L’Autorità svedese sanziona Spotify per 5 milioni di euro
L’Autorità per la protezione dei dati personali (IMY) ha sanzionato Spotify per 58 milioni di corone svedesi (circa 5 milioni di euro) per una carente gestione del diritto di accesso ai dati personali degli utenti della piattaforma.
Il caso ha avuto origine da tre reclami (di cui uno era stato presentato da parte dell’associazione NOYB il 18 gennaio 2019, nell’ambito di una serie di reclami contro vari servizi di streaming) per non aver messo a disposizione degli utenti un modo semplice per esercitare il diritto di accesso ai sensi dell’articolo 15 del GDPR. In particolare, veniva lamentata la mancata fornitura da parte di Spotify di tutti i dati personali e delle informazioni sull’uso dei dati.
I reclami erano stati presentati in diversi Stati, ma avendo Spotify sede in Svezia, il caso è stato trattato ai sensi della procedura di cooperazione internazionale (IMI) dall’Autorità svedese.
Come noto, infatti, l’art. 15 GDRP attribuisce agli interessati il diritto di conoscere quali dati personali vengono trattati dal titolare e come vengono utilizzati. Ciò non significa soltanto diritto ad ottenere una copia dei propri dati, ma anche informazioni sulla loro origine, sui destinatari dei dati personali o sui dettagli dei trasferimenti internazionali di dati.
IMY ha rilevato che Spotify, pur soddisfacendo formalmente le richieste di accesso ai dati personali, non forniva però informazioni sufficientemente chiare sul loro utilizzo. Perdipiù, l’azienda ha dato accesso solo ad “alcuni” dei dati, senza informare l’interessato su come ottenere il resto.
Secondo l’Autorità, le informazioni riguardanti il trattamento dei dati personali dovrebbero essere più specifiche, comprensibili anche per quanto riguarda i dati tecnici e fornite nella lingua madre dei singoli. Queste carenze nella comunicazione rendono difficile per gli utenti comprendere come vengono trattati i loro dati e verificare la legittimità del trattamento.
Spotify aveva adottato alcune misure per garantire il diritto di accesso dei suoi utenti ai dati personali, ad esempio suddividendo le informazioni in diverse categorie. I clienti potevano selezionare le informazioni che desideravano ottenere, come i dettagli di contatto, i pagamenti, gli artisti seguiti e la cronologia di ascolto. Se necessario, era, poi, possibile richiedere ulteriori dettagli, ad esempio i file di registro tecnici.
Tuttavia, IMY ha ritenuto che le informazioni fornite da Spotify non siano state sufficientemente chiare, creando difficoltà per i singoli nel comprendere l’utilizzo dei propri dati personali. Soprattutto, per quanto riguarda gli aspetti legati al trasferimento dei dati verso Paesi terzi (circostanza non chiaramente specificata dalla società).
L’IMY ha pertanto inflitto alla società una sanzione amministrativa pari a 58 milioni di corone svedesi (5,03 milioni di euro). Inoltre, ha ordinato a Spotify di fornire la serie completa di dati ai sensi dell’articolo 58, paragrafo 2, lettera c), del GDPR.
La decisione dell’IMY sottolinea l’importanza di fornire informazioni chiare e comprensibili riguardo al trattamento dei dati personali. Il diritto di accesso dei singoli è cruciale per garantire la conformità alle norme sulla protezione dei dati e consentire alle persone di esercitare i propri diritti. Le aziende devono essere trasparenti e garantire che le informazioni siano accessibili e comprensibili per tutti i loro utenti.
