Saltear al contenido principal
DESDE EL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS: EDPB Adopta Una Decisión Vinculante Urgente: La Autoridad De Control Irlandesa No Adopta Medidas Definitivas, Pero Realiza Investigaciones Legales

DESDE EL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS: EDPB adopta una decisión vinculante urgente: la Autoridad de Control Irlandesa no adopta medidas definitivas, pero realiza investigaciones legales

This post is also available in: Italiano English Français

El EDPB ha adoptado su primera decisión vinculante urgente con arreglo al artículo 66, apartado 2, del GDPR después de una solicitud de la autoridad de control de Hamburgo, después que la Autoridad de Supervisión había implementado medias provisorias en frente a Facebook Ireland Ltd (Facebook EI) sobre la base del artículo 66, apartado 1, del GDPR. La Autoridad de Control de Hamburgo ha ordenado la prohibición de tratar datos de los usuarios de WhatsApp por parte de Facebook IE por sus fines después de un cambio de los términos del Servicio de y de la política de privacidad aplicables a los usuarios europeos de WhatsApp Ireland Ltd.

El EDPB ha decidido que no se han cumplido las condiciones para demonstrar la existencia de una infracción y de una urgencia. Por esto, el EDPB ha decidido que en este caso no fuera necesario adoptar medidas definitivas por parte de la Autoridad de Supervisión contra Facebook IE.

Sobre la base de las pruebas proporcionadas, el EDPB ha concluido que existe una elevada probabilidad que Facebook IE trate ya datos de los usuarios de WhatsApp IE en calidad de subresponsable del tratamiento para el fin común de la seguridad y integridad de WhatsApp IE y de las otras sociedades de Facebook, y para el común fin de mejorar los productos de las Sociedades Facebook. Todavía, en frente a las varias contradicciones, ambigüedades y incertidumbres detectadas en las informaciones dirigidas a los usuarios de WhatsApp, en algunos compromisos escritos adoptados desde Facebook IE y en las comunicaciones de WhatsApp IE, el EDPB ha concluido que no es capaz de determinar con certidumbre cual tratamiento se realiza efectivamente y en calidad de qué.

Además, no hay informaciones suficientes para establecer con certidumbre si Facebook IE había ya empezado a tratar los datos de los usuarios de WhatsApp IE en calidad de sub responsable del tratamiento para los propios fines de comunicación de marketing y marketing directo y cooperación con otras sociedades de Facebook. Ni tampoco ha sido posible establecer si Facebook IE ha empezado ya o empezará a tratar los datos de los usuarios de WhatsApp IE como sub responsable del tratamiento para fines en relación al API WhatsApp Business.

Sobre la subsistencia de la urgencia, el Comité ha considerado que el artículo 61, apartado 8, del GDPR no era aplicable en cuando la Autoridad de Control de e Hamburgo no ha demostrado que la Autoridad de Control Irlandesa no ha proporcionado informaciones en el contexto de una solicitud formar de asistencia reciproca con arreglo al artículo 61 del GDPR. Además, el EDPB ha decidido que la adopción de las condiciones actualizadas, que incluyen elementos problemáticos similares a la versión precedente, no puede, por si sola, justificar la urgencia por el EDPB de ordinar a la LSA de adoptar medidas finales con arreglo al artículo 66, apartado 2 del GDPR.

El EDPB ha considerado que no estaba la urgencia por la LSA de adoptar medidas definitivas en este caso.

Considerando la elevada probabilidad de violaciones, en particular a fines de la seguridad, protección y integridad de WhatsApp IE y de otras sociedades de Facebook, así como al fin de mejorar los productos de las sociedades de Facebook, el EDPB ha considera que esta cuestión pida una rápida investigación.

En particular para comprobar si, en practica, las sociedades Facebook efectúan operaciones de tratamiento que implican la combinación o el confronto de datos usuarios de WhatsApp IE con otro set de datos elaborados desde otras Sociedades Facebook en el ámbito de otras aplicaciones o servicios proporcionados desde Sociedades Facebook, facilitada entre todo desde el uso de identificadores unívocos. Debido a esta razón, el EDPB pide a la Autoridad de Control de Irlanda de desarrollar, en vía prioritaria, una investigación legal para determinar si estas actividades de tratamiento están en curso o menos, y en caso afirmativo, si tiene una base legal adecuada con arreglo al artículo 5, apartado 1, letra A) y artículo 6, apartado 1 del GDPR.

Además, tenido en cuenta de la falta de las informaciones sobre las modalidades de tratamiento de datos para fines de marketing, cooperación con otras sociedades de Facebook y en relación a API WhatsApp Business, el EDPB invita la Autoridad de Control Irlandesa a investigar sobre el rol de Facebook IE, es decir si Facebook IE actúa como responsable del tratamiento o como (sub responsable del tratamiento) respeto a estas operaciones de tratamiento.

Próximos pasos:

Esta decisión vinculante urgente se remitió a la Autoridad de Control Irlandesa, de Hamburgo y otras Autoridades de Control interesadas, y Facebook IE y Whatsapp IE fueron informadas de esta decisión vinculante urgente.

La decisión vinculante urgente se hará pública en el sitio web del EDPB tras evaluar si determinadas partes de la decisión deben omitirse para evitar la divulgación de información amparada por el secreto profesional.
La presente Decisión se entiende sin perjuicio de cualquier evaluación que el CED pueda realizar en otros casos, incluso con las mismas partes.

¿Qué es el art. 66 GDPR?

En circunstancias excepcionales, cuando una autoridad de control considere que existe una necesidad urgente de actuar para proteger los derechos y libertades de los interesados en su territorio, podrá adoptar medidas provisionales con efectos jurídicos en su territorio por un período máximo de tres meses.
Estas medidas se adoptan como excepción al mecanismo de coherencia del GDPR (Artículo 63 GDPR) o al mecanismo One-Stop-Shop (Artículo 60 GDPR). En este caso, el art. 66 GDPR permite a las autoridades de control adoptar inmediatamente medidas provisionales.

La autoridad de control que adopte tales medidas provisionales debe comunicar dichas medidas y las razones para adoptarlas sin demora indebida a las demás autoridades de control afectadas, al Comité Europeo de Protección de Datos y a la Comisión Europea.

Cuando la autoridad de supervisión que haya adoptado dichas medidas provisionales considere necesario adoptar medidas provisionales con carácter de urgencia, podrá solicitar al CED un dictamen urgente o una decisión vinculante urgente, justificando la urgencia de exigir la adopción de medidas definitivas por parte de una excepción a los procedimientos estándar de cooperación y coherencia.

FUENTE: EUROPEAN DATA PROTECTION BOARD – EDPB

Volver arriba