa, secondo la mia comprensione, che anche le informazioni aggiuntive non disponibili devono essere prese in considerazione, sebbene potrebbero essere reperite o diventare disponibili presto. Ciò è analogo all'sentenza del Tribunale di Giustizia dell'Unione Europea sui indirizzi IP.

Nel Rn. 60 e 61 si prosegue con quanto stabilito già dal Tribunale di giustizia dell'Unione europea, ovvero che i dati debbano essere considerati come personali ai sensi Art. 4 n.1 GDPR, anche se non possono essere collegati direttamente o attraverso il responsabile alla persona in questione.

Il motivo di considerazione 26 contiene un approccio basato sul rischio per valutare se i dati siano personali (par. 79). Ciò è anche visto nel Breyer-sentenza del Tribunale di giustizia dell'Unione europea per le IP-Indirizzi (par. 85). Nella sentenza Breyer si afferma che un collegamento con una persona deve essere considerato (se viene utilizzato un identificatore come un indirizzo IP o qualcos'altro), se il rischio di identificazione non può essere effettivamente trascurato (par. 46).

Il considerando 26 stabilisce, tra l'altro, che:

Per determinare se una persona fisica è identificabile, occorre tenere conto di tutti i mezzi che possono essere utilizzati dal responsabile del trattamento o da un'altra persona per identificare direttamente o indirettamente la persona fisica, come ad esempio l'individuazione.

Estratto dal considerando 26 del GDPR.

Si aggiunge che lì si tiene conto della tecnologia disponibile al momento del trattamento e delle sviluppo tecnologici. In questo contesto, WhatsApp viene sottoposto all'accusa di poter essere utilizzato per cercare informazioni online o sui social media attraverso una nota numero telefonico di un Non-Users (paragrafo 83 c).

Si fa un confronto tra il valore hash di WhatsApp dei Non-Users con la sentenza del Tribunale europeo sui indirizzi IP (Rn. 70 e 95). La signora Dixon osserva che il valore hash per un Non-User insieme al suo numero telefonico, disponibile solo per un breve periodo nel cache, rappresenta un dato personale (Rn. 66 e 110). Il numero di telefono viene anche considerato un dato personale dopo essere stato trasformato in un valore hash.

Il approccio è molto interessante, testualmente da considerare, che il numero di telefono di un Non-User non rappresenti dati personali (Rn.89). La conseguenza sarebbe che questo numero potrebbe essere trattato senza limitazioni. Ciò sembra assurdo e quindi non è da supporre, confermando così l'attribuzione personale (Rn. 90f). Un altro approccio a questa scoperta porta attraverso Art. 33 GDPR. Lì è menzionata l'obbligo di segnalare alla autorità di controllo la violazione della protezione dei dati personali. Una tale segnalazione non sarebbe possibile, se i dati in questione non fossero personali (Rn. 94). Inoltre si osserva che WhatsApp ha il controllo sul design dell'applicazione stessa e quindi avrebbe potuto stabilire meccanismi di sicurezza adeguati. Ecco citato Art. 25 GDPR come riferimento.

Basta che ci siano possibilità di identificazione delle persone e non è importante se un responsabile possa o voglia utilizzarle (Rn. 95). La probabilità di identificazione non conta quindi nulla.

La trattazione dei dati di una numerazione telefonica di un Non-User avviene nei seguenti passaggi (Rn. 103):

  1. Accesso al numero tramite WhatsApp
  2. Trasferimento del numero ai server WhatsApp
  3. Formazione di un valore Lossy-Hash dalla numerazione
  4. Cancellazione irrecuperabile del numero

Nonostante la cancellazione irreversibile del numero dopo un periodo di tempo molto breve, esso viene considerato personale. La raccolta come conservazione del numero con possibile conoscenza viene sottolineata come importante forma di elaborazione dei dati (to collect = raccogliere, Rn. 103). Se WhatsApp cancella effettivamente il numero o lo dichiara solo, è un'altra questione.

L'esistenza del trattamento dei dati non dipende da restrizioni temporali. Anche i dati che sono disponibili solo per un periodo di tempo estremamente breve sono di fatto trattati.

Secondo il paragrafo 104 ibid.

Inoltre si esegue l'operazione di identificare un Non-User come una persona non meglio specificata in un gruppo di molte persone. L'obiettivo è però quello di rivolgersi all'individuo Non-User e di renderlo un Utente, il che richiede una precedente identificazione (Rn. 92).

