Vuoi i tuoi dati Grindr? Mostra la tua carta d'identità e fatti un selfie!
Oggi, noyb ha presentato una denuncia GDPR contro Grindr - un'app di incontri per persone gay, bi, trans e queer, dove molti utenti condividono dettagli sessuali molto personali e persino espliciti. Invece di autenticarsi con i dati che gli utenti hanno fornito, come l'email e la password - Grindr richiede agli utenti di identificarsi nel modo forse più grottesco che si possa immaginare: Gli utenti devono tenere in mano un pezzo di carta con il loro indirizzo email, così come il loro passaporto - il tutto mentre tengono in equilibrio il loro telefono per scattare un selfie. Questo non è solo assurdo, ma anche una violazione del GDPR.
L'esercizio dei diritti fondamentali deve essere facilitato dalle aziende. In questo caso, il denunciante rappresentato da noyb, è un utente di Grindr che stava cercando di capire di più su come Grindr utilizza i suoi dati. Grindr ha sorprendentemente negato l'accesso ai suoi dati personali perché l'utente non ha inviato un selfie con il suo passaporto e un pezzo di carta con il suo indirizzo e-mail
Quando "Hunk_69" deve diventare Richard Smith per rivendicare i suoi diritti: Aziende come Grindr rendono il processo di registrazione semplice e veloce - non solo per rispettare la minimizzazione dei dati, ma anche perché usare Grindr in modo presumibilmente anonimo è parte della promessa agli utenti. Specialmente quando il servizio è spesso usato con foto anonime e usando pseudonimi, non dover mostrare un documento d'identità per aprire un account è parte del servizio - dopo tutto, anche il logo di Grindr è una maschera.
Tuttavia, quando un utente cerca di esercitare i propri diritti per scoprire quali dati personali l'azienda ha su di lui, Grindr gli richiede di togliersi improvvisamente la maschera e persino di mostrare un documento d'identità rilasciato dal governo, il che non solo non è coerente con il principio di minimizzazione dei dati, ma con l'intero prodotto.
"Puoi vedere e condividere anche le foto più intime su Grindr con solo la tua email e password - solo quando vuoi esercitare i tuoi diritti GDPR, devi spogliarti e mostrare un ID governativo"- Max Schrems, presidente di noyb
Le aziende di solito argomentano con "ragioni di sicurezza". Per legge, le aziende sono tenute a fare una valutazione caso per caso sul fatto che ci sia un ragionevole dubbio sull'identità dell'utente. Avere una politica generale di chiedere informazioni aggiuntive viola il GDPR, soprattutto quando Grindr non può effettivamente abbinare l'ID con un utente, in quanto non ha il vero nome degli utenti
"È ridicolo autenticare 'Hunk 69' con un ID governativo, quando Grindr è progettato per non conoscere il vero nome dei suoi utenti. In realtà, richiedono un 'coming out' degli utenti per esercitare i loro diritti" - Max Schrems, presidente di noyb
Un problema più ampio con i diritti del GDPR. Grindr è tutt'altro che l'unica azienda che introduce regole complicate o addirittura proibitive quando gli utenti vogliono esercitare i loro diritti GDPR. Questi inutili "controlli di routine dell'identità" da parte dei controllori dei dati dovrebbero essere fermati, soprattutto quando sono disponibili altre misure meno intrusive come l'invio di una mail di verifica o un codice all'interno dell'app, come in questo caso
Se vuoi esercitare i tuoi diritti: Cancellare l'account. Come alternativa, Grindr ha suggerito al Querelante, può scegliere di cancellare il suo account, se "non vuole condividere alcun dato con Grindr". Il querelante ha scelto una terza opzione - presentare un reclamo GDPR all'autorità austriaca per la protezione dei dati, DSB, che ora dovrà decidere sul caso.