Spotify multado con 5.4 millones de dólares por violar las reglas del GDPR

Spotify, la popular plataforma de streaming de música, fue multada el martes con una sanción administrativa de 58 millones de coronas suecas (aproximadamente 5.4 millones de dólares) en Suecia por violar los derechos de acceso a datos de sus usuarios en la Unión Europea.

Según el Reglamento General de Protección de Datos (GDPR) que entró en vigor en 2018, los usuarios tienen el derecho de acceso, lo que significa que tienen derecho a saber qué datos personales maneja una empresa sobre la persona en cuestión y a recibir información sobre cómo se utilizan estos datos.

Sin embargo, durante su auditoría, la Autoridad Sueca de Protección de la Privacidad (IMY) encontró a Spotify culpable de violar el Artículo 15 del GDPR europeo. Descubrió que Spotify libera los datos personales que la empresa procesa cuando los individuos lo solicitan; sin embargo, no ofreció información clara y completa sobre cómo se utilizaban los datos recopilados sobre ellos por la empresa.

La IMY enfatizó que Spotify debería ser más transparente “sobre cómo y para qué propósitos se maneja la información personal de los individuos.” La falta de claridad dificultó a los usuarios entender cómo se procesaban sus datos personales y evaluar si el manejo de sus datos personales era legal.

“La Autoridad Sueca de Protección de la Privacidad (IMY) ha investigado los procedimientos generales de Spotify para manejar las solicitudes de acceso y ha encontrado algunas deficiencias relacionadas con la información que debe proporcionarse al individuo que realiza la solicitud de acuerdo con el artículo 15.1 a-h y 15.2 del GDPR y en relación con la descripción de los datos en los archivos de registro técnicos proporcionados por Spotify. La IMY ha emitido una multa administrativa de 58 millones de coronas suecas contra Spotify por no proporcionar información suficientemente clara a los individuos en este sentido. La decisión incluye violaciones de los artículos 12.1, 15.1 a-d, g y 15.2 del GDPR,” dijo el regulador en un comunicado.

“La investigación de la IMY también ha abarcado una investigación sobre lo que ha ocurrido en tres quejas diferentes y aquí la IMY encontró que Spotify había fallado en su manejo de solicitudes de acceso relacionadas con dos de las quejas examinadas. La decisión en esta parte incluye violaciones de los artículos 12.1, 12.3, 15.1, 15.3 y 15.1 a-h y 15.2 del GDPR. En relación con estas infracciones, la IMY emite una reprimenda.”

El regulador también dijo que las deficiencias identificadas se consideraron de “un bajo nivel de gravedad,” con la multa impuesta teniendo en cuenta los ingresos y el número de usuarios de Spotify.

Dado que Spotify tiene usuarios en muchos países, la decisión anterior se tomó en cooperación con otras autoridades de protección de datos en la UE.

La sentencia contra Spotify llega más de cuatro años después de que se presentara una queja contra la plataforma de streaming de música por parte de la organización sin fines de lucro de privacidad y derechos digitales noyb a principios de 2019.

En la queja presentada por noyb, la organización alegó que Spotify no proporcionó a los usuarios todos los datos personales solicitados, información sobre su origen, destinatarios de los datos personales o detalles sobre transferencias internacionales de datos bajo el Artículo 15 del GDPR.

La queja original se presentó en Austria, pero el caso fue enviado a la IMY ya que Spotify tenía su sede en Suecia. Además, una queja relacionada con el mismo problema, presentada en los Países Bajos, se combinó en el caso sueco. Sin embargo, los casos languidecieron con la IMY durante cuatro años.

Como resultado, el 22 de junio de 2022, noyb presentó un litigio contra la IMY ante los tribunales suecos por la falta de una decisión. Finalmente, después de más de cuatro años desde que se presentó originalmente el caso, la IMY ordenó a Spotify que proporcionara el conjunto completo de datos al demandante bajo el Artículo 58(2)(c) del GDPR.

“Estamos contentos de ver que la autoridad sueca finalmente tomó medidas. Es un derecho básico de cada usuario obtener información completa sobre los datos que se procesan sobre ellos. Sin embargo, el caso tomó más de 4 años y tuvimos que litigar contra la IMY para obtener una decisión. La autoridad sueca definitivamente tiene que acelerar sus procedimientos,” dijo Stefano Rossetti, un abogado de privacidad en noyb, en un comunicado.

Spotify ha rechazado los hallazgos de la IMY y planea presentar una apelación en respuesta a la multa del GDPR de la UE.

“Spotify ofrece a todos los usuarios información completa sobre cómo se procesan los datos personales. Durante su investigación, la DPA sueca encontró solo áreas menores de nuestro proceso que creen que necesitan mejora. Sin embargo, no estamos de acuerdo con la decisión y planeamos presentar una apelación,” dijo la empresa en un comunicado.

Cuando se le preguntó si Spotify está realizando cambios en su protocolo de respuesta a las solicitudes de acceso a datos de los usuarios teniendo en cuenta las sanciones de la IMY, un portavoz de Spotify dijo que la empresa no tiene nada que confirmar en este momento. Sin embargo, mencionaron que la empresa está revisando y mejorando continuamente el proceso para aumentar la transparencia.