Il 28 luglio, l’EDPB ha adottato una decisione di risoluzione delle controversie sulla base dell’art. 65 GDPR a seguito di un progetto di decisione emesso dall’Autorità Irlandese, in qualità di autorità di vigilanza capofila, in merito a WhatsApp Ireland Ltd. e le successive obiezioni espresse da una serie di autorità di vigilanza interessate. La multa inflitta è così passata da 100 a 225 milioni di euro, la seconda multa inflitta in pochi mesi ad un’azienda tecnologica USA.

A seguito della sua valutazione, l’EDPB ha ritenuto che l’IE SA dovesse modificare il suo progetto di decisione in merito alle violazioni della trasparenza, al calcolo dell’ammenda e al termine per l’esecuzione dell’ingiunzione, andando a individuare tre ulteriori ambiti di violazioni del GDPR non ravvisati nella prima decisione.

Il primo afferisce al tema della trasparenza: il progetto di decisione irlandese aveva già individuato una grave violazione dell’art. 12-13-14 GDPR da parte della società sanzionata, per la quale il nuovo provvedimento dell’EDPB ha individuato ulteriori carenze nelle informazioni fornite, che incidono sulla capacità degli utenti di comprendere gli interessi legittimi perseguiti. Pertanto, l’EDPB ha chiesto all’autorità irlandese di includere una constatazione di violazione dell’art. 13 c.1 lett. d GDPR nella sua decisione.

Inoltre, l’EDPB ha chiarito che, sebbene non ogni violazione dell’art. 12-14 GDPR comporta necessariamente una violazione dell’art. 5 c.1 lett.a GDPR, in questo caso particolare, alla luce della gravità e della natura e dell’impatto generali delle violazioni, si è verificata una violazione del principio di trasparenza.

Il secondo ambito afferisce alla raccolta di dati di non utenti da parte di WhatsApp: in questo caso l’EDPB ha rilevato che la procedura utilizzata da WhatsApp IE non porta all’anonimizzazione dei dati personali raccolti.

Per quanto riguarda infine il terzo ambito di rilievo, relativo al calcolo dell’ammenda , l’EDPB ha deciso che il fatturato di un’impresa non è esclusivamente rilevante per la determinazione dell’importo massimo dell’ammenda (come previsto ex art 83 GDPR), ma può essere preso in considerazione anche per il calcolo della sanzione pecuniaria stessa, per garantire che la sanzione sia efficace, proporzionata e dissuasiva. Ecco perchè l’EDPB ha considerato che il fatturato consolidato della società madre (Facebook Inc.) deve essere incluso nel calcolo del fatturato.

Inoltre, l’EDPB ha fornito per la prima volta chiarimenti sull’interpretazione dell’art. 83(3) GDPR: di fronte a più infrazioni per lo stesso trattamento o per operazioni collegate, tutte le infrazioni dovrebbero essere prese in considerazione nel calcolo dell’importo dell’ammenda, sempre nel rispetto del principio di proporzionalità e dei limiti stabiliti per la stessa.

Il progetto di decisione dell’IE SA includeva inoltre un ordine per rendere conformi le operazioni di trattamento entro un periodo di 6 mesi, che è stato ridotto a soli 3 mesi.