L’autorità di controllo norvegese (Datatilsynet) ha anticipato a Grindr l’intenzione di comminare una sanzione di 10 milioni di euro per aver illecitamente condiviso con terze parti i dati degli utenti per finalità di marketing e advertising. Entro il 15 febbraio, quando sarà valutata l’eventuale risposta da parte della società, l’Authority provvederà ad emettere la decisione definitiva.
La popolare applicazione di dating online raccoglie sistematicamente dati di localizzazione e del profilo utente, fra cui sono indicate anche informazioni relative all’orientamento sessuale e dunque dati rientranti nelle categorie particolari di cui all’art. 9 GDPR. Considerate le specifiche esigenze di tutela e protezione, è stato considerato che il livello di controllo da dover accordare all’interessato circa l’utilizzo e la condivisione di detti dati, debba essere garantito soprattutto in relazione alla prestazione di un consenso valido. Bisogna infatti considerare che, dal momento che alcuni dati rientrano fra le categorie particolari, deve essere richiesto un consenso esplicito e dunque sono rafforzate tutte le garanzie in ordine alle caratteristiche per cui deve essere informato, libero, specifico e univoco, sia per il trasferimento a terze parti che per la profilazione o l’attività di marketing.
Considerato però che l’accettazione della privacy policy viene posta come condizione per l’impiego dell’app e le informazioni riguardanti la comunicazione dei dati a terze non risultano chiare, l’autorità di controllo ha ritenuto invalido il consenso prestato dagli utenti. Risulta infatti non riscontrata la libertà dello stesso, in quanto condiziona l’accesso all’app: la pratica di acquisizione consenso attraverso il sistema “take-it-or-leave-it” (in pratica: consenso come condizione d’uso e accesso al servizio) non può infatti essere considerata lecita. Ulteriormente, non essere informato né specifico in quanto, rispettivamente, l’informativa è incompleta e non viene raccolto un consenso separato per la comunicazione a terze parti per finalità di marketing e/o profilazione. Ciò comporta, dunque, che le attività di trattamento dei dati personali sono state condotte in carenza di un valido fondamento di liceità.
Per definire l’importo della sanzione, l’autorità di controllo ha valutato il rilevante numero di utenti attivi (13.7 milioni, di cui migliaia residenti in Norvegia) e il fatturato mondiale annuo di circa 100 milioni di dollari, per cui il carattere effettivo, proporzionato e dissuasivo della stessa può dirsi sussistere con la definizione di un ammontare di 10 milioni di euro pari a circa il 10% del fatturato.
La considerazione svolta in relazione al provvedimento è emblematica: Grindr è vista dagli utenti come un luogo sicuro, e dunque la tutela effettiva e concreta delle aspettative di riservatezza e discrezione sono un’espressione di quei diritti fondamentali che il GDPR va a tutelare attraverso la protezione dei dati personali.
