NCC & noyb denuncia GDPR: "Grindr" multato di 6,3 milioni di euro per la condivisione illegale dei dati

Dic 15, 2021

NCC &amp noyb Denuncia GDPR: "Grindr" multato di 6,3 milioni di euro per la condivisione illegale dei dati

Oggi, l'autorità norvegese per la protezione dei dati ha imposto una multa di 65 milioni di corone norvegesi (6,34 milioni di euro o 7,17 milioni di dollari) a Grindr. L'app di incontri LGBTQI non aveva ricevuto un consenso valido dagli utenti, ma aveva comunque condiviso dati personali sensibili.

Background del caso Il 14 gennaio 2020, il Consiglio norvegese dei consumatori (ForbrukerrådetNCC) ha presentato tre reclami strategici GDPR in collaborazione con noyb. I reclami sono stati presentati all'autorità norvegese per la protezione dei dati (DPA) contro l'app di incontri gay Grindr e cinque aziende adtech che ricevevano dati personali attraverso l'app: MoPub di Twitter, AppNexus di AT&T (ora Xandr), OpenX, AdColony e Smaato

Grindr aveva inviato dati personali sensibili a centinaia di potenziali partner pubblicitari. Il rapporto "Fuori controllo della NCC ha descritto in dettaglio come un gran numero di terze parti ricevesse costantemente dati personali sugli utenti di Grindr, come il fatto che usassero Grindr e i dati sulla loro posizione

Il 26 gennaio 2021, l'autorità norvegese ha annunciato la sua intenzione di imporre una multa di 100 Mio NOK (circa 10 Mio EUR) a Grindr per la violazione degli articoli 4(11), 6, 7 e 9(2)(a) GDPR in un "progetto di decisione". La multa di oggi di 65 milioni di corone norvegesi nella decisione finale è stata infinebasata sulle entrate effettive di Grindr e sul fatto che ha intrapreso misure per rivedere la sua precedente piattaforma di gestione del consenso

"Questo manda un forte segnale a tutte le aziende coinvolte nella sorveglianza commerciale. Ci sono serie ripercussioni sulla condivisione dei dati personali senza una base legale. Chiediamo che l'industria della pubblicità digitale faccia cambiamenti fondamentali per rispettare i diritti dei consumatori diritti dei consumatori" Finn Myrstad, direttore della politica digitale nel Consiglio norvegese dei consumatori (NCC).

Il consenso deve essere inequivocabile, informato, specifico e dato liberamente La DPA norvegese ha deciso che il presunto "consenso" su cui Grindr ha cercato di fare affidamento non era valido. Gli utenti non sono stati correttamente informati, né il consenso era abbastanza specifico: gli utenti dovevano accettare l'intera politica sulla privacy e non una specifica operazione di trattamento, come la condivisione dei dati con altre aziende
Inoltre, la DPA ha sottolineato che gli utenti devono avere la scelta
non acconsentire, senza alcuna conseguenza negativa. Grindr, invece, ha fatto dipendere l'uso dell'app dal consenso; gli utenti devono acconsentire alla condivisione dei dati o pagare un abbonamento

Per concludere, la DPA ha dichiarato che "Grindr non è riuscito a controllare e ad assumersi la responsabilità della propria condivisione dei dati e il meccanismo di "opt-out" non era necessariamente efficace".

" - e questo è il punto cruciale, oltre alla mancanza di consenso. Non si possono condividere dati personali con un numero potenzialmente illimitato di partner senza essere in grado di controllare cosa succede a quei dati" - Ala Krinickytė, avvocato di protezione dei dati pressonoyb

I dati personali non sono una moneta. La DPA norvegese ha preso una posizione chiara, dicendo che i dati personali non possono essere utilizzati per pagare i servizi digitali, anche se Grindr ha fatto affidamento sulla "pubblicità comportamentale" come "attività principale" per finanziarsi. Questa decisione gioca un ruolo vitale nel mercato europeo mercato, dato che molti servizi online cercano di fare profitti presentando i dati degli utenti come mezzi di pagamento

In definitiva, la DPA norvegese ha ritenuto che i benefici finanziari di cui Grindr ha goduto a seguito della sua condivisione illegale fossero un fattore aggravante nella valutazione della multa, così come il fatto che Grindr ha condiviso dati di categoria speciale, protetti dall'articolo 9, con i suois partner. La DPA ha espresso la sua opinione che la diffusione dei dati in questione potrebbe mettere a rischio i diritti e le libertà fondamentali dell'interessato, come il diritto alla privacy e alla non discriminazione

"È sorprendente che la DPA debba convincere Grindr che i suoi utenti sono LGBT+ e che questo fatto non è una merce da barattare" - Ala Krinickytė, avvocato di protezione dei dati pressonoyb

Ricorso al Consiglio per la privacy. Il caso può ora essere appellato al Norwegian Privacy Appeals Board (Personvernnemda) entro tre settimane. I reclami contro le aziende adtech che hanno ricevuto i dati da Grindr sono in corso.

Riconoscimenti

  • Il progetto è stato condotto dal Consiglio norvegese dei consumatori.

  • I test tecnici sono stati eseguiti dalla società di sicurezza mnemonic.

  • La ricerca sull'industria adtech e su specifici data broker è stata eseguita con l'assistenza del ricercatore Wolfie Christl di Cracked Labs

  • Un ulteriore controllo dell'app Grindr è stato eseguito dal ricercatore Zach Edwards di MetaX.

  • L'analisi legale e le denunce formali sono state scritte con l'assistenza di noyb