"Grindr" da multare quasi 10 milioni di euro per la denuncia del GDPR. La Gay Dating App condivideva illegalmente i dati sensibili di milioni di utenti.
Nel gennaio 2020, il Consiglio norvegese dei consumatori e l'ONG europea per la privacy noyb.eu hanno presentato tre reclami strategici contro Grindr e diverse aziende adtech per la condivisione illegale dei dati degli utenti. Come molte altre applicazioni, Grindr ha condiviso dati personali (come i dati di localizzazione o il fatto che qualcuno utilizzi Grindr) con potenzialmente centinaia di terzi per la pubblicità
Oggi, l'Autorità Norvegese per la Protezione dei Dati ha accolto le lamentele, confermando che Grindr non ha ricevuto un valido consenso da parte degli utenti in una notifica preventiva. L'Autorità impone una multa di 100 milioni di NOK (€ 9,63 Mio o 11,69 milioni di dollari) a Grindr. Una multa enorme, in quanto Grindr ha riportato un profitto di 31 milioni di dollari solo nel 2019 - un terzo dei quali è ormai scomparso.
Il contesto del caso Il 14 gennaio 2020, il Consiglio norvegese dei consumatori (ForbrukerrådetNCC) ha presentato tre reclami strategici GDPR in collaborazione con la noyb. I reclami sono stati presentati all'Autorità Norvegese per la Protezione dei Dati (DPA) contro l'applicazione di dating gay Grindr e cinque aziende adtech che ricevevano dati personali attraverso l'app: MoPub di Twitter, AppNexus di AT&T (ora Xandr), OpenX, AdColony e Smaato
Grindr inviava direttamente e indirettamente dati altamente personali a potenzialmente centinaia di partner pubblicitari Il sito Rapporto 'Fuori controllo' dal NCC ha descritto in dettaglio come un gran numero di terzi riceve costantemente dati personali su Grindr's utenti. Ogni volta un utente apre Grindr, informazioni come la posizione attuale, o il fatto che una persona utilizza Grindr viene trasmesso agli inserzionisti. Queste informazioni vengono utilizzate anche per creare profili completi sugli utenti, che possono essere utilizzati per la pubblicità mirata e per altri scopi
Il consenso deve essere univoco...informata, specifica e liberamente data L'autorità norvegese per la protezione dei dati ha ritenuto che il presunto "consenso" su cui Grindr ha cercato di fare affidamento non fosse valido. Gli utenti non sono stati adeguatamente informati, né il consenso è stato sufficientemente specifico, in quanto gli utenti hanno dovuto accettare l'intera politica sulla privacy e non una specifica operazione di trattamento, come la condivisione dei dati con altre società.
Anche il consenso deve essere dato liberamente. L'autorità per la protezione dei dati ha sottolineato che gli utenti devono avere la possibilità di scegliere di non dare il proprio consenso senza conseguenze negative. Grindr ha subordinato l'utilizzo dell'app al consenso alla condivisione dei dati o al pagamento di un canone di abbonamento
Il messaggio è semplice: "prendere o lasciare" non è consenso. Se ci si affida a un "consenso" illegale, si è soggetti a una pesante multa. Questo non riguarda solo Grindr, ma anche molti siti web e app" - Ala Krinickytė, Avvocato per la protezione dei dati all'indirizzo noyb
"Questo non solo fissa dei limiti per Grindr, ma stabilisce dei severi requisiti legali su un intero settore che trae profitto dalla raccolta e dalla condivisione di informazioni sulle nostre preferenze, la posizione, gli acquisti, la salute fisica e mentale, l'orientamento sessuale e le opinioni politiche"Finn Myrstad, direttore della politica digitale del Consiglio norvegese dei consumatori (NCC).
