WhatsApp limitado en Alemania

Nota publicada en techrunch.com

La controvertida actualización de la política de privacidad de WhatsApp ha causado una confusión generalizada en todo el mundo desde que se anunció, y Facebook ya ha sido retrasada durante varios meses después de que una importante reacción de los usuarios viera a sus rivales que las aplicaciones de mensajería se beneficiaban de una afluencia de usuarios enojados.

El gobierno indio también ha tratado de bloquear los cambios en los términos y condiciones de WhatApp en los tribunales, y la autoridad antimonopolio del país está investigando.

A nivel global, los usuarios de WhatsApp tienen hasta el 15 de mayo para aceptar los nuevos términos (después de lo cual el requisito de aceptar la actualización de T&Cs se volverá persistente, según aWhatsApp FAQ).

La mayoría de los usuarios a los que se les han empujado los términos ya los han aceptado, según Facebook, aunque no ha revelado qué proporción de usuarios es.

Pero la intervención del DPA de Hamburgo podría retrasar aún más el despliegue de los T&C de Facebook, al menos en Alemania, ya que la agencia ha utilizado un procedimiento de urgencia, permitido por el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, para ordenar al gigante tecnológico que no comparta los datos durante tres meses.

Un portavoz de WhatsApp cuestionó la validez legal de la orden de Hamburgo, llamándola “un malentendido fundamental del propósito y efecto de la actualización de WhatsApp” y argumentando que “por lo tanto no tiene una base legítima”.

“Nuestra reciente actualización explica las opciones que la gente tiene para enviar mensajes a un negocio en WhatsApp y proporciona más transparencia sobre cómo recopilamos y utilizamos los datos. Como las afirmaciones del DPA de Hamburgo son erróneas, la orden no afectará el despliegue continuo de la actualización. Seguimos plenamente comprometidos a ofrecer comunicaciones seguras y privadas para todos”, agregó el portavoz, sugiriendo que WhatsApp, propiedad de Facebook, puede tener la intención de ignorar la orden.

Entendemos que Facebook está considerando sus opciones para apelar el procedimiento de Hamburgo.

Los poderes de emergencia que Hamburg está utilizando no pueden extenderse más allá de tres meses, pero la agencia también está presionando al Consejo Europeo de Protección de Datos (EDPB) para que intervenga y tome lo que llama “una decisión vinculante” para el bloque de 27 Estados miembros.

Nos hemos puesto en contacto con el EDPB para preguntar qué acción, si la hubiera, podría tomar en respuesta al llamado del DPA de Hamburgo.

El organismo no suele participar en la toma de decisiones vinculantes del RGPD relacionadas con quejas específicas, a menos que los DPA de la UE no puedan ponerse de acuerdo sobre un proyecto de decisión del RGPD que se les presente para su revisión por una autoridad supervisora principal en virtud del mecanismo de ventanilla única para el tratamiento de casos transfronterizos.

En tal escenario, el EDPB puede emitir un voto decisivo, pero no está claro que un procedimiento de urgencia califique.

Actualización: El EDPB confirmó que el GDPR permite que una autoridad de supervisión que le ha notificado la decisión de adoptar medidas provisionales de conformidad con el artículo 66 solicite un dictamen urgente o una decisión vinculante urgente del Consejo, como en el caso de que el DPA quiera extender las medidas o hacerlas definitivas.

“El artículo 66 es una derogación del mecanismo de ventanilla única del RGPD (artículo 60) y el mecanismo de coherencia (artículo 63)”, nos dijo una portavoz del EDPB. “Es un procedimiento complementario que puede utilizarse cuando una autoridad de control considere que existe una necesidad urgente de actuar para proteger los derechos y libertades de los interesados dentro de su territorio”.

“De hecho, Hamburg SA ha notificado al EDPB su decisión de adoptar medidas provisionales”, agregó.

Al tomar la medida de emergencia, el DPA alemán no solo está atacando a Facebook por continuar burleándose de las normas de protección de datos de la UE, sino que está arrojando sombra a su supervisor de datos principal en la región, la Comisión de Protección de Datos de Irlanda (DPC), acusando a esta última de no investigar las preocupaciones muy extendidas asociadas a los términos y condiciones de WhatsApp entrantes.

(“Nuestra solicitud a la autoridad supervisora principal de una investigación sobre la práctica real del intercambio de datos no se ha cumplido hasta ahora”, es el encuadre cortés de este tono en el comunicado de prensa de Hamburgo).

Nos hemos puesto en contacto con el DPC para obtener una respuesta y actualizaremos este informe si recibimos uno.

Actualización: Una portavoz del DPC nos dijo: “Como Hamburgo ha iniciado este proceso como una excepción a la ventanilla única, es asunto del DPA de Hamburgo responder sobre cómo cumple con el umbral para iniciar un procedimiento de urgencia. El proyecto de decisión del DPA irlandés en relación con WhatsApp se tratará a través del procedimiento de resolución de disputas del artículo 65 en virtud del RGPD, ya que no fue posible llegar a un consenso entre los DPA. Por lo tanto, corresponde a la DPA de Hamburgo en este último contexto calificar sus propias acciones en virtud del artículo 66 como una excepción al procedimiento de OSS ya en curso”.

