וואסטאפ הסתמכה באופן בלתי הולם על חוזה כבסיס משפטי לעיבוד נתונים אישיים, הפרה את עקרון ההגינות ונדרשת לקבל את הסכמת משתמשיה כאשר היא אוספת מידע לצורך שיפור השירות - אלו הן רק חלק מהמסקנות המחייבות שהעבירה מועצת הרשויות הלאומיות להגנת מידע של מדינות האיחוד האירופי (European Data Protection Board - EDPB) לרשות הגנת הפרטיות באירלנד (ה-DPC).

ה-DPC נדרשת לתקן פרטים אלו בהחלטתה נגדר וואטסאפ אירלנד, ואף לחקור את פעולות עיבוד המידע של וואטסאפ אירלנד על מנת לקבוע האם וואטסאפ מעבדת קטגוריות מיוחדות של מידע אישי; האם היא מעבדת מידע למטרות פרסום התנהגותי, למטרות שיווק וכן למתן מדדים לצדדים שלישיים והחלפת מידע אישי עם חברות קשורות למטרות שיפור השירות.

ה-EDPB פרסמה את החלטה לאחר שה-DPC השלימה את חקירתה לגבי וואטסאפ וקנסה את החברה ב-5.5 מיליון אירו, בגין אי-עמידה בחובות שקיפות ואילוץ  משתמשים להסכים לעיבוד המידע שלהם כתנאי להמשך השימוש בשירות. התלונות נגד וואטסאפ הובאו במקור ל-DPC על ידי קבוצת זכויות הפרטיות NOYB ב-2018, אשר טענה שוואטסאפ כופה על המשתמשים להסכים לכך שהנתונים שלהם יעובדו לשיפור השירות כדי להמשיך להשתמש בשירות, תוך הפרת ה-GDPR.

ה-DPC בתגובה אמרה שה-EDPB דרשה ממנה לפתוח "חקירות חדשות של כל פעולות עיבוד הנתונים של WhatsApp", וטענה כי "ל-EDPB אין תפקיד פיקוח כללי בדומה לבתי משפט לאומיים לגבי רשויות עצמאיות לאומיות וה-EDPB אינו יכול להורות ולהנחות רשות לעסוק בתחומים פתוחים וספקולטיביים...". ה-DPC שוקלת להפנות את התיק לבית המשפט לצדק של האיחוד האירופי [מקור: iapp, מאת: אלכס לקאס].