Ícono del sitio La Neta Neta

Grindr en el gancho por € 10M por violaciones de consentimiento de GDPR

Informe: el propietario chino de Grindr, Kunlun, está vendiendo la aplicación de citas después de que CFIUS planteó preocupaciones sobre datos personales

Grindr, una aplicación de conexión gay, bi, trans y queer, está en peligro por una multa de NOK100,000,000 (también conocido como € 10M o ~ $ 12.1M) en Europa.

La agencia de protección de datos de Noruega ha anunciado que notificó a la empresa con sede en EE. UU. De su intención de emitir una multa en relación con las violaciones del consentimiento según el Reglamento general de protección de datos (GDPR) de la región, que establece condiciones estrictas para el procesamiento de datos de las personas.

El tamaño de la multa es notable. El RGPD permite que las multas aumenten hasta el 4% de la facturación anual global o hasta 20 millones de euros, lo que sea mayor. En este caso, Grindr está comprometido con alrededor del 10% de sus ingresos anuales, según el DPA. (Aunque la sanción aún no es definitiva; Grindr tiene hasta el 15 de febrero para presentar una respuesta ante el La inspección de datos emite una decisión final.)

“Hemos notificado a Grindr que tenemos la intención de imponer una multa de gran magnitud ya que nuestros hallazgos sugieren graves violaciones del GDPR”, dijo Bjørn Erik Thon, director general de la agencia, en un comunicado. “Grindr tiene 13,7 millones de usuarios activos, de los cuales miles residen en Noruega. Nuestra opinión es que estas personas han compartido sus datos personales de forma ilegal. Un objetivo importante del RGPD es precisamente prevenir Tómelo o déjelo ‘consentimientos’. Es imperativo que cesen tales prácticas “.

Se ha contactado a Grindr para hacer comentarios.

El año pasado, un informe del Consejo de Consumidores de Noruega (NCC) profundizó en las prácticas de intercambio de datos de una serie de aplicaciones populares en categorías como citas y fertilidad. Descubrió que la mayoría de las aplicaciones transmitían datos a “terceros inesperados”, y los usuarios no estaban claramente informados sobre cómo se estaba utilizando su información.

Grindr fue una de las aplicaciones incluidas en el informe de NCC. Y el Consejo pasó a presentar una queja contra la aplicación ante la DPA nacional, alegando el intercambio ilegal de datos personales de los usuarios con terceros con fines de marketing, incluida la ubicación GPS; datos de perfil de usuario; y el hecho de que el usuario en cuestión esté en Grindr.

Según el RGPD, los datos personales de un usuario de la aplicación pueden compartirse legalmente si obtiene su consentimiento para hacerlo. Sin embargo, existe un conjunto de estándares claros para que el consentimiento sea legal, lo que significa que debe ser informado, específico y otorgado libremente. Datatilsynet descubrió que Grindr no había cumplido con este estándar.

Dijo que los usuarios de Grindr se vieron obligados a aceptar la política de privacidad en su totalidad, y no se les preguntó si querían dar su consentimiento para compartir sus datos con terceros.

Además, dijo que la orientación sexual podría inferirse por la presencia de un usuario en Grindr; y bajo la ley regional, tales datos sensibles de ‘categoría especial’ conllevan un estándar aún más alto de consentimiento explícito antes de que puedan ser compartidos (lo que, nuevamente, el La inspección de datos dijo que Grindr no pudo obtener de los usuarios).

“Nuestra conclusión preliminar es que Grindr necesita consentimiento para compartir estos datos personales y que los consentimientos de Grindr no eran válidos. Además, creemos que el hecho de que alguien sea un usuario de Grindr habla de su orientación sexual y, por lo tanto, esto constituye datos de categoría especial que merecen una protección especial ”, escribe en un comunicado de prensa.

“La Autoridad Noruega de Protección de Datos considera que este es un caso serio”, agregó Thon. “Los usuarios no pudieron ejercer un control real y efectivo sobre el intercambio de sus datos. Los modelos comerciales en los que se presiona a los usuarios para que otorguen su consentimiento y en los que no están debidamente informados sobre lo que consienten, no cumplen con la ley “.

La decisión podría tener un significado más amplio, ya que una queja similar de ‘consentimiento forzado’ contra Facebook aún está abierta en el escritorio del organismo de control de protección de datos de Irlanda, a pesar de que se presentó en mayo de 2018. Para los gigantes tecnológicos que han establecido una base regional en Irlanda, e hizo que una entidad irlandesa fuera legalmente responsable del procesamiento de los datos de los ciudadanos de la UE, el mecanismo de ventanilla única del GDPR ha provocado retrasos considerables en la aplicación de las quejas.

Mientras tanto, Grindr cambió la forma en que obtiene el consentimiento en abril de 2020, y la sanción propuesta trata sobre cómo manejaba esto antes de esa fecha, a partir de mayo de 2018, cuando entró en vigor el GDPR.

“Hasta la fecha no hemos evaluado si los cambios posteriores cumplen con el GDPR”, agrega Datatilsynet.

Después de su informe el año pasado, la NCC también presentó quejas contra cinco de los terceros que, según descubrió, estaban recibiendo datos de Grindr: MoPub (propiedad de Twitter), Xandr (antes conocido como AppNexus), OpenX Software, AdColony y Smaato. La DPA señala que esos casos están en curso.

Tras el informe de NCC en enero de 2020, Twitter nos dijo que había suspendido la cuenta MoPub de Grindr mientras investigaba la “suficiencia” de su mecanismo de consentimiento. Nos comunicamos con Twitter para preguntar si alguna vez restableció la cuenta y actualizaremos este informe con cualquier respuesta.

El grupo europeo de campañas de privacidad noyb, que participó en la presentación de las quejas estratégicas contra Grindr y las empresas de tecnología publicitaria, elogió la decisión de la DPA de mantener las quejas, y calificó el tamaño de la multa de “enorme” (dado que Grindr solo informó ganancias de poco más de $ 30 millones en 2019, lo que significa que se enfrenta a perder alrededor de un tercio de eso de una sola vez).

noyb también argumenta que el cambio de Grindr para intentar reclamar intereses legítimos para continuar procesando los datos de los usuarios sin obtener su consentimiento podría resultar en sanciones adicionales para la empresa.

“Esto está en conflicto con la decisión de la DPA noruega, ya que sostuvo explícitamente que”cualquier divulgación extensa … con fines de marketing debe basarse en el consentimiento del interesado“”, Escribe Ala Krinickytė, abogado de protección de datos en noyb, en un comunicado. El caso es claro desde el punto de vista fáctico y jurídico. No esperamos ninguna objeción exitosa por parte de Grindr. Sin embargo, puede haber más multas en trámite para Grindr, ya que últimamente afirma un ‘interés legítimo’ ilegal para compartir datos de usuario con terceros, incluso sin consentimiento. Grindr puede estar destinado a una segunda ronda.


Source link
Salir de la versión móvil