Geolocalizzazione, dati del profilo personale, il fatto stesso che una persona sia presente sull’app: tutti dati che il social network Grindr avrebbe condiviso senza un valido consenso da parte degli utenti, secondo l’indagine del Garante privacy norvegese. E ora, l’app dedicata a persone gay, bi, trans e queer, categorie quindi particolarmente sensibili, rischia una sanzione che per la sua entità entrerebbe, se confermata, tra le dieci più ingenti comminate in Europa nell’era del GDPR.
L’autorità norvegese ha proposto il pagamento di dieci milioni di euro, pari al 10% del fatturato dell’app nel 2019. Per ora non è una sentenza definitiva ma solo una manifestazione di intenti, in quanto al social è stata data l’opportunità di commentare i risultati dell’indagine del Garante entro il 15 febbraio.
Si tratta della prima volta che un’autorità garante europea sanziona un social americano senza stabilimenti in UE: “Ciò ha consentito al Garante norvegese di agire in autonomia, senza dover coinvolgere nel procedimento altre autorità garanti europee. La durata del procedimento è stata quindi breve, all’incirca un anno”, spiega Luca Tosoni dell’Università di Oslo.
Ma non è tutto: il Consiglio norvegese dei consumatori ha anche presentato reclami contro cinque aziende che ricevono dati da Grindr: MoPub (di proprietà di Twitter Inc.), Xandr Inc. (già nota come AppNexus Inc.), OpenX Software Ltd., AdColony Inc. e Smaato Inc.
Indice degli argomenti
Sanzione a Grindr, i motivi del Garante norvegese
Già nel 2020, spiega il Garante norvegese in una nota ufficiale, il Consiglio norvegese dei consumatori aveva presentato una denuncia contro lo stesso social sostenendo che venissero condivisi in modo illecito dati personali con terzi per scopi di marketing. Tra questi figurerebbero la localizzazione, i dati del profilo utente e il fatto stesso che l’utente in questione è registrato su Grindr. Secondo il Garante norvegese, gli utenti sarebbero stati costretti ad accettare l’informativa sulla privacy nella sua interezza per poter utilizzare l’app, e non sarebbe stato chiesto loro in modo specifico se acconsentivano alla condivisione dei loro dati con terze parti. L’informativa sulla condivisione dei dati non sarebbe stata espressa in modo corretto agli utenti dell’app: una circostanza che appare contraria ai requisiti del GDPR per il valido consenso.
La conclusione preliminare del Garante è che Grindr dovesse avere il consenso degli utenti per condividere tali dati, ma che i consensi raccolti dall’app non fossero validi. Inoltre, spiega il Garante nella nota, per la natura stessa dell’app è possibile che gli utenti possano parlare del proprio orientamento sessuale sul social: sono dati che meritano una protezione particolare. L’intenzione dell’autorità Garante norvegese è quella di comminare una sanzione da 10 milioni di euro (cioè 100 milioni di NOK, considerando la valuta locale) per inottemperanza alle regole del GDPR sul consenso. Secondo le accuse mosse dall’ente, Grindr avrebbe condiviso i dati degli utenti con terzi senza una base legittima.
Da sottolineare che il Garante norvegese ha spiegato in una nota ufficiale che prenderà la decisione finale sulla sanzione solo una volta valutate tutte le osservazioni che l’azienda potrebbe fare. Inoltre, “La nostra indagine si è concentrata sul meccanismo di consenso fino ad aprile 2020, quando Grindr ha cambiato la richiesta. Ad oggi non abbiamo valutato se le modifiche successive siano conformi al GDPR”.
Il Garante privacy norvegese: “Un caso grave”
L’autorità ritiene che “questo sia un caso grave. Gli utenti non sono stati in grado di esercitare un controllo reale ed effettivo sulla condivisione dei loro dati. I modelli di business in cui gli utenti sono spinti a dare il consenso, e dove non sono adeguatamente informati su ciò cui stanno acconsentendo, non sono conformi alle regole”, ha spiegato nella nota Bjørn Erik Thon, direttore generale dell’Autorità norvegese per la protezione dei dati.
Grindr è avvertito “come uno spazio sicuro, e molti utenti desiderano discrezione. Tuttavia, i loro dati sono stati condivisi con un numero sconosciuto di terze parti, e qualsiasi informazione su questo è stata nascosta”, ha aggiunto il direttore dell’Autorità.
Grindr ha 13,7 milioni di utenti attivi, anche residenti in Norvegia. L’opinione del Garante è che “queste persone abbiano suddiviso la condivisione illecita dei loro dati personali. Uno degli obiettivi del GDPR è proprio quello di prevenire i consensi in stile “prendi o lascia”. Queste pratiche devono cessare”, ha evidenziato Thon.
Consenso degli utenti, cosa dice il GDPR
L’indagine è stata rapida, circa un anno, in quanto l’autorità norvegese non ha dovuto chiedere il parere agli altri garanti europei: questo perché Grindr, social americano, non ha stabilimenti in UE. Il Garante norvegese, spiega Luca Tosoni, ha ritenuto che “il consenso dell’utente al trattamento dei propri dati non può essere considerato valido non solo quando questo viene accorpato all’accettazione delle condizioni generali di contratto, ma anche quando all’utente non viene data la possibilità di prestare il proprio consenso ad alcuni trattamenti e non ad altri. Un servizio può infatti comprendere trattamenti multipli per più finalità. In tal caso, l’interessato dovrebbe essere libero di scegliere quali finalità accettare anziché dover prestare il proprio consenso a tutte le finalità in blocco”.
Quella proposta è “la sanzione più alta mai irrogata dal Garante norvegese, ed è molto alta anche in termini assoluti, visto che la sanzione è pari a circa il 10% del fatturato di Grindr nel 2019 – spiega Luca Tosoni -. Il Garante potrebbe però decidere di concedere una riduzione della sanzione in considerazione dell’impatto che l’attuale pandemia ha avuto sull’azienda. In passato il Garante norvegese ha già concesso simili sconti”.