Grindr deve sorvegliare i "Partner" esterni Inoltre, la DPA norvegese ha concluso che "Grindr non è riuscita a controllare e ad assumersi la responsabilità" della loro condivisione dei dati con terzi. Grindr ha condiviso i dati con potenzialmente centinaia di terze parti, includendo i codici di tracciamento nella sua app. Si è quindi fidato ciecamente di queste aziende adtech per rispettare un segnale di "opt-out" che viene inviato ai destinatari dei dati. L'autorità per la protezione dei dati ha osservato che le aziende potevano facilmente ignorare il segnale e continuare a trattare i dati personali degli utenti. La mancanza di un controllo e di una responsabilità effettiva sulla condivisione dei dati degli utenti da parte di Grindr non è in linea con il principio di responsabilità di cui all'articolo 5, paragrafo 2, del GDPR. Molte aziende del settore utilizzano tale segnale, principalmente il quadro di riferimento TCF dell'Interactive Advertising Bureau (IAB).
"Le aziende non possono limitarsi a includere software esterni nei loro prodotti e poi sperare che siano conformi alla legge. Grindr ha incluso il codice di tracciamento dei partner esterni e ha trasmesso i dati degli utenti a potenziali centinaia di terzi - ora deve anche garantire che questi 'partner' rispettino la legge" - Ala Krinickytė, Avvocato per la protezione dei dati all'indirizzo noyb
Grindr: Gli utenti possono essere "bi-curiosi", ma non gay? Il GDPR protegge in modo particolare le informazioni sull'orientamento sessuale. Grindr ritiene tuttavia che tali protezioni non si applichino ai suoi utenti, in quanto l'utilizzo di Grindr non rivelerebbe l'orientamento sessuale dei suoi clienti. L'azienda ha sostenuto che gli utenti possono essere etero o "bi-curiosi" e utilizzare comunque l'app. La DPA norvegese non ha acquistato questo argomento da un'app che si identifica come "esclusivamente per la comunità gay/bi". L'ulteriore discutibile argomentazione di Grindr secondo cui gli utenti hanno reso il loro orientamento sessuale "manifestamente pubblico" e quindi non è protetto è stata ugualmente respinta dalla DPA.
"Un'app per la comunità gay, che sostiene che le protezioni speciali proprio per quella comunità in realtà non si applicano a loro, è piuttosto notevole. Non sono sicuro che gli avvocati di Grindr ci abbiano pensato bene" - Max Schrems, presidente onorario di noyb
Il successo dell'obiezione è improbabile. La DPA norvegese ha emesso un "avviso anticipato" dopo aver sentito Grindr in una procedura. Grindr può ancora opporsi alla decisione entro 21 giorni, che sarà riesaminata dall'autorità per la protezione dei dati. Tuttavia, è improbabile che l'esito possa essere modificato in modo sostanziale. Tuttavia potrebbero essere imminenti ulteriori sanzioni pecuniarie, poiché Grindr si basa ora su un nuovo sistema di consenso e su un presunto "interesse legittimo" a utilizzare i dati senza il consenso dell'utente. Ciò è in conflitto con la decisione dell'autorità norvegese per la protezione dei dati, in quanto ha esplicitamente sostenuto che "qualsiasi divulgazione estesa ... a fini di marketing dovrebbe essere basata sul consenso dell'interessato".
"Il caso è chiaro dal punto di vista fattuale e legale. Non ci aspettiamo alcuna successo obiezione di Grindr. Tuttavia, potrebbero essere in corso ulteriori sanzioni pecuniarie per Grindr, che ultimamente rivendica un "interesse legittimo" illecito a condividere i dati dell'utente con terzi - anche senza consenso. Grindr può essere vincolata per un secondo turno." - Ala Krinickytė, Avvocato per la protezione dei dati all'indirizzo noyb
Riconoscimenti
- Il progetto è stato condotto dal Consiglio dei consumatori norvegese
- I test tecnici sono stati effettuati dalla società di sicurezza mnemonica.
- La ricerca sull'industria adtech e su specifici data brokers è stata effettuata con l'assistenza del ricercatore Wolfie Christl di Cracked Labs
- Un ulteriore audit dell'applicazione Grindr è stato effettuato dal ricercatore Zach Edwards di MetaX.
- L'analisi legale e i reclami formali sono stati scritti con l'assistenza di noyb
