¿Quieres tus datos de Grindr? Muestra tu documento de identidad y tómate un selfie
Hoy, noyb ha presentado una denuncia por el GDPR contra Grindr, una aplicación de citas para gays, bisexuales, transexuales y personas queer, en la que muchos usuarios comparten detalles sexuales muy personales e incluso explícitos. En lugar de autentificarse con los datos que los usuarios han proporcionado, como el correo electrónico y la contraseña, Grindr exige a los usuarios que se identifiquen de la forma más grotesca que se pueda imaginar: Los usuarios tienen que sostener un trozo de papel con su dirección de correo electrónico, así como su pasaporte, todo ello mientras equilibran su teléfono para hacerse un selfie. Esto no solo es absurdo, sino que también supone una violación del GDPR.
Las empresas deben facilitar el ejercicio de los derechos fundamentales. En este caso, el denunciante representado por noyb, es un usuario de Grindr que intentaba entender más sobre cómo Grindr utiliza sus datos. Sorprendentemente, Grindr le negó el acceso a sus datos personales porque el usuario no envió un selfie con su pasaporte y un papel con su dirección de correo electrónico
Cuando "Hunk_69" tiene que convertirse en Richard Smith para reclamar sus derechos: Empresas como Grindr hacen que el proceso de registro sea sencillo y rápido, no sólo para cumplir con la minimización de datos, sino también porque usar Grindr de forma supuestamente anónima es parte de la promesa a los usuarios. Especialmente cuando el servicio se utiliza a menudo con fotos anónimas y utilizando seudónimos, no tener que mostrar una identificación para abrir una cuenta es parte del servicio - después de todo, incluso el logotipo de Grindr es una máscara.
Sin embargo, cuando un usuario intenta ejercer sus derechos para conocer los datos personales que la empresa tiene sobre él, Grindr le exige que se quite de repente la máscara e incluso que muestre un documento de identidad emitido por el gobierno, lo que no sólo es incoherente con el principio de minimización de datos, sino con todo el producto.
"Puedes ver y compartir hasta las fotos más íntimas en Grindr con solo tu correo electrónico y tu contraseña - solo cuando quieres ejercer tus derechos GDPR, debes desnudarte y mostrar una identificación gubernamental"- Max Schrems, presidente de noyb
Las empresas suelen argumentar "razones de seguridad". Por ley, las empresas están obligadas a evaluar caso por caso si hay dudas razonables sobre la identidad del usuario. Tener una política general de pedir información adicional viola el GDPR, especialmente cuando Grindr no puede realmente emparejar el ID con un usuario, ya que no tiene el nombre real de los usuarios
"Es ridículo autentificar a 'Hunk 69' con una identificación gubernamental, cuando Grindr está diseñado para no conocer el nombre real de sus usuarios. En realidad, exigen una 'salida' de los usuarios para ejercer sus derechos" - Max Schrems, presidente de noyb
Un problema más amplio con los derechos del GDPR. Grindr no es ni mucho menos la única empresa que introduce normas complicadas o incluso prohibitivas cuando los usuarios quieren ejercer sus derechos del GDPR. Hay que poner fin a estas innecesarias "comprobaciones rutinarias de identidad" por parte de los controladores de datos, especialmente cuando existen otras medidas menos intrusivas como el envío de un correo electrónico de verificación o un código dentro de la app, como en este caso
Si quieres ejercer tus derechos: Elimina la cuenta. Como alternativa, Grindr sugirió al Demandante que podía optar por eliminar su cuenta, si "no desea compartir ningún dato con Grindr". El denunciante eligió una tercera opción: presentar una reclamación en virtud del RGPD ante la Autoridad de Protección de Datos austriaca, DSB, que ahora tendrá que decidir sobre el caso.