Netflix, il gigante dello streaming che offre una vasta gamma di contenuti digitali come serie TV, film e giochi, è stato multato di 4,75 milioni di euro dall’Autorità olandese per la protezione dei dati (DPA).
La decisione arriva dopo un’indagine durata quasi cinque anni, avviata a seguito di una denuncia presentata da None of Your Business (noyb), un’organizzazione per la protezione dei diritti digitali, per conto di due utenti del servizio che avevano denunciato la mancanza di trasparenza nel trattamento dei dati personali.
“Un’azienda di tale portata, con fatturati miliardari e milioni di clienti in tutto il mondo, deve spiegare chiaramente ai clienti come gestisce i loro dati personali”, ha dichiarato il presidente dell’AP, Aleid Wolfsen. “Devi essere cristallino, soprattutto quando il cliente lo chiede. E questo non è stato fatto correttamente”.
Indice degli argomenti
Sanzione privacy a Netflix: cosa è successo
Netflix offre ai suoi clienti la possibilità di guardare contenuti digitali su vari dispositivi, inclusi televisori, tablet, smartphone e computer. Per accedere al servizio, gli utenti devono registrarsi e fornire una serie di dati personali, come nome, data di nascita, indirizzo e-mail, numero di telefono e informazioni bancarie.
Una volta registrati, gli utenti possono accedere a film e serie, ma Netflix raccoglie anche informazioni sui loro comportamenti di visione per migliorare l’esperienza del servizio, suggerendo contenuti pertinenti.
Il problema è nato quando alcuni clienti hanno richiesto accesso ai propri dati personali, ma Netflix non ha fornito risposte chiare e complete riguardo al trattamento di tali informazioni.
Le richieste di accesso sono regolate dal GDPR, che obbliga le aziende a fornire agli utenti informazioni dettagliate su come e perché i loro dati vengono trattati, sui destinatari dei dati, sui periodi di conservazione e sui trasferimenti dei dati verso Paesi terzi.
Netflix, tuttavia, non ha rispettato appieno queste disposizioni.
Il caso denunciato da noyb
Nel gennaio 2019, noyb ha presentato otto denunce contro aziende di streaming come Amazon, Apple Music, Spotify, YouTube e Netflix, accusandole di non rispondere adeguatamente alle richieste di accesso dei clienti.
In particolare, Netflix è stata accusata di non aver fornito informazioni sufficienti sui motivi per cui raccoglie i dati, come vengono trattati, e di non aver nemmeno fornito una copia completa dei dati personali richiesti.
La denuncia è stata inizialmente inviata all’Autorità per la Protezione dei Dati austriaca (Datenschutzbehörde), che ha poi girato il caso all’Autorità olandese.
La risposta dell’Autorità olandese
L’Autorità olandese per la protezione dei dati ha esaminato il caso e ha riscontrato che Netflix non ha rispettato le disposizioni del GDPR, in particolare gli articoli che riguardano il diritto di accesso degli utenti ai propri dati.
In particolare, la società non ha fornito informazioni chiare e sufficienti sui seguenti aspetti:
- le finalità e le basi giuridiche del trattamento dei dati personali;
- i destinatari dei dati;
- i periodi di conservazione dei dati;
- i trasferimenti verso Paesi terzi dei dati.
Questa carenza di informazioni è stata considerata una violazione delle normative europee sulla protezione dei dati, che hanno l’obiettivo di garantire la trasparenza e la protezione di un diritto fondamentale degli utenti.
Sanzione privacy a Netflix: il caso non è chiuso
Anche se la DPA olandese ha emesso la multa, il caso non è ancora concluso. Netflix ha contestato la sanzione, ma non ha ancora fatto ricorso contro la decisione nel suo complesso.
Inoltre, noyb sta ancora aspettando una decisione dall’autorità austriaca per la protezione dei dati (DSB) in merito allo stesso caso.
Questo caso sottolinea l’importanza del rispetto delle normative sul trattamento dei dati personali da parte delle grandi aziende tecnologiche, in un momento in cui la protezione della privacy è una delle principali preoccupazioni per i consumatori e le autorità di regolamentazione in tutta Europa.
Cinque anni di attesa: quali effetti dissuasivi per le aziende?
La multa di 4,75 milioni di euro a Netflix rappresenta un segnale forte per tutte le aziende che trattano i dati personali degli utenti.
Il GDPR impone obblighi rigorosi di trasparenza e responsabilità, e le aziende devono fare in modo di rispettarli, soprattutto quando si tratta di fornire informazioni complete e chiare ai propri clienti.
La vicenda Netflix non è solo una vittoria per noyb, ma un’importante lezione per tutte le realtà che operano nel mondo digitale, che devono comprendere l’importanza di garantire non solo la conformità al GDPR, ma anche l’efficienza nel rispondere alle problematiche legate alla protezione dei diritti dei clienti e l’efficacia delle proprie procedure aziendali.
Tuttavia, cinque anni di attesa per la conclusione di un reclamo e l’accertamento della violazione rappresentano un periodo eccessivamente lungo, che solleva seri dubbi sulla tempestività e sull’efficacia delle sanzioni da parte dell’Autorità di controllo.
In particolare, per aziende globali come Netflix, i tempi dilatati non solo riducono l’impatto immediato delle sanzioni, ma rischiano anche di farle apparire meno dissuasive.
Se le violazioni vengono rilevate e sanzionate troppo tardi, l’effetto deterrente delle multe diminuisce, trasformando le sanzioni in una semplice “voce di costo contabile” piuttosto che in uno strumento di correzione ed una spinta alla reingegnerizzazione dei processi aziendali.
In effetti, se il processo di accertamento della violazione si protrae per anni, le aziende, come Netflix, potrebbero cominciare a considerare le sanzioni come una parte del rischio d’impresa, integrandole nei costi ordinari della gestione aziendale.
In questo modo, il rischio sanzionatorio viene trattato come una voce previsionale nel bilancio, riducendo l’effetto di deterrenza che una sanzione proporzionata e tempestiva dovrebbe avere.
Per garantire che il sistema di protezione dei dati sia davvero efficace, è cruciale che le Autorità di Controllo agiscano con maggiore rapidità, affinché le sanzioni abbiano un impatto significativo sulla gestione della privacy da parte delle aziende e sull’effettivo rispetto dei diritti dei cittadini.