La signora Dixon accetta che la funzione di WhatsApp per riconoscere quali contatti nel proprio rubrica sono anche utenti di WhatsApp sia utile. Al contrario, tuttavia, si rende conto che WhatsApp stesso ne beneficia (Rn. 93). Da ciò deriva una responsabilità.

Quando ciò accade, le cose si complicano e quindi mi limiterò a un breve commento. A causa di nuove informazioni fornite da WhatsApp, il matching degli utenti avviene tramite un nuovo valore hash chiamato Notification Hash, anziché attraverso il precedente Lossy Hash. L'Irlanda e l'European Data Protection Board (Ausschuss per la protezione dei dati europei) non erano d'accordo sulla questione della persona a cui si riferisce un numero di telefono non associato a un utente dopo aver applicato il hash. Il consiglio ha richiesto all'Irlanda, in base Art. 65 Abs. 6 GDPR, di correggere la sua opinione e ammettere che si tratta di una persona (Rn. 106ff).

Che cos'è un controllore?

Una responsabilità deriva da condizioni di fatto e non da condizioni formali (Rn. 119f). Il concetto del responsabile è quindi un concetto funzionale. Per la determinazione dei mezzi utilizzati sono da porre sia domande organizzative che tecniche, come postula l' Opinion 1/2010. Chi determina gli scopi, è di fatto responsabile (Rn. 121). Ciò vale ad esempio anche per la determinazione della durata di archiviazione dei dati o le possibilità di accesso.

La responsabilità può essere determinata anche da chi ha avviato un processo o dal motivo per cui il processo si sta svolgendo (par. 122 c).

Per determinare l'esistenza di una responsabilità, si può effettuare un test su vari criteri. Questo è quanto suggerisce Helen Dixon.

Il concetto di ruolo di un responsabile si distingue in particolare per l'attribuzione della responsabilità (Rn. 116). Si fa riferimento anche a Opinion 1/2010 della Gruppo articolo 29 (Rn. 118). Secondo ciò, si verifica la responsabilità quando un organismo ha deciso di trattare i dati per scopi propri.

Le questioni importanti per determinare la responsabilità sono (par. 141):

  • Quali dati devono essere elaborati?
  • Per quanto tempo verranno conservati i dati?
  • Chi deve avere accesso ai dati?

Queste domande sono da rispondere in senso delle persone coinvolte, una visione estesa sulla responsabilità è qui appropriata (Rn. 139).

Scegli una posizione, per la quale si desiderano elaborare dati personali, aumenta le probabilità che tale posizione sia quella responsabile (cfr. Rn. 145 c).

Se un ente non specifica o non specifica esattamente per quanto tempo i dati saranno conservati, aumenta la possibilità che l'ente sia il responsabile del trattamento (cfr. par. 145 d), perché l'interessato non ha alcuna influenza significativa su questo aspetto e quindi nessuna responsabilità.

Chi determina chi ha accesso ai dati ne è responsabile o aumenta la possibilità di essere il responsabile del trattamento dei dati (cfr. considerando 145 e).

Lo stesso vale per la determinazione dei mezzi (paragrafo 145 f).

Dopo tutto ciò e altro ancora, Helen Dixon considera WhatsApp come Responsabile e non come Fornitore di Servizi (Rn. 154).

Obblighi di informazione dei responsabili

A causa della complementarità di Art. 13 GDPR e Art. 14 GDPR, la signora Dixon ritiene che ci sia una significanza particolare per l'obbligo di informazione delle persone interessate da parte dei responsabili (Rn. 173). La considera addirittura ancora più chiara e vede gli obblighi di informazione, anche in base a Art. 15 comma 1 e 2 GDPR, come fondamento ("roccia"), su cui si trovano gli altri diritti delle persone interessate (Rn. 174). Infatti solo allora una persona interessata può capire se e in che modo sono state o saranno trattate le sue informazioni.

Le informazioni obbligatorie sulla gestione dei dati fornite da WhatsApp sono state prese in considerazione per la loro ampiezza (Rn. 195). Per questo è stato addirittura determinato l'ampiezza approssimativa in pagine DIN A4. Inoltre, è stato determinato il percentuale di ogni singolo documento (condizioni d'uso, avvertimento sulla protezione dei dati ecc.) sul totale dell'ampiezza in percentuali.

