Bruxelas, 2 de setembro— Em 28 de julho, o CEPD adotou uma decisão de resolução de litígios com base no artigo 65.º do RGPD. A decisão vinculativa visa resolver o litígio surgido na sequência de um projeto de decisão emitido pela autoridade de controlo irlandesa (AC irlandesa) na sua qualidade de autoridade de controlo principal (ACP) relativamente à WhatsApp Ireland Ltd. (WhatsApp Irlanda) e das objeções subsequentes expressas por várias autoridades de controlo interessadas (ACI). Em conformidade com o RGPD, e tendo a decisão final da AC irlandesa sido comunicada à empresa, a decisão vinculativa do CEPD foi agora publicada.
Tendo avaliado a questão, o CEPD foi da opinião que AC irlandesa deve alterar o seu projeto de decisão no que diz respeito às violações da transparência, ao cálculo da coima e ao prazo para repor o cumprimento.
No que concerne à transparência, o projeto de decisão da AC irlandesa já tinha identificado uma violação grave dos artigos 12.º, 13.º e 14.º do RGPD. O CEPD identificou outras deficiências na informação facultada que tiveram impacto na capacidade de compreensão dos utilizados quanto aos interesses legítimos perseguidos. O CEPD, por conseguinte, instou aquela autoridade a incluir, na sua decisão, a constatação de uma violação do artigo 13.º n.º 1, alínea d), do referido Regulamento.
Além disso, o CEPD esclareceu que, embora nem todas as violações dos artigos 12.º a 14.º do RGPD impliquem necessariamente uma violação do artigo 5.º, n.º 1, alínea a), do RGPD, neste caso particular, atendendo à gravidade e à natureza e impacto globais das infrações, houve violação do princípio da transparência consagrado no artigo 5.º, n.º 1, alínea a), do RGPD.
No que diz respeito à recolha de dados de não-utilizadores feita pela WhatsApp Irlanda quando os utilizadores decidem utilizar a funcionalidade «Contacto», o CEPD considerou que, no caso em apreço, o procedimento utilizado pela WhatsApp Irlanda não conduz à anonimização dos dados pessoais recolhidos.
Quando à coima aplicada e ao cálculo da coima, o CEPD considerou que o volume de negócios de uma empresa não é pertinente exclusivamente para a determinação do montante máximo da coima em conformidade com o artigo 83.º, n.ºos 4 a 6, do RGPD, podendo também ser tido em linha de conta para o cálculo da própria coima, se for caso disso, para garantir que a mesma é efetiva, proporcionada e dissuasiva, em conformidade com o artigo 83.º, n.º 1, do RGPD. Neste caso, o CEPD considerou que o volume de negócios consolidado da empresa-mãe (Facebook Inc.) deve ser incluído no cálculo do volume de negócios.
Além disso, o CEPD, pela primeira vez, clarificou a interpretação do artigo 83.º, n.º 3, do RGPD. Na presença de múltiplas violações no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, todas as violações devem ser tidas em consideração no cálculo do montante da coima, não obstante o dever das AC de terem em conta a proporcionalidade da coima e de respeitarem o montante máximo da coima estabelecido pelo RGPD.
O projeto de decisão da AC irlandesa incluía ainda uma ordem de reposição do cumprimento das operações de tratamento no prazo de 6 meses. O CEPD considerou ser de primordial importância que o cumprimento das obrigações de transparência seja garantido no período de tempo mais curto possível. Assim sendo, instou a AC irlandesa a alterar o prazo de reposição do cumprimento de seis para três meses.
A decisão vinculativa foi dirigida às autoridades de controlo interessadas, e a AC irlandesa, na sua qualidade de AC principal, adotou a sua decisão nacional com base na decisão do CEPD. A decisão nacional, com a decisão do CEPD em anexo, foi notificada à WhatsApp Irlanda.
A presente decisão não prejudica as avaliações que o CEPD possa ser chamado a efetuar noutros casos, incluindo com as mesmas partes.
Para mais informações sobre o procedimento previsto no artigo 65.º do RGPD, consulte as Perguntas frequentes