L’Autorità norvegese per la protezione dai dati personali (Datatilsynet) intende multare la piattaforma Grindr per oltre 9,6 milioni di euro (100 milioni di corone norvegesi).
Al centro dell’indagine e della sanzione c’è una possibile violazione del Regolamento europeo per la protezione dei dati (Gdpr) da parte del social network: “per aver condiviso con inserzionisti pubblicitari informazioni sensibili relativi ai propri utenti“.
Il Garante Privacy norvegese contro Grindr
La questione era emersa a gennaio 2020, quando il Consiglio nazionale dei consumatori presentò tre reclami contro Grindr per violazione della privacy. Tra le informazioni sensibili condivise, senza consenso informato, anche la posizione dei singoli utenti e il tipo di device utilizzato.
Associare tali informazioni ad una persona potrebbe rendere pubblico l’orientamento sessuale ed esporla a discriminazioni di varia natura, secondo l’accusa.
La piattaforma ha tempo fino al 15 febbraio per dare delle risposte all’Autorità norvegese. In mancanza di prove utili a respingere le accuse, dovrà pagare una multa di 100 milioni di corone norvegesi.
Bill Shafton, vicepresidente Business and legal affairs di Grindr, in una dichiarazione a theverge.com, si dice disponibile ad un chiarimento immediato: “Miglioriamo continuamente i nostri sistemi a protezione della privacy, anche in considerazione della continua evoluzione delle leggi e dei regolamenti sulla privacy, siamo a disposizione dell’Autorità”.
L’applicazione per incontri, Grindr, dedicata alle persone omosessuali e bisessuali, più in generale Lgbtq, già in passato aveva dato prova di una scarsa attenzione alla privacy dei propri utenti. Come nel 2018, quando clamorosamente ha condiviso i dati relativi allo stato seriologico degli utilizzatori, profilandoli in base ai test HIV.
Interrogarsi su come avviene il trattamento dei dati
In relazione al problema della condivisione di dati senza autorizzazione esplicita, abbiamo sentito l’avvocato Elena Bassoli, docente di Cybersecurity and Data protection presso l’Università di Genova: “Premesso che sta proprio nella natura di Grindr trattare dati inerenti alla vita sessuale e alla geolocalizzazione degli iscritti, al fine di favorire incontri nelle vicinanze con persone che abbiano lo stesso orientamento sessuale, occorre interrogarsi su come questo trattamento possa avvenire lecitamente”.
“Il GDPR sul punto è chiaro nella sua formulazione dell’art. 9, specificamente dedicato ai trattamenti particolari di dati (gli ex “dati sensibili” nella terminologia previgente) tra cui rientrano senza dubbio i dati inerenti alla vita sessuale e all’orientamento sessuale”, ha precisato Bassoli.
“La disciplina di tali dati, però, risulta molto più stringente rispetto a quanto richiesto per il trattamento di dati personali comuni, come l’indirizzo, il codice fiscale o la targa dell’auto.
“Al momento della sottoscrizione del contratto per l’utilizzo della piattaforma di Grindr – ha aggiunto l’avvocato – all’iscritto dovrebbe essere richiesto il consenso anche solo per le finalità strettamente legate all’adempimento delle prestazioni contrattuali che Grindr offre, trattandosi appunto di trattamenti particolari di dati che non possono essere sorretti neppure dalle finalità contrattuali, invece previste e sufficienti per i dati personali comuni.
Qualora ciò non sia avvenuto l’intero trattamento risulterebbe illecito fin dal principio”.
“Ma anche supponendo che tale consenso sia stato legittimamente prestato all’inizio, ciò non implicherebbe implicitamente il consenso anche per il successivo trattamento riguardante la comunicazione a terzi per finalità di marketing.
In questo caso, oltre alla imprescindibile informativa, vi sarebbe dovuto essere un secondo consenso, specifico per la finalità di advertising. Infatti, se anche l’utente acconsente all’utilizzo dei propri dati sessuali per permettere le segnalazioni di geolocalizzazione nel proprio interesse, ciò non implica automaticamente il consenso anche alla comunicazione di tali dati a società terze”, ha concluso Bassoli.
La reazione dei consumatori europei
L’Associazione europea dei consumatori (Beuc) ha reso noto che altre dieci associazioni dei consumatori hanno chiesto alle rispettive Autorità nazionali di indagare su eventuali violazioni della privacy da parte d Grindr, soprattutto per la condivisione non autorizzata di dati personali con gli inserzionisti, tra cui quelli relativi alle preferenze sessuali.
L’azione portata avanti dall’Authority norvegese dimostra come i social e il mercato pubblicitario raccolgano continuamente informazioni sulla nostra salute, anche sul nostro orientamento sessuale e sui nostri interessi.
“Questa notizia chiarisce una volta per tutte che è illegale monitorare i consumatori 24 ore su 24, 7 giorni su 7, senza il loro consenso, per raccogliere e condividere i loro dati”, ha affermato in una nota Monique Goyens, Direttore Generale del Beuc.
“Troppe app raccolgono e condividono dati personali con terze parti per scopi poco chiari e senza alcun controllo. L’azione legale dell’autorità norvegese – ha aggiunto – avrà ripercussioni sull’intero settore dell’advertising e, si spera, porterà ad un cambiamento”.
I consumatori vengono presi letteralmente di mira dagli annunci pubblicitari, basati proprio sulle nostre attività in rete, che rivelando molto di noi, a volte troppo, fino ad esporci a discriminazioni e aggressioni online, se usati per scopi sbagliati.