È stato stabilito che un collegamento a un importante documento con un testo del link come "Saperne di più" non appare sufficiente (Rn. 196f). Il formato dei singoli documenti è stato criticamente valutato (Rn. 198f) e messo in relazione con Art. 12 comma 1 GDPR. Anche la necessità del scorrere di un testo più lungo è stata criticata (circa Rn. 204). WhatsApp aveva ammesso, dopo l'indagine, che esiste bisogno di miglioramento nella fornitura delle informazioni obbligatorie (Rn. 215f).

In Rn. 224 si osserva che condizioni di mercato o comportamenti specifici per determinati segmenti di mercato in relazione alla GDPR sono irrilevanti. L'argomento "tutti lo fanno" non vale. Questo apparente argomento mi è stato presentato ultimamente in un atto difensivo di una parte contraria all'applicazione. Il procedimento, nel quale ho potuto supportare la mia parte come esperto in tribunale, è ancora in corso.

Una fornitura eccessiva di informazioni generali e insufficiente di informazioni concrete sembra essere in contrasto con la GDPR (Rn. 226).

Iniziando dal n. 329, la signora Dixon spiega quali informazioni WhatsApp fornisce in quale forma e considera anche i collegamenti a ulteriori documenti. A partire dal n. 332 vengono criticati i documenti per struttura e modalità di presentazione. Inoltre si sottolinea che ci sono doppi sensi contenutistici e, al contrario, in alcuni punti mancano esempi o la linguaggio è ambiguo. Come conseguenza si vede un rischio di confusione e opacità (n. 336).

Il tutto si riassume come segue:

The user should not have to work hard to access the prescribed information; nor should he/she be left wondering if he/she has exhausted all available sources of information and nor should he/she have to try to reconcile discrepancies between the various pieces of information set out in different locations.

Rn. 337 ebd.

Questo approccio può essere applicato anche ai numerosi e intransparenti documenti di Google che si presentano quando si utilizzano strumenti come Google reCAPTCHA, Google Maps o il Google Tag Manager. Spero che presto Google riceverà un nuovo grande ammenda, ad esempio per il Chrome Browser. ([1]) ([2]) ([3]) ([4])

Si osserva (Ab Rn. 345) che purtroppo WhatsApp non ha sufficientemente valorizzato le categorie dei dati trattati.

Nel Rn. 355 viene utilizzato il termine "piecemeal", che ho usato in cima al mio contributo come Cliffhanger:

The information has been furnished in a piecemeal fashion that requires the user to link in and out of various different sections of the Privacy Policy as well as the Terms of Service and a comprehensive FAQ entitled “How we work with the Facebook Companies” […].

Paragrafo 355 ibidem.

Si fa notare che le informazioni sulla privacy di WhatsApp sono così presentate che non è possibile riconoscere un filo conduttore, figurativamente parlando, non c'è neanche un singolo testo complessivo (Rn. 356), e si aggiunge "The user should not have to work hard to access the prescribed information". Vorrei portare questo rimprovero a Google. Inoltre, a causa della sede irlandese, è più probabile che si rivolga ai responsabili tedeschi, che non possono fare altrimenti che utilizzare servizi di Google senza riflessione, o idealmente hanno capito le spiegazioni di Google e possono spiegarle a me entro un mese (Art. 12 Abs. 3 GDPR).

In tutte le sue recensioni delle dichiarazioni di WhatsApp, Helen Dixon nota regolarmente che WhatsApp e lei sono "fondamentalmente in disaccordo". Dopotutto, questo vale una multa per lei, anche se non una multa dolorosa per Facebook.

Specifica dei destinatari

Secondo l'articolo 13, comma 1 della GDPR e l'articolo 14, comma 1 della GDPR , gli eventuali destinatari o le categorie di destinatari dei dati devono essere nominati per adempiere agli obblighi informativi previsti dall'articolo 12 della GDPR . La Gruppo Articoli 29 viene citato da signora Dixon in questo senso (Rn. 426). ([1]) ([2]) ([3]) ([4])

Il Gruppo scrive che i nomi dei destinatari dovrebbero di solito essere menzionati perché questa è di solito l'informazione più significativa a cui una persona interessata ha diritto. L'interessato dovrebbe essere in grado di sapere chi ha ricevuto o dovrebbe ricevere i suoi dati.

Se si nominano categorie di destinatari, occorre farlo nel modo più preciso possibile. Questo include anche la denominazione delle attività di ciascuna categoria di destinatari.

