CEPD adota decisão vinculativa urgente: Irlanda SA não tomará medidas definitivas, mas realizará uma investigação regulamentar

15 July 2021

Bruxelas, 15 de julho — O Comité Europeu para a Proteção de Dados (CEPD) adotou a sua primeira decisão vinculativa urgente nos termos do artigo 66.º, nº 2, do Regulamento Geral de Proteção de Dados (RGPD), na sequência de um pedido da autoridade de controlo de Hamburgo (AC DE-HH), após esta AC ter adotado medidas provisórias em relação à Facebook Ireland Ltd (Facebook Irlanda) com base no artigo 66.º, n.º 1, do mesmo regulamento. A AC DE-HH proibiu o tratamento de dados de utilizadores do WhatsApp pela Facebook Irlanda para fins próprios, na sequência de uma alteração dos termos de serviço e da política de privacidade aplicáveis aos utilizadores europeus da WhatsApp Ireland Ltd (WhatsApp Ireland).

O CEPD considerou que não estão reunidas as condições para demonstrar a existência de infração e de urgência. Por conseguinte, decidiu que não é necessário a AC da Irlanda adotar medidas definitivas contra a Facebook Irlanda no caso vertente.

Com base nos elementos de prova apresentados, o CEPD concluiu que existe uma elevada probabilidade de que a Facebook Irlanda já esteja a tratar os dados de utilizadores da WhatsApp Irlanda na qualidade de responsável (conjunta) pelo tratamento, com fins comuns de segurança, proteção e integridade da WhatsApp Irlanda e das outras empresas do Facebook, bem como o fim comum de melhorar os produtos das empresas do Facebook. No entanto, face às várias contradições, ambiguidades e incertezas observadas nas informações ao utilizador final do WhatsApp, em alguns compromissos escritos adotados pela Facebook Irlanda e algumas observações escritas da WhatsApp Irlanda, o CEPD concluiu que não está em posição de determinar com certeza que operações de tratamento estão efetivamente a ser realizadas e em que qualidade.

Além disso, a informação existente não era suficiente para determinar com segurança se a Facebook Irlanda já começou a fazer o tratamento dos dados dos utilizadores da WhatsApp Irlanda enquanto responsável (conjunta) pelo tratamento para fins de comunicações promocionais ou comercialização direta, bem como de cooperação com as outras empresas do Facebook. Não foi possível, tão pouco, determinar se a Facebook Irlanda já começou ou começará em breve a fazer tratamento de dados dos utilizadores da WhatsApp Irlanda na qualidade de responsável (conjunta) pelo tratamento para os seus próprios fins relativamente à API da WhatsApp Business.

Quanto à existência de urgência, o CEPD considerou que o artigo 61.º, n. 8, do RGPD não era aplicável, uma vez que a AC DE-HH não demonstrou que a AC da Irlanda não forneceu informações no contexto de um pedido formal de assistência mútua ao abrigo do artigo 61.º do RGPD. Além disso, o CEPD concluiu que a adoção dos termos atualizados, que contêm elementos problemáticos semelhantes aos da versão anterior, não pode, por si só, justificar que o CEPD ordene à ACP, com urgência, a adoção de medidas definitivas nos termos do artigo 66.º, n.º 2, do RGPD. Por conseguinte, o CEPD considerou que não é urgente que a ACP adote medidas definitivas no caso vertente.

Tendo em conta a elevada probabilidade de infrações, em especial para fins de segurança, proteção e integridade da WhatsApp Irlanda e das outras empresas do Facebook, bem como para fins de melhoria dos produtos das empresas do Facebook, o CEPD considerou que esta questão requer que seja realizada rapidamente uma investigação aprofundada. Tal investigação teria como objetivo, em especial, verificar se, na prática, as empresas do Facebook estão a realizar operações de tratamento que impliquem a combinação ou comparação dos dados de utilizador da WhatsApp Irlanda com outros conjuntos de dados tratados por outras empresas do Facebook no contexto de outras aplicações ou de outros serviços oferecidos pelas empresas do Facebook, facilitadas, entre outros, pela utilização de identificadores únicos. Por este motivo, o CEPD solicita à AC da Irlanda que realize, com caráter prioritário, uma investigação regulamentar para determinar se essas atividades de tratamento estão a ser realizadas ou não e, se for o caso, se têm uma base jurídica adequada nos termos do artigo 5.º, n.º 1, alínea a), e do artigo 6.º, n.º 1, do RGPD.

Além disso, tendo em conta a falta de informações sobre a forma como os dados são tratados para fins de comercialização, cooperação com as outras empresas do Facebook e em relação com a API da WhatsApp Business, o CEPD insta a AC da Irlanda a investigar mais aprofundadamente o papel da Facebook Irlanda, isto é, se a Facebook Irlanda atua como subcontratante ou como responsável (conjunta) pelo tratamento, no que diz respeito a estas operações de tratamento.

Próximas etapas

Esta decisão vinculativa urgente foi dirigida à AC da Irlanda, à AC DE-HH e às outras AC interessadas, tendo a Facebook Irlanda e a WhatsApp Irlanda sido informados da mesma.

A decisão vinculativa urgente será publicada no sítio Web do CEPD após ter sido avaliada a necessidade de ocultar partes da decisão a fim de evitar a divulgação de informações abrangidas pelo sigilo profissional.

A presente decisão não prejudica as avaliações que o CEPD possa ser chamado a efetuar noutros casos, incluindo com as mesmas partes.

 

Notas aos editores

O que é o artigo 66.º do RGPD?

Em circunstâncias excecionais, quando considera que é urgente intervir a fim de defender os direitos e liberdades dos titulares dos dados no seu território, a autoridade de controlo interessada pode adotar medidas provisórias destinadas a produzir efeitos legais no seu próprio território, válidas por um período máximo de três meses.

Essas medidas são adotadas em derrogação do procedimento de controlo da coerência (artigo 63.º do RGPD) e do mecanismo de balcão único (artigo 60.º do RGPD). No caso vertente, o artigo 66.º do RGPD permite que as autoridades de controlo adotem medidas provisórias imediatamente.

A autoridade de controlo que emite essas medidas provisórias dá sem demora injustificada conhecimento das mesmas e dos motivos que a levaram a adotá-las às outras autoridades de controlo interessadas, ao Comité Europeu para a Proteção de Dados e à Comissão Europeia.

Se a autoridade de controlo que tomou essas medidas provisórias considerar que é necessário adotar medidas definitivas com urgência, pode solicitar um parecer urgente ou uma decisão vinculativa urgente ao CEPD, apresentando as razões para a necessidade urgente de ordenar a adoção de medidas definitivas em derrogação dos procedimentos normalizados de cooperação e coerência.