El organismo de control de datos de Irlanda no es ajeno a las críticas de que se entrega a una inacción regulatoria creativa cuando se trata de hacer cumplir el GDPR, con críticos acusando a la comisionada Helen Dixon y a su equipo de no investigar decenas de quejas y, en los casos en que ha abierto investigaciones, tomar años para investigar, y optar por una aplicación débil al final.

La única decisión del GDPR que el DPC ha emitido hasta la fecha contra un gigante tecnológico (contra Twitter, en relación con una violación de datos) fue disputada por otros DPA de la UE, que querían una sanción mucho más dura que la multa de 550 mil dólares finalmente impuesta por Irlanda.

Las investigaciones del GDPR sobre Facebook y WhatsApp permanecen en el escritorio del DPC. Aunque un proyecto de decisión en un caso de transparencia para el intercambio de datos de WhatsApp se envió a otros DPA de la UE en enero para su revisión, pero una resolución aún no ha visto la luz casi tres años después de que el reglamento comenzara a aplicarse.

En resumen, las frustraciones por la falta de aplicación del RGPD contra los mayores gigantes tecnológicos están en lo alto entre otros DPA de la UE, algunos de los cuales ahora están recurriendo a acciones regulatorias creativas para tratar de eludir el cuello de botella creado por el mecanismo de ventanilla única (OSS) que canaliza tantas quejas a través de Irlanda.

El DPA italiano también emitió una advertencia sobre el cambio de los Términos y Condiciones de WhatsApp, en enero, diciendo que se había puesto en contacto con el EDPB para plantear preocupaciones sobre la falta de información clara sobre lo que está cambiando.

En ese momento, el EDPB hizo hincapié en que su papel es promover la cooperación entre las autoridades de supervisión. Añadió que continuará facilitando los intercambios entre DPA “para garantizar una aplicación coherente de la legislación de protección de datos en toda la UE de acuerdo con su mandato”. Pero el siempre frágil consenso entre los DPA de la UE se está volviendo cada vez más tenso por los cuellos de botella de aplicación y la percepción de que el reglamento no se está cumpliendo debido a las compras en foros de OSS.

Eso aumentará la presión sobre el EDPB para encontrar alguna manera de resolver el estancamiento y evitar una ruptura más amplia del reglamento, es decir, si cada vez más agencias de los Estados miembros recurren a una acción unilateral de “emergencia”.

El DPA de Hamburgo escribe que la actualización de los términos de WhatsApp otorga a la plataforma de mensajería “poderes de gran alcance para compartir datos con Facebook” para los propios fines de la compañía (incluyendo publicidad y marketing), como pasar los datos de ubicación de los usuarios de WhatApp a Facebook y permitir que los datos de comunicación de los usuarios de WhatsApp se transfieran a terceros si las empresas hacen uso de los servicios de alojamiento de Facebook.

Su evaluación es que Facebook no puede confiar en intereses legítimos como base legal para el intercambio de datos ampliado bajo la legislación de la UE.
Y si el gigante tecnológico tiene la intención de confiar en el consentimiento del usuario, tampoco está cumpliendo con el listón porque los cambios no están claramente explicados ni se les ofrece a los usuarios la libre opción de dar su consentimiento o no (que es el estándar requerido bajo el RGPD).

“La investigación de las nuevas disposiciones ha demostrado que tienen como objetivo ampliar aún más la estrecha conexión entre ambas compañías para que Facebook pueda utilizar los datos de los usuarios de WhatsApp para sus propios fines en cualquier momento”, continúa Hamburgo. “Para las áreas de mejora de productos y publicidad, WhatsApp se reserva el derecho de transmitir datos a las empresas de Facebook sin requerir ningún otro consentimiento de los interesados. En otras áreas, el uso para los propios fines de la empresa de acuerdo con la política de privacidad ya se puede asumir en la actualidad.

“La política de privacidad enviada por WhatsApp y las preguntas frecuentes describen, por ejemplo, que los datos de los usuarios de WhatsApp, como los números de teléfono y los identificadores de dispositivos, ya se intercambian entre las empresas con fines conjuntos, como la seguridad de la red y para evitar que se envíe spam”.

Los DPA como Hamburgo pueden sentirse impulsados a tomar las cosas en sus propias manos sobre la aplicación del GDPR por una opinión reciente de un asesor del tribunal superior de la UE, como sugerimos en nuestra cobertura en ese momento. El Abogado General Bobek consideró que la legislación de la UE permite a las agencias iniciar sus propios procedimientos en ciertas situaciones, incluso para adoptar “medidas urgentes” o intervenir “después de que la autoridad de protección de datos principal haya decidido no manejar un caso”.

La sentencia del TJUE sobre ese caso aún está pendiente, pero el tribunal tiende a alinearse con la posición de sus asesores.