Sono personalmente dell'opinione che almeno con un richiesta di informazioni secondo art. 15, comma 1 c GDPR, i ricevitori specifici debbano essere nominati. In particolare, ciò vale in via di principio se la persona interessata lo richiede esplicitamente. Questi ricevitori devono essere noti al responsabile. Al richiesta di informazioni concreta può probabilmente opporsi solo il fatto che validi motivi giustifichino l'omissione della nomina dei singoli ricevitori. Oltre a un accordo di riservatezza o simili, non riesco a immaginare molte altre possibilità in questo senso. Nell'articolo 15 appena citato ho fornito alcune fonti che supportano la mia opinione.

Specifica del periodo di conservazione

Secondo l'articolo 5, comma 1, lettere c e e del Regolamento UE n. 2016/679 (GDPR) valgono i principi di minimizzazione dei dati e limitazione della conservazione. In questo contesto devono essere soddisfatte le obbligazioni informative (articolo 13, comma 2, lettera a del GDPR). In particolare per la valutazione se esiste un interesse legittimo è importante conoscere la durata di conservazione dei dati. La Working Party Article 29 viene citata in questo senso ([1]) :

It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.

Estratto dal paragrafo 468.

Demnach devono essere fornite informazioni sulla durata di archiviazione il più possibile precise. In Rn. 469 si fa riferimento al fatto che queste informazioni debbono essere informazioni significative ("meaningful information") con cui il lettore possa fare qualcosa.

Nel Rn. 482 si conferma comunque che WhatsApp è riuscito a soddisfare le prescrizioni dell'art. 13 GDPR, ovvero in materia di diritto all'accesso alle informazioni. Tuttavia, quando si tratta di norme più difficili da rispettare, come le Condizioni per una dichiarazione di consenso, si rileva nuovamente un aspetto negativo (Rn. 496).

Una decisione di prevenzione secondo Art. 13 comma 2 f non si verifica in base alla nota 524 su WhatsApp.

Scambio di dati con altre società di Facebook

La terza parte del documento esamina la questione della trasparenza nella condivisione dei dati degli utenti tra WhatsApp e le altre società di Facebook. I singoli passaggi testuali dell'informativa sulla privacy di WhatsApp sono analizzati meticolosamente per verificarne la conformità al GDPR. La citazione di questi passaggi è una delle ragioni della lunghezza del documento complessivo della Dixon, anche se numerose discussioni contribuiscono alla sua lunghezza.

La signora Dixon osserva che le società di Facebook con cui WhatsApp condivide i dati non sono sufficientemente nominate (paragrafo 577). WhatsApp ritiene che ciò vada bene perché il GDPR non lo richiederebbe (par. 581) o che sarebbe sufficiente trovare queste informazioni da qualche altra parte in fonti disponibili al pubblico.

Nel Rn. 591f viene ufficialmente stabilito che WhatsApp ha fallito nell'illustrare adeguatamente lo scambio di dati con altri aziende Facebook. Inoltre, la signora Dixon incoraggia WhatsApp a eliminare le informazioni sulla protezione dei dati discutibili, a meno che WhatsApp non abbia l'intenzione di scambiare dati con altre società Facebook.

Trasparenza del trattamento

Nel quarto capitolo del documento vengono discusse le domande sulla trasparenza della trattazione dei dati (Rn. 593ff). In questo contesto si è concentrato soprattutto sul concetto di trasparenza da parte della signora Dixon citata in Art. 5 comma 1 GDPR e sui doveri informativi degli articoli 12, 13 e 14 GDPR.

Il EDPB non vede questo concetto di trasparenza così definito nella GDPR, ma comunque dato (Rn. 188). L'Irlanda è stata sconfitta dall'Europa e ha dovuto obbligare WhatsApp a causa di un violazione dell'art. 5 comma 1 della GDPR.

Determinazione dell'ammenda

Da parte del capitolo 5, che affronta la possibilità di applicare una sanzione pecuniaria, mi asterrò dal fornire dettagli. Si estende per mia sorpresa su molte pagine. Alla fine il EDPB richiede all'autorità irlandese di emettere un'ammenda più alta di quella prevista (Rn. 807).

La Commissione irlandese per la protezione dei dati personali voleva inizialmente comminare a Google una sanzione di 50 milioni di euro. Un ricorso presentato da altre autorità europee, tra cui quella tedesca, ha portato il valore della sanzione a 225 milioni di euro. Forse la Commissione irlandese ha deciso per questa cifra più bassa perché la Commissione francese per la protezione dei dati personali (CNIL) aveva comminato una sanzione identica a Google per l'utilizzo della sua search engine in Francia, google.fr (Rn. 809ff).

