NCC Y noyb Denuncia del GDPR: "Grindr" multado con 6,3 millones de euros por compartir datos ilegalmente
Hoy, la Autoridad de Protección de Datos de Noruega ha impuesto una multa de 65 millones de coronas noruegas (6,34 millones de euros o 7,17 millones de dólares) a Grindr. La aplicación de citas LGBTQI no había recibido el consentimiento válido de los usuarios, pero aun así había compartido datos personales sensibles.
Antecedentes del caso El 14 de enero de 2020, el Consejo Noruego del Consumidor (ForbrukerrådetNCC) presentó tres denuncias estratégicas sobre el GDPR en colaboración con noyb. Las denuncias se presentaron ante la Autoridad Noruega de Protección de Datos (DPA) contra la aplicación de citas para homosexuales Grindr y cinco empresas de tecnología publicitaria que recibían datos personales a través de la aplicación: MoPub de Twitter, AppNexus de AT&T (ahora Xandr)OpenX, AdColony y Smaato
Grindr había estado enviando datos personales sensibles a cientos de socios publicitarios potenciales. El informe informe "Fuera de control de la NCC describía con detalle cómo un gran número de terceros recibía constantemente datos personales de los usuarios de Grindr, como el hecho de que usaran Grindr y sus datos de localización
El 26 de enero de 2021, la autoridad noruega anunció su intención de imponer una multa de 100 millones de coronas noruegas (unos 10 millones de euros) a Grindr por la violación de los artículos 4(11), 6, 7 y 9(2)(a) del GDPR en un "proyecto de decisión". La multa de 65 millones de coronas noruegas impuesta hoy en la decisión final sede la decisión final se ajustó finalmente en función de los ingresos reales de Grindr y del hecho de que adoptó medidas para revisar su anterior plataforma de gestión del consentimiento
"Esto envía una fuerte señal a todas las empresas que participan en la vigilancia comercial. Compartir datos personales sin una base legal tiene graves repercusiones. Pedimos a la industria de la publicidad digital que realice cambios fundamentales para respetar los derechos de los consumidores" de los consumidores" Finn Myrstad, director de política digital del Consejo Noruego del Consumidor (NCC).
El consentimiento debe ser inequívoco, informado, específico y dado libremente La DPA noruega decidió que el supuesto "consentimiento" en el que se basaba Grindr no era válido. Los usuarios no estaban debidamente informados, ni el consentimiento era lo suficientemente específico: los usuarios debían aceptar toda la política de privacidad y no una operación de tratamiento específica, como el intercambio de datos con otras empresas
Además, la DPA destacó que los usuarios deben tener la opción de no de dar su consentimiento, sin que ello tenga consecuencias negativas. Grindr, sin embargo, hizo que el uso de la aplicación dependiera del consentimiento; los usuarios deben consentir que se compartan los datos o pagar una cuota de suscripción
Para concluir, la DPA declaró que "Grindr no controló ni asumió la responsabilidad de su propia compartición de datos y el mecanismo de "exclusión voluntaria" no fue necesariamente eficaz".
" - y ese es el quid, además de la falta de consentimiento. No se pueden compartir datos personales con un número potencialmente ilimitado de socios sin poder controlar lo que ocurre con esos datos" - Ala Krinickytė, abogada de protección de datos denoyb
Los datos personales no son una moneda. La DPA noruega adoptó una postura clara, afirmando que los datos personales no pueden utilizarse para pagar servicios digitales, a pesar de que Grindr se basaba en la "publicidad conductual" como "actividad principal" para financiarse. Esta decisión juega un papel vital en el mercado ya que muchos servicios en línea intentan obtener beneficios presentando los datos de los usuarios como medio de pago
En última instancia, la DPA noruega consideró que los beneficios económicos de los que se beneficiaba Grindr como resultado de su intercambio ilegal eran un factor agravante a la hora de evaluar la multa, así como el hecho de que Grindr compartiera datos de categoría especial, protegidos por el artículo 9, con sus socioss socios. La DPA expresó su opinión de que la difusión de los datos en cuestión podría poner en riesgo los derechos y libertades fundamentales del interesado, como el derecho a la intimidad y a la no discriminación
"Es sorprendente que la DPA tenga que convencer a Grindr de que sus usuarios son LGBT+ y de que este hecho no es una mercancía a la que se pueda recurrir" - Ala Krinickytė, abogada de protección de datos denoyb
Recurso ante la Junta de Privacidad. El caso puede ahora recurrirse ante la Junta de Apelación de Privacidad de Noruega (Personvernnemda) en un plazo de tres semanas. Las denuncias contra las empresas de tecnología publicitaria que recibieron los datos de Grindr están en curso.
Agradecimientos
-
El proyecto fue dirigido por el Consejo Noruego del Consumidor.
-
Las pruebas técnicas fueron realizadas por la empresa de seguridad mnemonic.
-
La investigación sobre la industria de la tecnología publicitaria y los corredores de datos específicos fue realizada con la ayuda del investigador Wolfie Christl de Cracked Labs
-
El investigador Zach Edwards de MetaX realizó una auditoría adicional de la aplicación Grindr.
-
El análisis legal y las denuncias formales fueron redactados con la ayuda de noyb