El Consejo de Protección de Datos ha tomado una decisión en el caso de apelación de Grindr, confirmando la decisión de la Autoridad de Protección de Datos de imponer una multa por infracción de 65 millones de coronas noruegas, y la multa se mantiene.
«Estamos muy satisfechos de que el Consejo de Protección de Datos esté de acuerdo con nuestras conclusiones y haya confirmado nuestra decisión. Este ha sido un caso importante y prioritario en la Autoridad de Protección de Datos, y no menos importante para la privacidad de los consumidores», afirma Line Coll, Directora de la Autoridad de Protección de Datos.
Antecedentes
Grindr es una aplicación de citas basada en la localización que se dirige a hombres homosexuales y bisexuales, transexuales y personas queer. En 2020, el Consejo de Consumidores denunció a Grindr ante la Autoridad Noruega de Protección de Datos. Los antecedentes eran que Grindr revelaba información sobre la localización GPS, la dirección IP, el identificador publicitario del teléfono móvil, la edad y el sexo -además del hecho de que la persona en cuestión era usuaria de Grindr- a varios terceros con fines de marketing.
La Autoridad Noruega de Protección de Datos concluyó que Grindr había revelado datos personales de los usuarios a terceros con fines de marketing conductual sin base legal, y en diciembre de 2021 le impuso una multa por infracción de 65 millones de coronas noruegas.
Grindr recurrió la decisión, y en 2022 el caso se remitió a la Junta Noruega de Protección de Datos para que adoptara una decisión definitiva.
El caso se refiere a las prácticas de Grindr en el período desde que el GDPR comenzó a aplicarse en julio de 2018 hasta abril de 2020, cuando Grindr cambió su solución de consentimiento. La Autoridad de Protección de Datos no ha evaluado la legalidad de las prácticas actuales de Grindr.
Consentimientos no válidos
La conclusión de la Autoridad de Protección de Datos en su decisión fue que el consentimiento era necesario para compartir datos personales, pero que los llamados consentimientos que Grindr recogió no eran válidos.
La Junta de Protección de Datos está de acuerdo y afirma que el consentimiento no fue voluntario, específico ni informado. La Junta subraya, entre otras cosas, que no se dio al usuario la opción libre de consentir la divulgación de datos personales durante el registro en la aplicación, y que la información de que el usuario consentía la divulgación de datos personales a socios publicitarios solo se incluyó en la declaración de privacidad.
«El consentimiento es una herramienta para dar a los usuarios el control sobre sus propios datos personales. Si a los usuarios no se les permite comprender la elección que van a hacer, o no se les da verdadera libertad de elección, el consentimiento es ilusorio», subraya Coll.
Categorías especiales de datos personales
La información sobre orientación sexual goza de especial protección en el RGPD. La Autoridad Noruega de Protección de Datos ha considerado que la información de que alguien es usuario de Grindr es una categoría especial de datos personales, porque indica claramente que pertenece a una de las minorías sexuales a las que se dirige la aplicación Grindr. Dado que los consentimientos recabados por Grindr no eran válidos, Grindr no estaba legalmente autorizada a compartir esos datos.
En su decisión, la Junta de Protección de Datos afirma que, aunque no se revelara la orientación sexual específica de los usuarios, el hecho de que alguien sea usuario de Grindr indica que es muy probable que tenga una orientación sexual diferente de la mayoría. En opinión de la Junta, esto es suficiente para que Grindr haya revelado ilegalmente categorías especiales de datos personales, y está de acuerdo con la Autoridad Noruega de Protección de Datos en que esta revelación fue ilegal.
«Grindr se utiliza para conectar con otros miembros de la comunidad LGBTQ+, y la información identificable sobre ellos y su uso de Grindr se compartió con un número desconocido de empresas con fines de marketing. El Tribunal de Justicia de la Unión Europea ha confirmado recientemente en varias sentencias que las categorías especiales de datos personales deben interpretarse en sentido amplio para garantizar un alto nivel de protección de la intimidad», afirma Coll.
Multa elevada y asunto importante
La multa por infracción de 65 millones de coronas noruegas es la más alta impuesta por la Autoridad Noruega de Protección de Datos. El razonamiento fue que las infracciones eran muy graves. Miles de usuarios en Noruega vieron sus datos personales revelados ilegalmente a un número desconocido de empresas para los intereses comerciales de Grindr, incluidos los datos de localización y el hecho de que son usuarios de Grindr. Los modelos de negocio basados en el marketing conductual son habituales en la economía digital, y es importante que las sanciones por infracciones tengan un efecto disuasorio y contribuyan al cumplimiento de la normativa de protección de datos.
La Junta de Protección de Datos no ha encontrado ninguna razón para modificar la cuantía de la tasa, y hace hincapié en la gravedad de la infracción, el número de interesados afectados, la categoría de datos de que se trata y el hecho de que la infracción se viene cometiendo desde hace casi dos años. La Junta también señala que se trata de un acto deliberado en el que se ha optado deliberadamente por una solución técnica que no permite registrarse sin «aprobar» simultáneamente la divulgación de datos para su uso en marketing conductual.
«Nuestros consumidores tienen derecho a la privacidad en las aplicaciones suministradas por organizaciones internacionales. La decisión crea una expectativa y demuestra que los operadores internacionales del mercado noruego deben prestar servicios que salvaguarden a los usuarios noruegos y su intimidad», afirma Coll.
Las decisiones de la Junta de Protección de Datos no son recurribles, pero Grindr puede emprender acciones legales ante los tribunales en relación con la validez de la decisión de la Junta de Protección de Datos.
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/rekordgebyr-til-grindr-blir-staende/