"Grindr" será multado con casi 10 millones de euros por la queja de GDPR. La aplicación de citas gay estaba compartiendo ilegalmente datos sensibles de millones de usuarios.
En enero de 2020, el Consejo Noruego del Consumidor y la ONG europea de privacidad noyb.eu presentaron tres quejas estratégicas contra Grindr y varias empresas de tecnología por compartir ilegalmente los datos de los usuarios. Como muchas otras aplicaciones, Grindr compartió datos personales (como datos de localización o el hecho de que alguien use Grindr) a potencialmente cientos de terceros para publicidad
Hoy, la Autoridad de Protección de Datos de Noruega confirmó las denuncias, confirmando que Grindr no recibió un consentimiento válido de los usuarios en una notificación previa. La Autoridad impone una multa de 100 millones de coronas noruegas (9,63 euros) O 11,69 millones de dólares) a Grindr. Una enorme multa, ya que Grindr sólo informó de un beneficio de 31 millones de dólares en 2019, un tercio del cual ya ha desaparecido.
Antecedentes del caso El 14 de enero de 2020, el Consejo Noruego del Consumidor (Forbrukerrådet; NCC) presentó tres quejas estratégicas de GDPR en cooperación con Noyb. Las quejas se presentaron ante la Autoridad Noruega de Protección de Datos (DPA) contra la aplicación de citas gay Grindr y cinco empresas de adtech que recibían datos personales a través de la aplicación: MoPub de Twitter, AppNexus de AT&T (ahora Xandr), OpenX, AdColony y Smaato
Grindr estaba enviando directa e indirectamente datos altamente personales a potencialmente cientos de socios publicitarios El Informe "Fuera de Control por el NCC describió en detalle cómo un gran número de terceros reciben constantemente datos personales sobre la usuarios. Cada vez que un usuario abre Grindr, la información como la ubicación actual, o el hecho de que una persona utilice Grindr se transmite a los anunciantes. Esta información también se utiliza para crear perfiles completos sobre los usuarios, que pueden utilizarse para la publicidad dirigida y otros fines
El consentimiento debe ser sin ambigüedades...informada, específica y libremente dada La DPA noruega sostuvo que el supuesto "consentimiento" en el que Grindr trató de basarse era inválido. Los usuarios no fueron debidamente informados ni el consentimiento fue suficientemente específico, ya que los usuarios tenían que estar de acuerdo con toda la política de privacidad y no con una operación de procesamiento específica, como el intercambio de datos con otras empresas.
El consentimiento también debía darse libremente. La DPA destacó que los usuarios debían tener la posibilidad real de no dar su consentimiento sin consecuencias negativas. Grindr condicionó el uso de la aplicación al consentimiento de compartir los datos o al pago de una cuota de suscripción
"El mensaje es simple: 'tómalo o déjalo' no es consentimiento. Si confías en un 'consentimiento' ilegal estás sujeto a una multa considerable. Esto no sólo concierne a Grindr, sino a muchos sitios web y aplicaciones" - Ala Krinickytė, Abogado de protección de datos en noyb
"Esto no sólo establece límites para Grindr, sino que establece estrictos requisitos legales para toda una industria que se beneficia de la recopilación y el intercambio de información sobre nuestras preferencias, ubicación, compras, salud física y mental, orientación sexual y opiniones políticas"Finn Myrstad, director de política digital del Consejo Noruego del Consumidor (NCC).
Grindr debe vigilar a los "socios" externos Además, la DPA noruega concluyó que "Grindr no controló ni asumió la responsabilidad" de su intercambio de datos con terceros. Grindr compartió datos con potencialmente cientos de terceras partes, al incluir códigos de rastreo en su aplicación. Luego confió ciegamente en que estas empresas de tecnología de la información cumplieran con una señal de "exclusión" que se enviaba a los receptores de los datos. La DPA señaló que las empresas podían ignorar fácilmente la señal y seguir procesando los datos personales de los usuarios. La falta de control y responsabilidad sobre el intercambio de datos de los usuarios de Grindr no está en consonancia con el principio de responsabilidad del artículo 5 (2) de la Ley de Protección de Datos. Muchas empresas del sector utilizan esa señal, principalmente el marco de la TCF por el Ioficina de Publicidad Interactiva (IAB).
"Las empresas no pueden limitarse a incluir software externo en sus productos y luego esperar que cumplan con la ley. Grindr incluyó el código de seguimiento de los socios externos y envió los datos de los usuarios a potencialmente cientos de terceros - ahora también tiene que asegurarse de que estos 'socios' cumplan con la ley" - Ala Krinickytė, Abogado de protección de datos en noyb
Los usuarios pueden ser "bi-curiosos", pero no gays El GDPR protege especialmente la información sobre la orientación sexual. Sin embargo, Grindr opinó que esas protecciones no se aplican a sus usuarios, ya que el uso de Grindr no revelaría la orientación sexual de sus clientes. La empresa argumentó que los usuarios pueden ser heterosexuales o "bi-curiosos" y aún así utilizar la aplicación. La DPA noruega no compró este argumento de una aplicación que se identifica como "exclusivamente para la comunidad gay/bi". El argumento adicional cuestionable de Grindr de que los usuarios hacen "manifiestamente pública" su orientación sexual y que, por lo tanto, no está protegida, fue igualmente rechazado por la DPA.
"Una aplicación para la comunidad gay, que argumenta que las protecciones especiales para esa comunidad exactamente no se aplican a ellos, es bastante notable. No estoy seguro de que los abogados de Grindr hayan pensado bien en esto" - Max Schrems, Presidente Honorario de noyb
Es poco probable que la objeción tenga éxito. La DPA noruega emitió una "notificación anticipada" después de escuchar a Grindr en un procedimiento. Grindr todavía puede objetar la decisión en un plazo de 21 días, que será revisado por la DPA. Sin embargo, es improbable que el resultado pueda ser modificado de manera sustancial. No obstante, es posible que se impongan nuevas multas, ya que Grindr se basa ahora en un nuevo sistema de consentimiento y en un supuesto "interés legítimo" de utilizar los datos sin el consentimiento del usuario. Esto está en conflicto con la decisión de la DPA noruega, ya que ésta sostuvo explícitamente que "cualquier divulgación amplia ... para fines de comercialización debebasarse en el consentimiento del interesado".
"El caso está claro desde el punto de vista de los hechos y del derecho. No esperamos que ninguna exitoso objeción de Grindr. Sin embargo, es posible que se le impongan más multas a Grindr, ya que últimamente afirma tener un "interés legítimo" ilegal en compartir los datos de los usuarios con terceros, incluso sin consentimiento. Grindr puede estar obligado a una segunda ronda." - Ala Krinickytė, Abogado de protección de datos en noyb
Agradecimientos
- El proyecto fue dirigido por el Consejo Noruego del Consumidor
- Las pruebas técnicas fueron realizadas por la empresa de seguridad mnemotécnica.
- La investigación sobre la industria de la tecnología y los agentes de datos específicos se realizó con la ayuda del investigador Wolfie Christl de Cracked Labs
- La auditoría adicional de la aplicación Grindr fue realizada por el investigador Zach Edwards de MetaX.
- El análisis legal y las quejas formales se redactaron con la ayuda de Noyb