Se volete sapere quante entrate hanno generato Facebook (USA) e WhatsApp (Irlanda), potete trovare la risposta qui:

Rn. 881 ebd.

In fin dei conti, il fatturato era così alto che la multa non superava il 2 o il 4% di questa somma. Ecco una statistica (più recente) che aiuta a stimare il fatturato:

Fonte: https://de.statista.com/themen/1995/whatsapp/. (l'immagine è stata tradotta automaticamente).

L'importo della multa è composto da diverse rate, giustificate come segue.

Rn. 888 c

L'art. 5, comma 1, lettera a) del GDPR condiziona la trattazione dei dati personali " in modo legittimo, con buona fede e in una maniera trasparente per la persona interessata". Questo sembra non essere stato fatto da WhatsApp.

L'art. 12 del GDPR contiene disposizioni sull'obbligo di fornire informazioni trasparenti agli interessati, che sembrano essere state violate penalmente da WhatsApp.

L'art. 13 del GDPR riguarda le informazioni per il trattamento dei dati che sono stati elaborati presso l'interessato. Anche in questo caso si sono riscontrate delle lacune in WhatsApp.

Art. 14 GDPR è analogo all'art. 13 GDPR, ma qui si tratta di dati che non sono stati elaborati dalla persona interessata. In particolare, va menzionato il procedimento di notifica a Non-Users, che è stato implementato con un metodo di hash apparentemente non conforme al regolamento sulla protezione dei dati.

L'entità del risarcimento è stata criticata più volte, poiché per Facebook il valore appare piuttosto basso. Sospetto credo che l'utilizzo economico per Facebook dei dati trattati in violazione sia stato molto superiore. In ogni caso è marketing-technisch quasi oro se la registrazione di un nuovo utente porta a sfruttare tutti gli altri utenti nel suo rubrica effettivamente.

Osservazioni conclusive

Le derivazioni e le motivazioni fornite nel documento di Helen Dixon meritano sicuramente di essere lette. Portano a intuizioni e realizzazioni interessanti. Come minimo, però, mostrano come può procedere un'indagine ufficiale. Ad esempio, vengono elencate le indagini delle autorità stesse, alle quali WhatsApp ha risposto. Ciò ha portato alle conclusioni di un dipendente ("decision maker"), che a loro volta sono state analizzate dall'investigatore capo stesso, che ha tenuto conto anche delle risposte di WhatsApp.

L'argomentazione di Helen Dixon si basa su una derivazione a mio avviso coerente. Se il rispettivo giudizio sia specificamente buono o cattivo, giusto o sbagliato, appropriato o distorto è un'altra questione.

In ogni caso, l'argomentazione è molto orientata alle linee guida e ai pareri pertinenti, come quelli del Gruppo di lavoro Articolo 29, il predecessore dell'EDPB.

Sono d'accordo con Helen Dixon su un punto importante: Una persona è considerata identificabile se può essere distinta da altre persone. Questa è l'opinione del Gruppo Articolo 29.

Interessante anche

Messaggi chiave di questo articolo

WhatsApp è stata multata per 225 milioni di euro per aver violato le norme sulla protezione dei dati, in particolare per la condivisione dei dati degli utenti con altre aziende.

Anche se un valore hash non identifica direttamente una persona, può essere considerato un dato personale se viene utilizzato per identificare una persona all'interno di un gruppo di persone.

Anche se un numero di telefono non è direttamente collegato a una persona, può comunque essere considerato un dato personale perché con esso è possibile identificare qualcuno.

WhatsApp elabora i numeri di telefono, anche se devono essere cancellati, per identificare gli utenti e mostrare loro annunci pubblicitari.

Chi elabora i dati e stabilisce chi può accedervi è responsabile della conformità al Regolamento generale sulla protezione dei dati (GDPR).

Le politiche sulla privacy di WhatsApp e Google sono confuse e difficili da capire per gli utenti.

WhatsApp deve essere più trasparente su quali dati trasmette a chi e per quanto tempo vengono conservati.

WhatsApp è stata multata per 225 milioni di euro per mancanza di trasparenza nell'uso e nel trasferimento dei dati ad altre società di Facebook.

L'autorità di vigilanza sulla protezione dei dati critica Facebook (WhatsApp) per le pratiche non conformi alla protezione dei dati nella notifica ai non utenti e ritiene che la multa sia troppo bassa.

A proposito di queste affermazioni fondamentali

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Vertragsdokumente und Datenschutztexte dürfen von Nichtanwälten erstellt werden